pwnable_hacknote

最新推荐文章于 2024-01-29 02:22:19 发布
最新推荐文章于 2024-01-29 02:22:19 发布
阅读量821 收藏 1
点赞数 2
文章标签: ubuntu pwn 堆栈 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41560595/article/details/115538337
版权
本文详细分析了一个名为pwnable_hacknote的题目,涉及Ubuntu系统、堆栈操作和Python编程。通过IDA调试,发现程序存在未初始化的使用(UAF)漏洞。通过两次添加笔记,删除特定笔记,再重新分配内存,可以将chunk的v1[0]部分替换为magic()函数地址,从而在调用print_note函数时执行该函数,最终获得shell。
摘要由CSDN通过智能技术生成

IDA,F5

main函数
在这里插入图片描述
add_note 函数

在这里插入图片描述

在这里插入图片描述
notelist是4字节。在源代码中,每个notelist[i]装的是新malloc的地址。
*notelist指向这个地址的内容。
*notelist[i]=print_note_content ,print_note_content又是4个字节。
v1指针指向notelist[0]的内容,即新的malloc地址。那么*notelist内容就可以被分为v1[0]和v1[1]。v1[0]的内容是print_note_content返回值。
v1[1]=malloc(size),即v1[1]里面又装着一个新的chunk地址。
在这里插入图片描述

delnote 函数

free两次,没有设置为null,存在UAF漏洞。
在这里插入图片描述
此题留有后门函数:
在这里插入图片描述
print_note函数
在这里插入图片描述
这个函数打印的是第一个chunk的v1[0]部分,也就是print_note_content的地址。

分析

这个题可以想办法把v1[0]的内容,由print_note_content()地址变成magic()函数地址。
这里可以先add note两次,那么,就产生了4个chunk。注意,chunk content i一定要比chunk p i大。

最低0.47元/天 解锁文章
「已注销」
关注
pwnable_hacknote_WP
weixin_56434818的博客
03-01 876
pwnable_hacknote_WP 文章目录pwnable_hacknote_WP检查保护分析ELFAdd noteDelete notePrint note利用思路exp 检查保护 ​ i386架构,RELRO半开,开了Canary和NX,没开PIE。 分析ELF 先跑一下 类似菜单的程序,有增、删、查的操作。 IDA反编译后发现主函数主要就是根据选项选择菜单内相应功能的作用,若输入范围之外的数字则会出现错误提示并重新选择。(因为主函数逻辑不是很复杂所以这里就不贴反编译出来的代码了) Add no
pwnable.tw——hacknote
40KO的博客
02-24 864
很少做pwn,之前也只懂点rop,现在跟着练练pwn的堆利用吧,pwnable.tw上的一题hacknote,比较纯粹的uaf题目,还好不久前看了点glibc内存管理的东西,可以派上用场了。 逆向很轻松,那为什么不直接给源码呢。。。根据add_note函数很容易了解note的结构体特征 unsigned int add_node() { note *v0; // ebx signed...
pwnable.tw——hacknote分析
Eagle_hwei的博客
02-24 452
hacknote的题目分析 2020-02-2421:22:47 by hawkJW 题目附件、ida文件及wp链接   这是一道比较经典的题目,所以稍微记录一下   1.  程序流程总览 首先,还是老规矩,看一下保护情况   可以看出来,PIE没有开启,可以修改got表,其余基本上都开启了,保护程度一般吧。下面我们来看一下程序的具体流程吧。 没什么好说的,还是比较经典的...
[BUUCTF]-PWN:pwnable_hacknote解析
2301_79326813的博客
01-29 360
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1091
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 545
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
pwnable.tw之hacknote
qq_35429581的博客
10-13 2936
uaf漏洞产生的主要原因是释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态(有的地方翻译为迷途指针),同样被释放的内存如果被恶意构造数据,就有可能会被利用。 再怎么表述起始还不如真的拿一道题自己调自己看内存看堆状态来的好理解。这也是我觉得ctf-pwn的意义所在,可以把一些漏洞抽象出来以题的形式,作为学习这方面的一个抓手。 此篇尽量做的细致基础,但仍然假设读者已经初步
什么是私有地址?如何分类?
热门推荐
qq_44047479的博客
10-30 3万+
什么是私有地址?如何分类? 在现在的网络中,IP地址分为公网IP地址和私有IP地址。 公网IP是在Internet使用的IP地址,而私有IP地址则是在局域网中使用的IP地址。 私有IP地址是一段保留的IP地址。只使用在局域网中,无法在Internet上使用。 当私有网络内的主机要与位于公网上的主机进行通讯时必须经过地址转换,将其私有地址转换为合法公网地址才能对外访问。 NAT-Network Address Translation 网络地址转换 所谓的私有地址就是在互联网上不使用,而被用在局域网络中的地址
PWN刷题】Pwnable-hacknote
QYbudong的博客
05-06 474
回顾经典老题。一、
pwnable.tw hacknote write up
qq_43189757的博客
09-08 287
程序分析: 程序有四个操作: 1.Add note 2.Delete note 3.Print note 4.Exit 1.Add note 在bss段中存放note的指针,每一个note 包含两个堆块,add的过程中第一个堆块的数据区的开始四字节存放调用puts的函数地址(0x804862b),随后四个字节存放后面存放content 的堆块的地址 2.Delete note 漏洞点发生在Dele...
pwnable.kr】 note
子曰小玖的博客
06-10 808
查看了国外网友Hansoo1018的WriteUp,在此谢谢这位网友。 源代码中的select_menu()函数出现问题 问题出现在红色部分 select_menu()函数以递归方式调用。 如果要在屏幕上再次显示菜单,通常使用while语句或者其他代码完成。递归代码具有更清晰的特点,但是递归迭代越多,堆栈内存就越多。我试图在函数结束时调用Tail Call(Tail Re...
pwnable_hacknote 5/100
m0_57754423的博客
03-01 189
uaf漏洞利用 sh “;”间隔执行命令 exp: from pwn import * from LibcSearcher import * local_file = './hacknote' # local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' # remote_libc = './libc-2.23.so' select = 1 if select == 0: p = process(local_file) #.
pwnable.tw hacknote
weixin_46521144的博客
07-14 139
hacknote 主要考察:uaf,fastbin数据结构 分析程序流程可知,在add部分,创建的数据结构如下所示 用图片直观表示,就是 所有被分配的chunk数据结构都是puts块+数据块,并且puts块大小固定。注意到每次free的时候两个快都会被free,并且存在uaf,考虑在free两个块之后,一次malloc 0x8大小的内容,再执行show,那么malloc(0x8)时候调用的puts函数即可被劫持,因为0x10大小的块全被放在了一个fastbin中,我们add一个0x8的块,会从fastbi
buuoj刷题记录 - pwnable_hacknote
qq_34010404的博客
03-19 321
查看程序保护: 拖进IDA分析一下, Add函数正常,先创建八个字节的内存 struct Node{ { void* func_addr; void* content; } 然后根据输入的size开辟相应大小的内存 问题存在于DelNote函数中,free后没有置0 看一下PrintNote函数: 根据八个字节的前四个字节调用对应的函数,并把这个八个字节的首地址作为参数 若Note被free后,还是可以调用Print函数的,由于不确定func_addr是什么,所以会出现问题. 构造方法: 先Add两
pwnable.tw - hacknote(uaf漏洞利用)
fanghuapyk的博客
12-07 484
pwnable.tw -hacknote 前言: 看了几个大佬写的pwnable.tw-hacknote ,自己也尝试写一下; 程序分析: 首先运行一下程序 发现这里有add_note ,delete_note ,print_note三个功能,我们看一下main函数,add_note,和delete_note 函数, main函数: add_note函数: 可以看到首先为ptr+note_offs...
pwn hacknote
最新发布
05-21
HackNote 是一道非常经典的 pwn 题目,其难度较为适中,适合初学者进行练习。其主要思路是通过堆溢出来实现 getshell。...如果您对 HackNote 题目感兴趣,可以在一些在线平台上进行尝试,比如 Pwnable.kr 等。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值