buuctf hacknote

已于 2022-07-17 20:08:44 修改
阅读量890 收藏
点赞数 1
分类专栏: pwn刷题wp 文章标签: linux 安全
于 2022-07-17 19:31:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65147345/article/details/125835779
版权

#寻找思路

程序没有开启pie,且got表可以写,canary未开启
从程序可知我们可以对heap进行增删打印操作
在这里插入图片描述


**分析add_note函数可以得知,最多创建5个chunk,创建的时候就可以对其写入内容,note的结构包含2个chunk一个是固定的8字节,用于存放print_note_content的函数地址用于输出包含内容的chunk,另一个用于存放内容 **

在这里插入图片描述


再来分析del_note函数,我们发现,函数先free了包含内容的chunk,后free包含了print_note_content函数地址的chunk,但是并没有清空存放这些chunk地址的notelist数组notelist数组再free chunk之后仍然保存在chunk的地址,这里就是uaf漏洞
在这里插入图片描述


另外我们还发现一个后门函数

在这里插入图片描述

那么思路如下:

  • 首先我们可以想办法将存放print_note_content函数地址的chunk,将其指向改成后门函数,那么我们使用show打印这个chunk的时候,就会调用后门函数就可以拿到shell

#思路整理

  1. 创建两个note大小要求看exp,之后释放这两个note,我们可以发现,存放print_note_content函数地址的chunk,他永远是8字节的内容,我们释放完之后此时fastbin 存放内容如下:

在这里插入图片描述

我们很轻易的发现,chunk0 chunk1释放后,他们存放print_note_content函数地址的chunk都进入了fastbin[0]里面,我们每次申请note的时候都会创建两个chunk,其中一个是固定的8,另外一个也是用户自己决定的

  1. 我们再申请一个note,且该note的包含内容的chunk大小也为8&#x

最低0.47元/天 解锁文章
Mauricio_Davis
关注
专栏目录
BUUCTF-PWN-pwnable_hacknote-UAF
Rt1Text的博客
07-10 1091
标准的菜单模式canary和NX保护 2.sub_80487D4() 3.sub_80488A5() 利用思路 泄露libc,调用system,执行bin/sh/,获取shellprint note可以打印泄露地址传入该函数的参数是note结构体自身,无法直接传入字符串“\bin\sh”,原来的note_puts(arg0)是对puts(arg0+4)的封装,而现在的system(arg0)中arg0并不指向字符串而指向system的地址,所以这里需要system参数截断,system
hacknote了解UAF漏洞
weixin_44864859的博客
07-07 682
首先查看程序的基本功能,基本的菜单形式,主要提供了三个功能,创建,删除,打印。(即malloc堆块,free堆块,printf堆块中的数据) 查看程序基本信息 拖进ida中进行伪代码审计,由于此题没有去掉符号表,因此审计相对比较简答。创建和打印部分的代码均没有什么漏洞,在删除功能处可以发现很明显的UAF漏洞,在free掉content指针和结构体指针后均没有将其置为NULL。 另外可以找到程序中存在后门函数magic 进行调试分析,首先创建两个notenote0和note1),大小都为0x10,g
BUUCTF Hacknote
qq_51821131的博客
12-03 2563
Hacknote 分析过程 检查一下保护,无pie,32位,谨记啊,程序的位数,这次就吃亏了 明显的堆题,不过这次没有edit函数 Add函数,最多创建5个堆,先malloc一个0x10的堆,然后把上面函数的地址赋给第一位,第二字赋给我们即将创建的size大小的堆 Free函数,输入index,free对应堆块,只是这里没有对指针进行清零,存在UAF漏洞 Dump函数通过指针调用,一看就可以泄露 整理一下思路,我们可以通过创建2个大于0x10大小的堆,然后free掉他们,然后申请一个0x10的堆
uaf-逻辑题-BUUCTF hacknote
csdn546229768的博客
11-28 358
首先拿到题目是个菜单题,在ida中进行手动识别重命名函数如图: 首先按照程序流程配合程序一起分析add函数如图: 通过上面分析可知,ptr_array是一个全局数组长度为5,然后进入if判断这个“*(&ptr_array + i)”也就是ptr_array[i]那么这就对每个数组里面的内容进行判空,那就是说这个数组里面的数据是否被add过。 然后就是给数组里面每个分配了一个大小为8byte的chunk实际分配是0x10,然后这句“**(&ptr_array + i) = m_puts”实
(BUUCTF)huxiangbei_2019_hacknote
xy1458214551的博客
11-30 113
buuctf的huxiangbei_2019_hacknote
什么是私有地址?如何分类?
热门推荐
qq_44047479的博客
10-30 3万+
什么是私有地址?如何分类? 在现在的网络中,IP地址分为公网IP地址和私有IP地址。 公网IP是在Internet使用的IP地址,而私有IP地址则是在局域网中使用的IP地址。 私有IP地址是一段保留的IP地址。只使用在局域网中,无法在Internet上使用。 当私有网络内的主机要与位于公网上的主机进行通讯时必须经过地址转换,将其私有地址转换为合法公网地址才能对外访问。 NAT-Network Address Translation 网络地址转换 所谓的私有地址就是在互联网上不使用,而被用在局域网络中的地址
BUUCTF-UAF漏洞 pwnable_hacknote
weixin_45441024的博客
05-21 545
BUUCTF-UAF漏洞 pwnable_hacknote 好久不学习pwn了,今天学习突然就开窍了,开心,好像离大神又近了一步 就不静态分析了,直接动态分析 首先创建两个大小为0x80的堆快,结构如图所示,可以看到每个堆块包含了两个部分 然后我们释放这两个堆块,可以看到被存放进了fastbin中 之后我们创建一个payload,0x8个大小的, from pwn import * from LibcSearcher import * def add(size, content): print(
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
【变量覆盖漏洞详解】 ...这类漏洞通常出现在以下几种情况: 1. **全局变量覆盖**: ...攻击者可以通过操纵这些请求参数来覆盖预定义的变量,造成安全风险。... ...2. **extract()函数使用不当**: `extract()`函数会从数组中...
buu hacknote
pondzhang的专栏
12-06 152
from pwn import * #p = process('./hacknote') p = remote("node3.buuoj.cn",29460) got_atoi = 0x0804A034 #elf = ELF('./hacknote') #libc = elf.libc libc = ELF('./libc-2.23.so') def Add(size,context): p.recvuntil('Your choice :') p.sendline('1') p....
[BUUCTF]-PWN:pwnable_hacknote解析
最新发布
2301_79326813的博客
01-29 360
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
hacknote.zip
12-30
本题目是攻防世界一道6分的堆漏洞题目,在ctf wiki上面有比较详细的解析和漏洞利用,几乎一模一样,但区别是这道题没有后门函数,所以漏洞利用的方式发生了变化,推荐大家动手分析。
hacknote
m0_48127441的博客
04-23 146
0x0804A050 指针数组 32位 1.alloc malloc(0x8) == >chunk(0x10) struct note {函数地址,内容指针} malloc(size) 2.del free(note.内容指针) free(note) 3.print s[idx](s[idx]) 4.exit free(fas...
xctf攻防世界——hacknote
05-09 332
32位程序,未开PIE  #use after free #system("xxxx||sh") 程序逻辑 1 void __cdecl __noreturn main() 2 { 3 int choice; // eax 4 char buf; // [esp+8h] [ebp-10h] 5 unsigned int v2; // [esp+...
攻防世界 —— hacknote
qq_41696518的博客
07-19 1652
攻防世界——hacknote
hacknote 攻防世界
qq_41071646的博客
05-18 536
这个题我以前做过 只不过这次没有了后门函数 下面这个链接是我以前做的题的链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 有了上次的经验 这次做的还比较顺利 思路其实差不多的 from pwn import* io=remote("111.198.29.45",52641) #io=p...
(攻防世界)(pwn)hacknote
PLpa的博客
07-31 3452
use after free 堆!堆!堆! 终于对堆的结构有了一定的了解,开始做堆的题目,恰巧攻防世界xctf中有这么一题可以练练手,还是挺不错的。。。 对于use after free呢,这里有ctf-wiki的学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 写的非常详细,很实用...
【pwnable.tw】hacknote
qq_61670993的博客
09-24 108
UAF
pwnable.tw——hacknote
40KO的博客
02-24 863
很少做pwn,之前也只懂点rop,现在跟着练练pwn的堆利用吧,pwnable.tw上的一题hacknote,比较纯粹的uaf题目,还好不久前看了点glibc内存管理的东西,可以派上用场了。 逆向很轻松,那为什么不直接给源码呢。。。根据add_note函数很容易了解note的结构体特征 unsigned int add_node() { note *v0; // ebx signed...
pwnable.tw wp - hacknote
fa1c4的blog
09-21 244
前言 pwnable.tw上的hacknote, 与攻防世界的hacknote类似的题目 分析过程 add函数, 还算合理 unsigned int add() { int v0; // ebx int i; // [esp+Ch] [ebp-1Ch] int size; // [esp+10h] [ebp-18h] char buf[8]; // [esp+14h] [ebp-14h] BYREF unsigned int v5; // [esp+1Ch] [ebp-Ch] v
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的题目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值