攻防世界-PWN进阶区-hacknote(pwnable.tw)

最新推荐文章于 2023-05-06 15:15:21 发布
最新推荐文章于 2023-05-06 15:15:21 发布
阅读量629 收藏
点赞数
分类专栏: 攻防世界-PWN 文章标签: malloc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/104657318
版权
本文介绍了攻防世界中一道7星难度的PWN题目——hacknote,主要利用未初始化的指针(Use-After-Free, UAF)漏洞来获取shell。首先分析了题目的保护机制和程序功能,接着详细讲解了如何通过控制函数指针,利用fastbin攻击,创建和删除note来构造payload,最终实现system函数的调用并执行`sh`,从而获取shell。需要注意不同平台的libc差异,以确保漏洞利用的成功率。" 110603754,10293400,Clion配置与Makefile项目的编译调试,"['Clion配置', 'C/C++开发', 'Makefile', '编译工具', '调试工具']
摘要由CSDN通过智能技术生成

攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。

题目分析

题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ
提取码:azyd

checksec:
在这里插入图片描述
保护机制比前几题弱了很多

main:
在这里插入图片描述
hacknote实现了三个功能:
1.添加(上限为5)
在这里插入图片描述
在新建note时,程序会先申请一个8bytes大小的空间,然后把打印的函数指针放入前4个bytes,后四个bytes放note的内容的指针。
2.删除(删除之后没有将指针置空,明显的UAF漏洞)
在这里插入图片描述
3.显示
在这里插入图片描述
打印内容的函数:
在这里插入图片描述
因为本题使用了函数指针,这使得题目难度降低许多。我们只需要控制函数指针,就能得到shell

漏洞利用

  1. 创建两个大小为0x80的note,此时堆结构如下:

在这里插入图片描述
在这里插入图片描述
然后将它们delete,这样两个note的块就进入了fastbin
此时fastbin为note[0]<-note[1]

  1. 创建一个大小为0x8的note,为note[2], note[2]与note[1]指向相同的位置,并且note[2]的内容指向note[0]相同的位置,构造payload=p32(my_puts) + p32(read_got),就能获得read的地址从而计算system的地址
    在这里插入图片描述
  2. 把note[2]删除,创建note[3],note[3]也与note[1]指向相同的位置,并且note[3]的内容也指向note[0]相同的位置,构造payload = p32(system) + ‘||sh’
    在这里插入图片描述
    这里说一下为什么用 “||sh”:

在show函数中

最低0.47元/天 解锁文章
L.o.W
关注
专栏目录
hacknote--PWN的堆入门
Jason_ZhouYetao的博客
02-24 1235
第一步还是进行逆向的功能分析,顺便观察有无敏感函数,诸如:/bin/sh、cat flag等等   看了看发现还真的有,那这个题目就大大得简化了,接下来进行进一步的逆向分析:   add_note: unsigned int add_note() { _DWORD *v0; // ebx signed int i; // [esp+Ch] [ebp-1Ch] int siz...
攻防世界)(pwnhacknote
PLpa的博客
07-31 3419
use after free 堆!堆!堆! 终于对堆的结构有了一定的了解,开始做堆的题目,恰巧攻防世界xctf中有这么一题可以练练手,还是挺不错的。。。 对于use after free呢,这里有ctf-wiki的学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 写的非常详细,很实用...
攻防世界 —— hacknote
qq_41696518的博客
07-19 1628
攻防世界——hacknote
攻防世界PWNHacknote题解
seaaseesa的博客
11-09 1458
Hacknote 首先,查看程序的保护机制 然后拖入IDA分析 这是创建堆,并写入信息。 经过分析,大概是这样的 typedefstructNote{ void*func;//函数指针 char*buf;//内容指针 }Note; //保存Node的指针数组 Note*notes[5]; int...
hacknote 攻防世界
qq_41071646的博客
05-18 523
这个题我以前做过 只不过这次没有了后门函数 下面这个链接是我以前做的题的链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 有了上次的经验 这次做的还比较顺利 思路其实差不多的 from pwn import* io=remote("111.198.29.45",52641) #io=p...
攻防世界-PWN进阶-EasyPwn(XCTF 4th-WHCTF-2017)
weixin_44145820的博客
03-04 1959
这题其实不算难,不过漏洞比较隐蔽,需要细心才能发现 题目分析 checksec: RELRO只是部分开启,考虑覆写GOT表 main: echo: 在该函数中存在一个溢出: v2的大小为1000(0x3E8),而我们的输入最大为0x438(输入缓冲大小为0x400),如果我们的输入大于0x3E8,就会覆盖了v3的内容(%s),而%s是snprintf在向v2写入数据时格式化写入的数据的,如...
攻防世界-PWN进阶-Noleak(XCTF 4th-QCTF-2018)
weixin_44145820的博客
03-01 891
本题主要考察对堆的利用,需要有一定的背景知识,本文也参考了几篇大佬的Writeup,让本文尽可能详细。 题目分析 checksec: 本题的RELRO是完全开启的,意味着我们不能通过修改GOT表来进行攻击 以下是源代码: main函数 delete函数: 这里可以看到free之后没有把指针置空,可能有UAF或者Dubble Free edit函数: 在本函数中,没有检测大小就直接写入,明显...
攻防世界-PWN进阶-1000levevls(XCTF 3rd-BCTF-2017)
weixin_44145820的博客
02-29 841
这道题是攻防世界上面一道六星的pwn题,比起之前的还是挺有难度,做完也有很大收获 题目分析 首先checksec查看开启的保护 可以看到这题比之前的题目多了一个PIE保护,下面就简单介绍一下什么是PIE PIE全称是position-independent executable,中文解释为地址无关可执行文件,该技术是一个针对代码段(.text)、数据段(.data)、未初始化全局变量段(.bs...
攻防世界-PWN进阶-welpwn(RCTF-2015)
weixin_44145820的博客
02-27 1071
题目分析 首先看一下开了哪些保护 因为开了NX,所以考虑使用ROP或者return-into-libc 用IDApro分析一下源代码 可以看出main函数中不存在注入点,我们看一下echo函数 在eho函数中,缓冲至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到...
[XCTF-pwn] 28_hacknote
weixin_52640415的博客
03-09 278
UAF漏洞,有函数指针,覆盖函数指针。 有add,show,free三个函数,有管理块8字节存puts用函数和数据块指针,free未清理指针有UAF,show直接调用管理块函数指针 unsigned int m1add() { int v0; // ebx int i; // [esp+Ch] [ebp-1Ch] int size; // [esp+10h] [ebp-18h] char buf[8]; // [esp+14h] [ebp-14h] BYREF unsigned i
pwnable.tw - hacknote(uaf漏洞利用)
fanghuapyk的博客
12-07 453
pwnable.tw -hacknote 前言: 看了几个大佬写的pwnable.tw-hacknote ,自己也尝试写一下; 程序分析: 首先运行一下程序 发现这里有add_note ,delete_note ,print_note三个功能,我们看一下main函数,add_note,和delete_note 函数, main函数: add_note函数: 可以看到首先为ptr+note_offs...
PWN刷题】Pwnable-hacknote
QYbudong的博客
05-06 435
回顾经典老题。一、
pwnable.tw【start】
weixin_51055545的博客
04-22 355
检查程序 任何保护都没开, 放到IDA中分析: 逆向分析 很简单的一个程序,只有start和exit两个函数,通过分析汇编,我们知道,程序先write出欢迎的语句,然后系统调用read(),来让我们输入,我们输入的栈上是可读可写可执行的,所以我们leak出stack地址,然后控制程序返回到我们构造好的shellcode即可, 思路 1.通过构造write()来leak出栈地址 2.通过控制返回地址,来执行我们的shellcode,从而达到getshell的目的. exp分析: io.recvuntil(
pwnable.tw---orw
杀生丸?不,其实我要的是桔梗
05-01 1556
pwnable.tw—orw 这题主要考验的是shellcode的自我制作,建议学会Linux Sysycall Reference 再来,或者第一题start彻底搞会。 题目分析: 照例: 就开了栈保护,虽然都没有什么用。 题目开始就是让你输入shellcode。 就用msf随便试了几下,发现有些被过滤了。 调试看看: 发现调用了seccomp,百度了下是一个linu...
Pwnable.tw WP
AlexYoung28的博客
08-18 881
Pwnable.tw start 我们分析上图程序的汇编代码: 上图中的第一个方框,其实是将 : Let's start the CTF:  这句字符串压进栈; 第二个方框:其实是 system_write()函数, 参数中 fd =1, 说明是标准输出,也就是将 字符串打印输出在屏幕上; 第三个方框: 其实 标准输入函数,允许输入的长度是 3ch 也就是 60个字节; 但是buffe...
pwnable.tw---start
杀生丸?不,其实我要的是桔梗
04-30 1558
Pwnable.tw—start 最近比赛玩了好几天的pwn,发现老是差点火候,开始正式刷刷Pwnable.tw看看。 题目分析: checksec : 第一次遇到什么防护都不开的程序,兴奋。 IDA: 题目只有start和exit。 检测栈有点问题,不能够F5,强行看汇编。。。 .text:08048060 public _start ....
hacknote
m0_48127441的博客
04-23 134
0x0804A050 指针数组 32位 1.alloc malloc(0x8) == >chunk(0x10) struct note {函数地址,内容指针} malloc(size) 2.del free(note.内容指针) free(note) 3.print s[idx](s[idx]) 4.exit free(fas...
pwn学习——UseAfterFree hacknote
MrTreebook的博客
11-28 268
pwn学习——UseAfterFree hacknote1. 反编译看一下源代码2.add_note3.print_note4.del_note5.exp6.运行结果 1. 反编译看一下源代码 可以看到大概有四个功能 add del print menu 另外还有后门函数magic 2.add_note 可以看到在添加note的时候,每一个note有两个部分 第一个部份是一个put函数 第二个部分存放的是real_content 一个note节点内部结构是这样的 3.print_note 调用pu
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值