pwnable_hacknote_WP

最新推荐文章于 2024-01-29 02:22:19 发布
最新推荐文章于 2024-01-29 02:22:19 发布
阅读量738 收藏 1
点赞数 2
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56434818/article/details/123214377
版权

pwnable_hacknote_WP

文章目录

检查保护

在这里插入图片描述
​ i386架构,RELRO半开,开了Canary和NX,没开PIE。

分析ELF

先跑一下
在这里插入图片描述

类似菜单的程序,有增、删、查的操作。

IDA反编译后发现主函数主要就是根据选项选择菜单内相应功能的作用,若输入范围之外的数字则会出现错误提示并重新选择。(因为主函数逻辑不是很复杂所以这里就不贴反编译出来的代码了)

Add note

unsigned int add_note()
{
   
  int v0; // ebx
  int i; // [esp+Ch] [ebp-1Ch]
  int size; // [esp+10h] [ebp-18h]
  char buf[8]; // [esp+14h] [ebp-14h] BYREF
  unsigned int v5; // [esp+1Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  if ( dword_804A04C <= 5 )
  {
   
    for ( i = 0; i <= 4; ++i )
    {
   
      if ( !*(&ptr + i) )
      {
   
        *(&ptr + i) = malloc(8u);	// chunk0
        if ( !*(&ptr + i) )
        {
   
          puts("Alloca Error");
          exit(-1);
        }
        *(_DWORD *)*(&ptr + i) = print_content;
        printf("Note size :");
        read(0, buf, 8u);
        size = atoi(buf);
        v0 = (int)*(&ptr + i);
        *(_DWORD *)(v0 + 4) = malloc
最低0.47元/天 解锁文章
Benson233
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
pwnable_hacknote
qq_41560595的博客
04-09 773
IDA,F5 main函数 add_note 函数 notelist是4字节。在源代码中,每个notelist[i]装的是新malloc的地址。 *notelist指向这个地址的内容。 *notelist[i]=print_note_content ,print_note_content又是4个字节。 v1指针指向notelist[0]的内容,即新的malloc地址。那么*notelist内容就可以被分为v1[0]和v1[1]。v1[0]的内容是print_note_content返回值。 v1[1]
攻防世界-PWN进阶区-hacknote(pwnable.tw)
weixin_44145820的博客
03-04 586
攻防世界中这道题是pwnable.tw上面的原题,虽然在攻防世界上难度为7星,不过实际上这题不算难,只需要利用UAF就可以完成。 题目分析 题目链接:https://pan.baidu.com/s/1T-mIVLkxvyZ_7VvlBuInZQ 提取码:azyd checksec: 保护机制比前几题弱了很多 main: hacknote实现了三个功能: 1.添加(上限为5) 在新建no...
PWN刷题】Pwnable-hacknote
QYbudong的博客
05-06 390
回顾经典老题。一、
[BUUCTF]-PWN:pwnable_hacknote解析
最新发布
2301_79326813的博客
01-29 292
先看保护32位,没开pie,got表可修改看ida总的来说就是alloc创建堆块,free释放堆块,show打印堆块内容但alloc处的函数比较特别,他会先申请一个0x8大小的堆来存放与puts相关的指针。
WP.rar_phone_windows phone_wp
09-14
2012年10月31日,Windows Phone 8.0手机开发培训讲义,包括课件和源码!
详解WordPress开发中wp_title()函数的用法
10-23
主要介绍了WordPress开发中wp_title()函数的用法,wp_title可以用来显示文章标题和分类名称等,需要的朋友可以参考下
wordpress之wp_nav_menu使用说明
09-29
wp_nav_menu()方法位于wp-includes/nav-menu-templates.php文件中。
Wp.rar_wp
09-14
简单实用的butterworth滤波器设计,很好用
wpform.professional.v2.10.fws.rar_Professional_V2 _wp
09-19
wp tools professional
hacknote.zip
12-30
本题目是攻防世界一道6分的堆漏洞题目,在ctf wiki上面有比较详细的解析和漏洞利用,几乎一模一样,但区别是这道题没有后门函数,所以漏洞利用的方式发生了变化,推荐大家动手分析。
hacknote 攻防世界
qq_41071646的博客
05-18 493
这个题我以前做过 只不过这次没有了后门函数 下面这个链接是我以前做的题的链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free/ 有了上次的经验 这次做的还比较顺利 思路其实差不多的 from pwn import* io=remote("111.198.29.45",52641) #io=p...
hacknote--PWN的堆入门
Jason_ZhouYetao的博客
02-24 1201
第一步还是进行逆向的功能分析,顺便观察有无敏感函数,诸如:/bin/sh、cat flag等等   看了看发现还真的有,那这个题目就大大得简化了,接下来进行进一步的逆向分析:   add_note: unsigned int add_note() { _DWORD *v0; // ebx signed int i; // [esp+Ch] [ebp-1Ch] int siz...
(攻防世界)(pwnhacknote
PLpa的博客
07-31 3387
use after free 堆!堆!堆! 终于对堆的结构有了一定的了解,开始做堆的题目,恰巧攻防世界xctf中有这么一题可以练练手,还是挺不错的。。。 对于use after free呢,这里有ctf-wiki的学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/use_after_free-zh/ 写的非常详细,很实用...
pwnable_hacknote 5/100
m0_57754423的博客
03-01 164
uaf漏洞利用 sh “;”间隔执行命令 exp: from pwn import * from LibcSearcher import * local_file = './hacknote' # local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' # remote_libc = './libc-2.23.so' select = 1 if select == 0: p = process(local_file) #.
hacknote 记录
weixin_55190422的博客
11-27 340
做了这么久的Pwn终于遇到堆的题目了。 而此处就有一个漏洞——UAF漏洞,即释放之后并没有清空指针,则仍然可以调用其他的相关函数。 也就是,实际上调用了控制chunk可用部分的前4个字节的函数指针所指向的函数,参数为控制chunk可用部分地址。 那么,如果我们可以修改控制chunk中可用部分的前4个字节所指向的位置,修改为system,并在后四个字节中添加上 ||sh (这里一开始没想到,注意为了执行shell命令,可以的一些方法 sh# 或者 ||sh ,前一个可以注释掉后面的...
pwnable.tw——hacknote
40KO的博客
02-24 816
很少做pwn,之前也只懂点rop,现在跟着练练pwn的堆利用吧,pwnable.tw上的一题hacknote,比较纯粹的uaf题目,还好不久前看了点glibc内存管理的东西,可以派上用场了。 逆向很轻松,那为什么不直接给源码呢。。。根据add_note函数很容易了解note的结构体特征 unsigned int add_node() { note *v0; // ebx signed...
pwnable.tw hacknote write up
qq_43189757的博客
09-08 231
程序分析: 程序有四个操作: 1.Add note 2.Delete note 3.Print note 4.Exit 1.Add note 在bss段中存放note的指针,每一个note 包含两个堆块,add的过程中第一个堆块的数据区的开始四字节存放调用puts的函数地址(0x804862b),随后四个字节存放后面存放content 的堆块的地址 2.Delete note 漏洞点发生在Dele...
buuoj刷题记录 - pwnable_hacknote
qq_34010404的博客
03-19 266
查看程序保护: 拖进IDA分析一下, Add函数正常,先创建八个字节的内存 struct Node{ { void* func_addr; void* content; } 然后根据输入的size开辟相应大小的内存 问题存在于DelNote函数中,free后没有置0 看一下PrintNote函数: 根据八个字节的前四个字节调用对应的函数,并把这个八个字节的首地址作为参数 若Note被free后,还是可以调用Print函数的,由于不确定func_addr是什么,所以会出现问题. 构造方法: 先Add两
EEPROM_WP_Pin
07-27
EEPROM_WP_Pin是一个常见的术语,它通常用于描述电子设备中的一个引脚或接口。EEPROM代表可擦写可编程只读存储器(Electrically Erasable Programmable Read-Only Memory),WP代表写保护(Write Protect)。因此,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值