swpuctf2019 p1KkHeap

最新推荐文章于 2023-07-07 21:24:13 发布
最新推荐文章于 2023-07-07 21:24:13 发布
阅读量167 收藏
点赞数
分类专栏: pwn 新手 笔记 文章标签: python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51687381/article/details/124235464
版权
新手 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
pwn
11 篇文章 0 订阅
订阅专栏
笔记
2 篇文章 0 订阅
订阅专栏

做一下笔记。这道题的限制还是挺多的。版本不低不高2.27

限制:

1.Delete 3次限制

2.程序只能进行18次增删改查

3.有UAF和Double free

4.2.27不包含对tcache的double free 检查机制

5.exec被禁用。但是有一片可读可写的内存空间用以shellcode

要点:

1.通过double free 可以快速的从tcache bin 中绕过。 方法是:double free 同一块,此时count为2。之后create3次相同大小的chunk。2-3就会导致count=-1.但是在比较时,tcache_count是无符号的,count是有符号数。-1>7。所以可以快速绕过

2.

prctl 会限制指令。所以需要事先检查一下

seccomp-tools dump  ./SWPUCTF_2019_p1KkHeap

3.如果限制太多,不能同时攻击目标地址(执行shellcode)和hook函数,那么就可以攻击tcache表头,攻击了表头,也就是tcache_entry 就可以进行任意地址分配

Hush^
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssh-9.5p1 RPM安装包
11-11
可用于openEuler20.03中openssh的安装或升级,安装前注意备份配置文件。
OpenSSH9.5p1
11-12
OpenSSL3.0.12
ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法)
seaaseesa的博客
05-01 707
ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,仅两个功能 其中,delete功能只能用3次,delete功能没有清空指针,存在double free漏洞。 Add功能,size不可控,结尾printf可以输出堆内容。 我们可以利用add结尾的printf输出,main_are...
SWPUCTF_2019_p1KkHeap
z1r0的博客
03-12 215
SWPUCTF_2019_p1KkHeap 查看保护 开了沙盒,用orw来读即可。 这里mmap了0x66660000这一段内存rwx权限。所以我们可以将shellcode放入这里。 一个uaf漏洞 攻击思路:因为有一个uaf,便是delete只能用三次。所以可以考虑攻击tcache这个结构体。然后劫持这个结构体实现任意地址分配 1.首先需要泄露一个heap_addr用这个heap_addr来计算出tcache的地址。创建的堆块超过fatstbin的大小即可。 这里笔者选的是0x100 2.泄露出了
swpuctf2019 p1KkHeap 详细题解
seaaseesa的博客
12-08 1429
p1KkHeap 这是swpuctf2019的一题,让我们来详细分析一下 本题的知识点:tcache bin,unsorted bin,malloc hook 首先,我们检查一下程序的保护机制,发现保护全开 然后,我们用IDA分析一下 最大允许创建0x100的堆,并且最多有8个堆 漏洞点在这里,free后,只把大小置为0,而没有把堆指针置为0,存在UAF漏洞 本题,del...
SWPUCTF_2019_p1KkHeap【buu刷题】
m0_73756460的博客
07-07 68
SWPUCTF_2019_p1KkHeap【buu刷题】
SWPUCTF_2019_p1KkHeap(负溢出tcache)de1ctf_2019_weapon(IO_FILE泄露libc)
weixin_46521144的博客
08-04 364
SWPUCTF_2019_p1KkHeap IDA分析 用IDA反编译发现,此题操作有如下限制 顺便说一下,buu上的所有ubuntu18的题目都是带tcache-double-free的,其实这不太好,怕养成习惯这样解题。 这里可以看到的是,对delete和add有明显的次数限制,不能简单的tcache-poisoning来泄露libc。本题一开始也是卡在这里,没有别的思路。 之后参考了别人的wp,发现tcache的管理块其实存在一些漏洞。这里记录一下 // tcache结构定义中的部分代码 #if U
【pwn】SWPUCTF_2019_p1KkHeap
Nothing
12-10 673
libc-2.27.so下的一道tcache堆题。 例行检查 保护全开。 分析程序,在进入菜单之前,有一个函数跟入查看。 注意到这边用mmap函数在0x66660000映射了一块大小为0x1000的内存空间,权限是rwx。然后用prctl函数做了一个沙箱。我们查看以下禁用了什么调用。 可见execve被禁用,于是system函数和onegadget都不可行。于是就只能自己将shellcode(or...
SWPUCTF_2019_p1KkHeap(tcache表头攻击,uaf,ORW)
m0_51251108的博客
11-18 517
SWPUCTF_2019_p1KkHeap: 保护全开 程序分析: 开了沙盒我们看一下,可以看到禁用了execve,我们只能用orw组合读取flag 在0x6666000的地方给了我们一块可读可写可执行的区域 还有一些小限制,只能实行0x12次循环 free只能3次 malloc最大0x100,不让我们直接申请0x410能free到unsortbin 漏洞分析: 显然有个uaf 大致思路: 1.先利用uaf,泄露堆地址 2.doublefree后申请三次,让tcache_bin中的index改到
BUU_SWPUCTF_2019_p1KkHeap学习tcache_perthread_struct
qq_70452545的博客
04-18 78
这题是我第一次控制tcache_perthread_struct达到任意地址写入,感觉有些小细节值得小小的记录一下一张图片带你认识tcache_perthread_struct图片来源这位师傅讲的特别详细。
BUUCTF pwn wp 131 - 135
fa1c4的blog
04-27 552
rootersctf_2019_srop ciscn_2019_s_6 sctf_2019_easy_heap de1ctf_2019_weapon SWPUCTF_2019_p1KkHeap
openssh-9.4p1
10-08
openssh-9.4p1
openssh-9.4p1.tar
09-25
openssh-9.4p1.tar
Openssh9.7p1rpm
最新发布
06-04
Openssh9.7p1rpm
划分数列
qq_51687381的博客
01-31 776
【问题描述】 给你一个有n个正整数元素的数列,要求把它划分成k段,使每段元素和的最大值最小。 【输入格式】sqea.in 输入第一行两个正整数n,k 第二行为此数列ai。 【输出格式】sqea.out 一个数,表示每段元素和的最大值最小的那个数。 【样例输入】 5 2 2 1 3 4 5 【样例输出】 9 【数据范围】 n <= 100000, k <= n, 0<=ai <= 109 talk is cheap,show me your code` #include<iost
PwnCollege shellcode第一章
qq_51687381的博客
05-17 696
课程https://www.youtube.com/watch?v=715v_-YnpT8 漏洞程序 hello.c void bye1(){ puts("Goodbye!"); } void bye2(){ puts("Farewell!"); } void hello(char * name ,void (* bye_func)()){ printf("Hello , %s\n",name); bye_func(); } int main(int argc,char **argv){ ch
出栈合法性
qq_51687381的博客
02-02 533
题目描述 已知自然数1,2,...,N(1<=N<=100)依次入栈,请问序列C1,C2,...,CN是否为合法的出栈序列。 输入 输入包含多组测试数据。 每组测试数据的第一行为整数N(1<=N<=100),当N=0时,输入结束。 第二行为N个正整数,以空格隔开,为出栈序列。 输出 对于每组输入,输出结果为一行字符串。 如给出的序列是合法的出栈序列,则输出Yes,否则输出No。 样例输入 5 3 4 2 1 5 5 3 5 1 4 2 0 样...
ex2(canary绕过)
qq_51687381的博客
05-25 456
先上IDA看一波反汇编
流体离散化P1+P1
03-09
流体离散化P1+P1是一种常用的流体力学数值模拟方法,用于求解流体流动问题。P1+P1方法是指在有限元离散化中,速度和压力分别使用线性元素和常数元素进行逼近。 具体来说,P1+P1方法将速度场使用线性元素进行逼近,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值