星盟-pwn-heap2 (tcache attack,house of orange)

已于 2022-08-17 13:32:49 修改
阅读量1.2k 收藏 1
点赞数
分类专栏: 星盟强基计划刷题 文章标签: c++ 安全
于 2022-08-08 13:43:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65147345/article/details/126225921
版权

知识点

  • top_chunk的size大小一定是页对齐的,也就是0x?000,低三位要保持为0
    • 保证篡改后不报错,则需要拿top_chunk的地址+size为页对齐即可
    • 想要控制篡改后的size则可以通过先申请一个chunk来调整top_chunk的size后在改写
    • 需要注意的是top_chunk的inuse位一定是1
    • 当top_chunk的大小不够申请时(不能超过mmap阈值,否则会使用mmap来申请chunk),旧的top_chunk,先切分出两个0x10大小的chunk,剩下的空间如果不小于最小的chunk则使用int_free释放掉

程序分析

  • heap题目功能有创建chunk以及输出chunk,没有释放

在这里插入图片描述

  • add使用了gets函数,无限heap溢出

解题思路

  • 通过unsorted-bin泄露出libc_base
  • 通过tcache attack申请到malloc_hook的地址
  • 改写为one_gadget

具体操作

  • 没有free操作,我们可以通过改写top_chunk的size大小,申请0x20的chunk改写top_size,后申请一个比改写后大的chunk,得到一个在small-bin中的chunk,再次申请就会切分small-bin中的chunk,剩下的就会进入unsorted-bin

  • 申请的chunk会从新的top_chunk中切分(高地址处),通过之前申请的0x18改写unsorted-chunk的size使其可以达到chunk2处,这样通过再次申请chunk,切分改写后的unsorted-chunk,使剩下的chunk刚好落在chunk2,输出就可以得到main-arena+offset,进而得到libc_base

    • 这里需要注意的是,有以下安全检查,所以我们还需要在chunk2里面布置一下
    • 第一个if:unsorted_chunk的大小不能小于或大于阈值
    • 第二个if:下一个chunk(victim+size),不能小于大于阈值
    • 第三个if:next_chunk的presize要和victim的size一致
    • 第四个if:检查链是否被破坏,这里的话注意一下溢出的时候不要覆盖掉fd低位就行
    • 第五个if:next_chunk的pre_inuse位需要为0

在这里插入图片描述

  • 使用tcache_attack(类似fastbin attck)比fastbin-attck容易的多,因为tcache有记录chunk个数,所以我们需要让两个chunk进入相同的tcache链,操作如上,看exp

在这里插入图片描述

  • tcache_get里面没有任何检查,所以我们直接写入malloc_hook的地址就可以直接申请出来

在这里插入图片描述

  • 第一次的unsorted-bin至少需要保留0x20大小,这样我们申请出来,相比于tcache_chunk所在的位置是低地址,通过无限溢出,改写tcache的chunk为malloc_hook
  • 写入one_gadget,获取shell

注意点

  1. 我们既然我们保留了unsorted-chunk一个chunk大小,我们就要注意后面申请的chunk不能低于或等于他,否则就会被直接申请走,后面我们就无法通过他来改写
  2. 注意伪造unsorted-chunk来绕过检查

exp

from pwn import *
context.update(os='linux',arch='amd64',log_level='debug')
#c=remote(b'node4.buuoj.cn',25937)
c=process(b'./heap2')
libc=ELF
最低0.47元/天 解锁文章
Mauricio_Davis
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
星盟-pwn-fog
qq_65147345的博客
07-24 992
1. 利用null off by one 与unlink泄露libc,改写malloc_hook为one_gadget 2. 获取shell
pwn 堆入门之tcache
清霂的博客
05-13 470
目录ciscn_final_3ciscn_2019_es_1 ciscn_final_3 #!/usr/bin/env python3 # coding=utf-8 from pwn import * arch = "amd64" filename = "ciscn_final_3" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) # libc l
[CTFHub]-技能树----pwn tcache Attack
KaliLinux_V的博客
02-02 195
目前只有我一人解出来,估计是其他大佬不屑于做这样简单的题吧!长话短说,做堆类题一定要亲自动手,重要的事情说三遍。
[蓝桥杯2024]-PWN:ezheap解析(堆glibc2.31,glibc2.31下的double free)
最新发布
2301_79326813的博客
05-03 643
查看保护查看ida大致就是只能创建0x60大小的堆块,并且uaf只能利用一次。
Pwn Heap With Tcache
weixin_30925411的博客
08-03 213
Pwn Heap With Tcache 前言 glibc 2.26 开始引入了 tcache , 相关的 commit 可以看 这里 。加入 tcache 对性能有比较大的提升,不过由于 tcache 的存在 ,一些利用方式的限制条件就少了许多。具体往下看。 相关文件位于 https://gitee.com/hac425/blog_data/tree/master/tcache_pwn 修改自...
PWN-HEAP】Unlink学习笔记
SWEET0SWAT的博客
09-02 781
题目练习 HITCON2016 bamboobox 反编译情况: 程序分析
时代星盟-430246-新三板报告:硬软件技术开发服务商.rar
09-29
标题“时代星盟-430246-新三板报告:硬软件技术开发服务商.rar”表明这是一份关于“时代星盟”公司在新三板上市的报告,重点在于其硬软件技术开发服务业务。从描述和标签中没有获得额外信息,但我们可以根据标题推测...
浙江省北斗星盟2020-2021学年高二下学期5月阶段性联考地理试题 Word版含答案.zip
06-08
标题和描述中提到的是“浙江省北斗星盟2020-2021学年高二下学期5月阶段性联考”的地理试题及其Word版答案的压缩文件。这个压缩包包含两个子文件:一个名为“地理.docx”的文档可能是试题本身,而另一个“地理答案....
浙江省北斗星盟2020-2021学年高二下学期5月阶段性联考物理试题..docx
06-08
2. 物理学史:题目中涉及几位科学家及其贡献,包括爱因斯坦、法拉第、汤姆生和伽利略。爱因斯坦提出了光量子假说,并成功解释了光电效应;法拉第发现了电磁感应现象,但电磁感应定律是由纽曼和韦伯提出的;汤姆生...
浙江省北斗星盟2020-2021学年高二下学期5月阶段性联考数学试题..docx
06-08
浙江省北斗星盟2020-2021学年高二下学期5月阶段性联考数学试题..docx
浙江省北斗星盟2021-2022学年高二上学期12月阶段性联考生物试题 .rar
12-28
很抱歉,根据您给出的信息,这个压缩包文件“浙江省北斗星盟2021-2022学年高二上学期12月阶段性联考生物试题 .rar”似乎包含的是教育材料,特别是针对高中生物课程的一次考试的试题和答案。虽然这个主题与IT行业不...
pwn_heap(未完待续)
qq_37439229的博客
10-15 456
早上上信安数基,了解了中国剩余定理,就是求同余方程组的解,找时间,用c++复现以下 pwn_heap 堆 在程序运行过程中,堆可以提供动态分配的内存,允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域,它由低地址向高地址方向增长。我们一般称管理堆的那部分程序为堆管理器。 malloc malloc 函数返回对应大小字节的内存块的指针。此外,该函数还对一些异常情况进行了处理 当 n=0 时,返回当前系统允许的堆的最小内存块。 当 n 为负数时,由于在大多数系统上,size_t 是无符号
awd的批量脚本 pwn_星盟安全团队10.26AWD训练赛总结
weixin_39633089的博客
01-02 482
前言和往常一样,这次已经是咱们星盟的第六次线上awd比赛了,曾经我问老大这样的意义,老大说了句,玉不琢不成器,本次比赛还是那样刺激,16支队伍实力都挺强,学会了点姿势来总结一下,提示本篇你不一定能学到技术,大佬勿喷,一种思路技巧。骑马打马。。。比赛时间2019年10月26日 19:00内容pwn* 2web* 2比赛规则每个队伍分配到一个docker主机,给定web (web)/pwn(...
D0g2019-pwn heap WP
qq_41252520的博客
12-04 278
保护 分析 程序主要漏洞有两个,分别是在一开始的输入操作中: 存在格式化字符串漏洞,可以泄露内存。这里首先泄露出程序的基地址和libc的内存,为后续利用做准备。 第二个漏洞存在编辑操作中: 程序在创建note的时候做了限制,正常情况下只能申请unsortbin及其以上的chunk。由于一开始我们就可以获得内存,所以直接利用unlink是最快的,然后利用IO_FILE去getshell。 ...
linux_pwn(6)--tcache&&double free&&ciscn_2019_final_3
azraelxuemo的博客
03-10 1501
文章目录What is tcachepwn题例题检查代码分析add函数delete函数准备框架attack修改大小为unsorted bin范围free成unsorted bin难点,怎么泄露libcdouble free free_hook总结 What is tcache tcache是libc2.26之后引进的一种新机制,类似于fastbin一样的东西,每条链上最多可以有 7 个 chunk,free的时候当tcache满了才放入fastbin,unsorted bin,malloc的时候优先去tca
CTF PWNheap入门 unlink
L2329794714的博客
09-09 1648
unlink的利用需要申请连续的chunk,为了方便我们先要让IO两个缓冲区都申请了,即程序执行至少以此IO输出,一次IO此输入(这里可以让程序执行一遍创建堆块的流程实现),后面再创建两个相邻的堆块,后面一个大小大于0x80,再前一个堆块里伪造一个释放状态的chunk,并利用堆溢出改写后一个chunk的P_size(伪造chunk的大小包括chunk头),和size(in_user为为0),然后free后面的chunk来触发前合并,从而进行unlink。P:为要取出的chunk指针(指向chunk头的)
buu-pwn-heap刷题日记
abelxu
10-25 1092
一开始的题解忘记记录题解了。每天刷两道pwn题 babyfengshui_33c3_2016 https://blog.csdn.net/qinying001/article/details/104359401 漏洞点在Update函数的比较部分。将des_addr+length和Node_addr - 4进行比较。 [V&N2020 公开赛]simpleHeap https://blog.csdn.net/qq_39869547/article/details/104587504 https://
heap pwn 入门大全 - 1:glibc heap机制与源码阅读(上)
Zheng__Huang的博客
08-13 611
本文为笔者学习heap pwn时,学习阅读glibc ptmalloc2源码时的笔记,与各位分享。可能存在思维跳跃之处,敬请见谅
星盟awd
qq_40268306的博客
10-28 808
周六和星盟打了一次awd线上赛收获良多,在此打个广告星盟招人 简单介绍一下:本次比赛16支队伍 比赛时间 2019年10月26日 19:00-22:00 内容 pwn *2 web *2 比赛规则 每个队伍分配到一个docker主机,给定web (web)/pwn(pwn)用户权限,通过特定的端口和密码进行连接; 每台docker主机上运行一个web服务或者其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值