BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)

最新推荐文章于 2022-11-06 19:45:00 发布
最新推荐文章于 2022-11-06 19:45:00 发布
阅读量1.8k 收藏 7
点赞数 2
分类专栏: BUU-PWN CTF知识学习 文章标签: malloc 内存管理 指针
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/105585889
版权
本文详细介绍了如何利用BUUCTF-PWN中的realloc魔术,特别是tcache攻击,通过内存块重叠和劫持_IO_2_1_stdout_泄露libc地址。通过一系列的内存操作,包括malloc、realloc和free,最终实现获取shell的目标。
摘要由CSDN通过智能技术生成

目录

题目分析

在这里插入图片描述

free没有限制,可以多次free
在这里插入图片描述
使用realloc进行内存分配,没有限制大小
在这里插入图片描述
realloc的几个特殊用法(摘自官方WP)

size == 0 ,这个时候等同于free
realloc_ptr == 0 && size > 0 , 这个时候等同于malloc
malloc_usable_size(realloc_ptr) >= size, 这个时候等同于edit
malloc_usable_size(realloc_ptr) < szie, 这个时候才是malloc一块更大的内存,将原来的内容复制过去,再将原来的chunk给free掉

漏洞利用

由于本题没有show功能,因此我们要想泄露libc的地址就需要通过修改_IO_2_1_stdout_来实现
因此第一步我们需要想办法让_IO_2_1_stdout_留在tcache的fd处,这样就能分配到这个地方进行修改
过程如下

  1. 我们需要分配三个chunk0,1,2,申请大小分别为0x70,0x100,0xa0,这里只要realloc之后又realloc(0)就行(如果没有realloc(0)就接着realloc下一个是不能进入tcache的),因为chunk会进入tcache而不会和top chunk合并
  2. realloc(0x100)把chunk1申请出来,然后删除7次填满tcache,再进行一次删除就进入unsorted bin,这样main_arena+0x60就留在了fd处
  3. realloc(0x70)把chunk0申请出来,然后realloc(0x180),这样会把chunk0和chunk1合并分配给你,然后把chunk1的size改为0x41,fd的最低两个字节填充为0x?760(即_IO_2_1_stdout_的地址),这里需要爆破一位。当然,我们在调试的时候可以强行修改内存,如下

set (long long)0x55c1fee5d2e0=0x7fae9fb1d760

完成这一步之后,我们就需要把_IO_2_1_stdout_申请出来了,从而泄露libc地址,使用tcache poisoning就能分配出来,过程如下

  1. realloc(0x100)把chunk1申请出来,然后realloc(0)释放,此时因为size被我们修改为0x41导致它不会回到原来的tcache队列中,然后再次realloc(0x100)就申请到了_IO_2_1_stdout_,我们填入p64(0xfbad1887)+p64(0)*3+p8(0x58)
    这里0xfbad1887是flag位我们不用管原样填上,然后把_IO_read_xxx的部分用0填充,并把_IO_write_base的最低一个byte置为0x58,这样他就指向了_IO_2_1_stderr_+216,其中存储着 _IO_file_jumps的地址,根据它我们就能计算出libc地址
    在这里插入图片描述

得到泄露地址之后,我们还需要把tcache填满,申请不同大小的chunk然后realloc(0)释放就行,如下

realloc(0x120,'a')
realloc(0,'')
realloc(0x130,'a')
realloc(0,'')
realloc(0x170,'a')
realloc(0,'')

完成这步后,我们故伎重演,realloc(0x130)又释放,realloc(0x120)又realloc(0x260),把chunk 大小0x130的size改为0x41,把fd改为__free_hook-8,把它释放之后realloc(0x130),realloc(0)realloc(0x130,’/bin/sh\x

最低0.47元/天 解锁文章
L.o.W
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 17
    评论
专栏目录
pwnroarctf_2019_realloc_magic
Nothing
03-05 1011
例行检查 保护全开,分析程序逻辑。发现没有输出堆内容的函数,想要泄露libc地址只能通过修改IO_FILE结构体实现。realloc函数有两个trick。在size为0时,free掉指针指向的堆,返回0;在分配超过当前指针指向堆大小时如果有剩余空间则扩大堆大小。 利用思路 1.堆free 8次放进unsortbin中,在fd上得到arena地址,通过realloc扩大堆的特性造成堆堆叠...
BUUCTFroarctf_2019_realloc_magic---从一道题认识realloc函数+stdout泄露libc地址实战
Assassin
09-18 1928
realloc好题
roarctf_2019_realloc_magic
z1r0的博客
03-04 515
roarctf_2019_realloc_magic 查看保护
buuctf realloc _IO_2_1_stdout_泄露libc地址 32位格式化字符串 UAF diff SSH SCP jmp-rsp orw seccomp_tools
carol2358的博客
08-01 749
文章目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic 贴几个链接: https://blog.csdn.net/weixin_44145820/article/details/105585889 https://blog.csdn.net/seaaseesa/article/details/105590591 https://blog.csdn.net/weixin_42151611/article/details/99228675 exp:
SWPUCTF_2019_p1KkHeap(负溢出tcache)de1ctf_2019_weapon(IO_FILE泄露libc)
weixin_46521144的博客
08-04 380
SWPUCTF_2019_p1KkHeap IDA分析 用IDA反编译发现,此题操作有如下限制 顺便说一下,buu上的所有ubuntu18的题目都是带tcache-double-free的,其实这不太好,怕养成习惯这样解题。 这里可以看到的是,对delete和add有明显的次数限制,不能简单的tcache-poisoning来泄露libc。本题一开始也是卡在这里,没有别的思路。 之后参考了别人的wp,发现tcache的管理其实存在一些漏洞。这里记录一下 // tcache结构定义中的部分代码 #if U
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
PWM,即脉宽调制(Pulse Width Modulation),是一种广泛应用的数字控制技术,主要用于调节电子设备的功率或模拟信号。在单片机系统中,PWM脉冲发生器是核心部件,它通过改变脉冲宽度来调整输出信号的平均电压,从而...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
标题中的"mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7"暗示我们正在讨论一个用Verilog编写的PWM(脉冲宽度调制)信号发生器,其特性包括4位的分辨率,可能是通过4个D触发器(D Flip-flops)来实现的。...
roarctf_2019_realloc_magic 详细学习理解 无show()利用IO_FILE输出+realloc分配实现
weixin_46521144的博客
07-20 749
roarctf_2019_realloc_magic 这道题从头到尾都是我的知识盲区… 爆破,IO_FILE,realloc 学习资料 利用IO_FILE泄露libc原理 IO_FILE泄露libc例题 wp参考 realloc重要知识 静态分析 可以看出程序只有对realloc的调用操作,只有add()和delete()没有泄露函数。一般堆题如果没有show()函数,plt里面也没有system,可以采用的方法是劫持IO_FILE泄露IO_FILE劫持思路 对于劫持IO_FILE的思路,我的理解是
HITCON 2018 baby_tcache学习(以及_IO_FILE泄露libc基础)
a2590035252的博客
10-08 300
IO_FILE漏洞利用基础中的基础中的基础
tcache-Attack总结
蚁景网安学院
10-21 1368
0x01 前言heap攻击方式有很多,但是目前多数pwn还是停留在libc2.23这些上面,而在之后的libc版本中引入了一些新的机制,tcache就是其中一个。tcache的引入,就...
RoarCTF2020 pwn qtar & 2a1 writeup
HiTaQini
12-07 539
机缘巧合出了两道pwn,希望各位师傅们玩儿的开心 :-p 题解详见 Roarctf 2020 pwn writeup
BUUCTF-PWN roarctf_2019_easyheap(double free, stdout重定向)
weixin_44145820的博客
04-23 778
这里写目录标题题目分析漏洞利用Exp 题目分析 有添加,删除,展示三个主要功能,不过添加有次数限制,同时限制了申请大小,使得我们不能申请出unsorted bin范围内的chunk 删除之后没有置空,可以多次free show功能有条件限制,而且会把stdout关了 添加和后门的次数 后门函数可以进行calloc和free,同样没有置空,但是后门函数的次数限制逻辑有问题,即使为0还会再...
gyctf_2020_borrowstack
qq_42728977的博客
04-12 545
栈迁移,这个有点坑。 参考: https://www.cnblogs.com/luoleqi/p/12348341.html
buuctf刷题(2)【13题 - 】
像初雪一样自由洒落
05-16 378
not_the_same_3dsctf_2016 一开始看到这两个函数,直接栈溢出,跳过来不就行了,,,没注意看,get_secret,是指将flag读入了f14g,并没有打印出来呢,所以我们还需要自己打印一下 搜了一下,有write函数,那就调用它 #coding=utf-8 from pwn import * connect = 1#连接本地 fileName=''#文件名 port='node3.buuoj.cn'#端口 ip='29206'#IP地址 main_addr = 0x
house of botcake利用模板+爆破stdout泄露地址 glibc2.31
FUCKING12的博客
11-06 179
【代码】house of botcake利用模板+爆破stdout泄露地址。
pwn学习】堆溢出(一)
Morphy_Amo的博客
01-05 4726
pwn中堆溢出的学习
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值