【逆向学习记录】Tcachebin CISCN_2019_PWN17 Write up

最新推荐文章于 2024-06-26 17:45:23 发布
最新推荐文章于 2024-06-26 17:45:23 发布
阅读量1k 收藏 1
点赞数
分类专栏: 逆向学习记录 文章标签: 逆向学习 tcache tcachebins writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhy025907/article/details/99206831
版权
本文记录了一次逆向学习的过程,详细解析了CISCN2019_PWN17的解题思路,涉及到整数溢出、双精度free、tcachebins的利用等技术。通过doubleFree构造地址泄露,篡改字符串并绕过后缀检查,最终实现命令执行。同时对比了tcachebins与fastbins的区别。
摘要由CSDN通过智能技术生成

1 概述

这几天做了一个libc2.27的题目,了解到tcachebin的基础内容,发现利用这个tcachebin,反而导致漏洞更好利用了

2 CTF题目

题目1:CISCN2019_pwn6
参考:pwn6_exp
题目2:CISCN2019_pwn17

3 解题思路

3.1 题目解析

1,输入内容,基本上没有任何内容提示

在这里插入图片描述

2、反编译查看

1、存在一个check,绕过这个check,是一个整数溢出

在这里插入图片描述
如果输入的input_number等于这个值,通过类型强转化为signed int(32位),就是0 了
在这里插入图片描述

2、在执行shellcode之前,还有第二个比较操作,需要满足

在这里插入图片描述

3、即使输入shellcode,也需要满足下面这个条件:异或

在这里插入图片描述
绕过方法:
1、shellcode 计算异或之后输入
2、在shellcode之前添加一段指令,保证 strlen 很短,shellcode不用校验

4、查找漏洞点

free之后,没有置空,可以造成double free
在这里插入图片描述

4 EXP解读

主要思路:

  • 通过doubleFree构造“泄露”可用的地址
  • 通过覆盖可以,篡改已知字符串
  • 绕过最后的check,进行命令执行

1、绕过check,目前的堆栈是:

最低0.47元/天 解锁文章
卦星
关注
专栏目录
ciscn2019 pwn3
pondzhang的专栏
05-26 382
from pwn import * p = process("./ciscn_2019_n_3") elf = ELF('./ciscn_2019_n_3') def do_new_text(idx, lens, content): p.sendlineafter("CNote > ", '1') p.sendlineafter("Index > ", str(idx)) p.sendlineafter("Type > ", '2') p.sendlin
CTF pwn题堆入门 -- Tcache bin
lifanxin的博客
04-06 4024
Tcache attack序言概述攻击方式绕过Tcache分配堆到目的地址tcache poisoningtcache house of spirit总结 序言 无奈于pwn题中与堆相关的东西实在是比较多,加上到了2021年的现在,ctf比赛中一来就是堆题,还都是新版本libc,对我这种新手中的新手实在不太友好,以此写下这个系列文章,记录自己学习堆漏洞利用过程中的点滴,同时也是个总结吧。结合自己做题的理解,将堆攻击常见的手段和方式按照一定的规律记录下来。本文章系列将分成五大块,即tcache attack
Tcache bin总结
N1rvana的博客
03-13 1655
Tcache Tcache是glibc 2.26之后引入的机制,与glibc 2.23版本下堆利用方式有一定区别,产生了新的利用方式。 0x1 相关结构体 tcache_entry typedef struct tcache_entry { struct tcache_entry *next; } tcache_entry; tcache_entry用来链接空闲的tcache chunk,其中的next指针指向下一个大小相同的空闲tcache chunk。 注意:这里的next指针指向的是user
【PWN · TcachebinAttack | UAF】[2024CISCN · 华中赛区] note
最新发布
Mr_Fmnwon的博客
06-26 275
一道简单的tcache劫持。
CISCN2021 部分逆向WP
jinxxxxxx的博客
05-21 649
glass 调用了native-lib libnative.so拖入ida 第二次变化 写脚本 from Crypto.Cipher import ARC4 data = [0xA3, 0x1A, 0xE3, 0x69, 0x2F, 0xBB, 0x1A, 0x84, 0x65, 0xC2, 0xAD, 0xAD, 0x9E, 0x96, 0x05, 0x02, 0x1F, 0x8E, 0x36, 0x4F, 0xE1, 0xEB, 0xAF, 0xF0, 0xEA, 0xC4, 0xA
关于如何理解Glibc堆管理器(Ⅶ——Tcache Bins!!)
Tokameine的博客
08-06 946
本篇实为个人笔记,可能存在些许错误;若各位师傅发现哪里存在错误,还望指正。感激不尽。 若有图片及文稿引用,将在本篇结尾处著名来源(也有置于篇首的情况)。 笔者本该将这一节的内容与第二节合并的,因为Tcache的并入并没有带来非常多的内容。但从结构上考虑,笔者一直以来都在使用glibc-2.23进行说明,在该版本下尚且没有引入Tcache Bins,因此这一节的内容一直拖欠到今。直到glibc-2.27开始,官方才引入了Tcache Bins结构,因此本节内容也将在该版本下进行说明(不...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 386
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 635
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
日行一PWN之ciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 802
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
2018年全国大学生信息安全竞赛 CISCN Writeup
热门推荐
aptx4869_li的博客
06-07 1万+
逆向:RE:题目文件:链接:点击打开链接 密码:hyzy这题当时做的时候陷入了出题人的陷阱,上来找到了“关键部分”就开始逆,但是遇到了很多问题,因为有很多函数,而且篇幅都不小,而且每个函数还要调用其他一大堆函数,这就大大增加了工作量,后面实在看不下去了,就放弃了。后面找到一些大佬的writeup看了看,原来是思路的问题:总结一下:逆向赛题一般工作量不会大到让你逆不了,一下锁定了十七八个函数肯定是有...
Tcache Attack
qq_39153421的博客
04-21 677
tcache overview tcache机制在libc2.27之后新增,可以说它是类似于fastbin的机制,LIFO,但比fastbin的优先级更高,由名字可以看出它相当于一个缓存的作用。先看关于它的两个结构体 tcache_entry 和 tcache_perthread_struct(见glibc2.27源码): /* We overlay this structure on the user-data portion of a chunk when the chunk is stored
LCTF2018 PWN easy_heap学习(以及tcache基础认识)
a2590035252的博客
09-24 466
适合于广大像我一样的pwn爱好者
那些方法可以绕过服务器对文件内容的检测,文件上传漏洞
weixin_34739646的博客
08-13 2523
文件上传文件上传就是在一些web应用中允许用户上传图片,文本等相应文件到服务器指定的位置。而文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中,之后通过url去访问以执行代码达到攻击的目的。可以成功攻击的条件1.存放上传文件的目录要有执行脚本的权限,也就是文件能够被解析执行。2.可以通过web访问这个文件。3.知道文件上传后的路径和文件名称,有的web应用会修改上传文件的文件名称。上传...
Double Free浅析
omnispace的博客
03-29 5525
最近在研究一些堆上面的漏洞。然后某一天骑自行车在路上跑的时候我突然悟出了Double Free的真谛。 2333好像太中二了一点,我是根据堆溢出的利用方法启发,再结合linux中libc的源码。研究出了double free的利用方法。虽然有关double free的利用技巧已经不是一个秘密。不过好像很少有相关的中文的介绍,所以以一个初学者的角度来讲解一下double free漏洞的利用方法。 如
c语言 double free,写代码常见的两个安全问题
weixin_39977488的博客
05-19 831
写代码需要时刻考虑代码的安全性,昨天看了代码中容易出现的两个安全问题,在此记录一下。缓冲区溢出在C语言中,定义一个数组如:char str[100];,这里分配了100个字节的内存(缓冲区)供我们使用,当我们的代码中出现str[200]='1';时,这其实就是一个缓冲区溢出,我们修改了未分配给我们使用的内存中的内容。在C中是不检查数组下标越界的情况(当然如果程序非法修改了其他程序的内存,一般操作系...
CTF-PWN-note-service2 (堆中shellcode执行)
SuperGate的博客
11-18 570
checksec Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX disabled PIE: PIE enabled RWX: Has RWX segments 发现没有开启NX,因此很有可能是要我们将sh...
Linux堆溢出漏洞利用之unlink
AliMobileSecurity的博客
06-06 4955
本文详细介绍了unlink攻击技术的核心原理,虽然上述介绍的unlink漏洞利用技术已经失效,但是还是有必要认真学习,因为它一方面可以进一步加深我们对glibc malloc的堆栈管理机制的理解,另一方面也为后续的各种堆溢出攻击技术提供思路。
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
本笔记记录了作者在CTF(Capture The Flag)比赛中的刷题经验,特别关注于一道名为"whitegive_pwn"的挑战。该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值