【pwn】 ciscn_2019_final_3

最新推荐文章于 2025-10-04 01:49:52 发布
原创 最新推荐文章于 2025-10-04 01:49:52 发布 · 1.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该博客详细分析了一个保护全开的程序,重点探讨了`add`和`free`函数。由于free后指针未置0,存在tcache dup漏洞。在64位环境中,通过修改chunk size并利用overlap技术,可以将tcache中的fd转为unsortbin的fd,从而泄露libc地址。

例行检查
在这里插入图片描述保护全开,分析程序。
add函数
在这里插入图片描述
只能申请小于0x78大小的chunk,chunk数量不能超过24个,且题目给了申请到内存空间的地址。

free函数
在这里插入图片描述
free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,free之后才能进unsortbin,所以只能通过修改chunksize,其次要得到libc地址必须要分配到这块地方题目才能给你打印出来,通过overlap可以将在tcache中的fd部分变为unsortbin的fd部分,从而分配到libc地址上空间。

from pwn import *

io=remote('xx.xx.xx.xx',xxxx)
libc=ELF('./libc.so.6')

def add(idx,size,data):
    io.recvuntil('choice > ')
    io.sendline('1')
    io.recvuntil('the index')
    io.sendline(str(idx))
    io.recvuntil('the size')
    io.sendline(str(size))
    io.recvuntil('something')
    io.sendline(data
最低0.47元/天 解锁文章
【buu刷题】ciscn_2019_final_3
m0_73756460的博客
03-18 551
【buu刷题】ciscn_2019_final_3 write up
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 503
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
[BUUCTF]ciscn_2019_es_2 栈迁移
最新发布
lec2022的博客
10-04 1850
一上来就看到了hack函数,不过是个陷阱,不多赘述,真正的漏洞在vul()函数里:这里s的长度只有40(0x28),但是通过read读取了0x30字节的数据。相当于可以溢出8字节的数据。在ubuntu里用file看一下这是个32bit程序,那么移除8字节的话刚好就是ebp和ret的长度,再多的就构造不了了,所以需要使用栈迁移。本人纯新手,第一次接触到栈迁移,查了很多资料,也自己调试了很多次才搞明白的。这里主要讲我做题的时候不懂的地方,有些其他博客里写了的东西我就少说点。
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup)
mcmuyanga的博客
03-10 1258
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是堆题 64位ida载入 add() remove() 简单的思路:先合并堆块,合并后的堆块大于tcache的范围,然后free掉即可出现libc,接下来就是堆块重叠malloc一个堆块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
ciscn_2019_final_3
z1r0的博客
12-29 505
ciscn_2019_final_3 查看保护 uaf。 在add时,会给出data区域的地址,理解为fd就行。 2.27有tcache用unstortdbin来泄露需要有一个size大于0x400的chunk。这里借助double free(dup)和uaf改size。达到条件释放,即可有unstorted bin了。 泄露出libc还是用double free + uaf即可申请到hook。具体2.27下的double free(dup)看z1r0’s blog from pwn import *
[BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)
2301_79326813的博客
02-15 596
查看保护RELRO保护为FULL,got表不可修改,只能修改hook表了查看ida这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1343
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
[BUUCTF]PWN——ciscn_2019_s_9(汇编代码写shellcode)
mcmuyanga的博客
01-28 2076
ciscn_2019_s_9 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行看一下程序大概的情况 32位ida载入,第10行的fgets,能够溢出0x32-0x20-0x4个字节 由于没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode,s在栈上,ida里有一个函数,为我们提供了跳转到栈上的指令jmp esp 现在就一个问题,s大小只有0x20,用下面的shellcode不懂能不能完全写入 context(log_level = 'debu
ciscn_2019_final_3(tcache)
qq_33590156的博客
08-04 384
漏洞 本题中限制了chunk的申请大小,最大只能0x78,无法直接申请大于0x400的chunk free后指针并没有清零,存在uaf tcache中的chunk被拿出时,不会check size 因为是2.27版本,所以tcache中可以直接进行double free(tcache dup) tcache,这个东西在2.23之后的版本中出现,释放的chunk会优先放到tcache中,而同一size的tache chunk最多只能7个,之后再释放此size的chunk,会放到fastbin或者unsorte
linux_pwn(6)--tcache&&double free&&ciscn_2019_final_3
azraelxuemo的博客
03-10 1741
文章目录What is tcachepwn题例题检查代码分析add函数delete函数准备框架attack修改大小为unsorted bin范围free成unsorted bin难点,怎么泄露libcdouble free free_hook总结 What is tcache tcache是libc2.26之后引进的一种新机制,类似于fastbin一样的东西,每条链上最多可以有 7 个 chunk,free的时候当tcache满了才放入fastbin,unsorted bin,malloc的时候优先去tca
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
[Buuoj刷题]ciscn_2019_final_3 tcache attack
zylxixixi的博客
10-09 406
Tcache机制的引入 libc2.26以后引入了一个新的机制tcache,类似于fastbin,每条链上允许有7个chunk,多出的chunk会直接放入相应的fastbin或者Unsortedbin,跟以往不同的是,当用户申请chunk时,会优先寻找tcache中的chunk。 因为该机制的引入,提升了处理的速度,但安全性减低了,例如fastbin attach中的double free(tcache dup),free的时候会检查第一个chunk是否为自己,绕过该机制需要构造a->b->
ciscn_final_3
seaaseesa的博客
04-09 426
ciscn_final_3 程序给的glibc版本为2.27,存在tcache机制 首先检查一下程序的保护机制 然后,我们用IDA分析一下 Delete功能存在UAF漏洞 程序没有show的功能,但是add时,会显示堆的地址。 为了能够泄露出glibc地址,我们就要依靠这个add时打印的堆地址。我们只要让tcache bin和unsorted bin重合,那么就能通过申请,...
ciscn2019 pwn3
pondzhang的专栏
05-26 523
from pwn import * p = process("./ciscn_2019_n_3") elf = ELF('./ciscn_2019_n_3') def do_new_text(idx, lens, content): p.sendlineafter("CNote > ", '1') p.sendlineafter("Index > ", str(idx)) p.sendlineafter("Type > ", '2') p.sendlin
buuoj刷题记录 - ciscn_2019_final_3
qq_34010404的博客
03-25 545
看了大佬们的思路才做出来的,这里只记录一下做题中踩的坑。 1.add函数 2.del函数 free后没有把数组元素标记为0,存在UAF漏洞. 思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。 2.free chunk 到unsorted bin里面 3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后
pwnciscn_2019_s_4
Nothing
03-06 894
main函数,存在八个字节溢出,栈迁移,第一次泄露ebp,得到栈上buf地址,迁移到buf即可。 from pwn import * io=remote('node3.buuoj.cn',28060) leave=0x8048562 sys_plt=0x8048400 pl1='a'*0x24+'bbbb' io.send(pl1) io.recvuntil('bbbb') ebp=u32(...
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1918
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值