hitcon_2018_children_tcache

最新推荐文章于 2025-12-18 14:34:50 发布
原创 最新推荐文章于 2025-12-18 14:34:50 发布 · 234 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

hitcon_2018_children_tcache

    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      PIE enabled
    FORTIFY:  Enabled

64位,保护全开

unsigned __int64 ADD()
{
  int i; // [rsp+Ch] [rbp-2034h]
  char *dest; // [rsp+10h] [rbp-2030h]
  unsigned __int64 size; // [rsp+18h] [rbp-2028h]
  char s[8216]; // [rsp+20h] [rbp-2020h] BYREF
  unsigned __int64 v5; // [rsp+2038h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  memset(s, 0, 0x2010uLL);
  for ( i = 0; ; ++i )
  {
    if ( i > 9 )
    {
      puts(":(");
      return __readfsqword(0x28u) ^ v5;
    }
    if ( !qword_202060[i] )
      break;
  }
  printf("Size:");
  size = READ();
  if ( size > 0x2000 )
    exit(-2);
  dest = (char *)malloc(size);
  if ( !dest )
    exit(-1);
  printf("Data:");
  sub_BC8((__int64)s, size);
  strcpy(dest, s);
  qword_202060[i] = dest;
  qword_2020C0[i] = si
最低0.47元/天 解锁文章
HITCON_2018_children_tcache关于off by null
wuyvle的博客
04-05 1613
创建Chunk时,使用了strcpy函数,而这个函数会在将字符串转移后在末尾添加一个x00,因此此处存在一个off-by-null漏洞。 思路 off by null 想到堆重叠(overlapping),和 16 区别主要是申请的 unsorted bin 大小需要大于 0x408 来避免 chunk 放入 tcache 。 溢出修改 inuse 位比较简单,申请使用下一个 chunk prev_size 的堆直接写满就行,就是 prev_size 怎么写需要想一下办法。因为 free chunk 之前.
hitcon_2018_children_tcache(UNsortattack,chunk extend,house of orange,srop)
weixin_61283545的博客
09-02 265
复现了一下师傅的exp这个题目的关键在于strcpy会溢出\x00我们就要利用它来清空chunk2的prev位达到chunk extend的效果,值得注意的是这道题free的时候指针是被清空了的注意每次malloc后的id,比如在循环阶段abac型构造的堆段,我们free a,b之后作为unsortbin的a和铺垫的bin的b被free后,我们id 0,1的chunk也就消失了,所以我们循环清空prev时申请回来的id是0,相同的原理我们最后才能构造一个double c同时指向一个堆段。
hitcon_2018_children_tcachetcache off-by-null,另一种doublefree)
m0_51251108的博客
11-06 620
hitcon_2018_children_tcache: 显然保护全开 逆向分析: add函数: 漏洞在这个strcpy函数上 delete函数: show函数:
HITCON_2018_children_tcache
u014377094的博客
03-20 553
惯例checksec一下 ida打开还是熟悉的malloc,free和show模块 strcpy存在off-by-one漏洞 思路还是创建两个大于tcache大小的chunk,中间夹一个tcache可存储大小的chunk。 通过extend再改变unsortedbin头位置泄露mainarena位置找到libc基址,最后doublefree实现对hook的更改。 add(0x410,b'a') add(0xe8,b'a') add(0x4f0,b'a') add(0x60,b'a') fr
children tcache
m0_48127441的博客
04-26 154
1 alloc 遍历 202060的指针数组,看是否存在空 //0-9 10个 申请 0x2010 的数组S (栈) 根据 size 申请一块内存(堆) 数据读入到S //__read_chk 有传入长度 strcpy S ->堆 //off by NULL 虽然开了保护,但是由于申请的空...
HITCON 2018 baby_tcache学习(以及_IO_FILE泄露libc基础)
a2590035252的博客
10-08 462
IO_FILE漏洞利用基础中的基础中的基础
houseoforange_hitcon_2016
fayinq的博客
04-07 388
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
hitcon_ctf_2019_one_punch(libc2.29 tcache tashing unlink)
m0_51251108的博客
09-30 1117
libc2.29 tcache tashing unlink
BUUCTF-PWN刷题记录-5(Tcache
weixin_44145820的博客
04-13 1626
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2595
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
(补题)HITCON 2018 PWN baby_tcache超详细讲解
hollk’s blog
05-19 2227
好久没有更新了,这道题利用的是IO_FILE输出的方式进行泄露libc地址,需要结合着上一篇[好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc]一起来看,最近参加了安网杯,其中的pwn题也是利用IO_FILE进行输出的题,很幸运获得的第二名的成绩,大佬带飞~ 得抓紧把好好说话系列写完啦~
HITCON 2018 BabyCake WriteUp && XDebug + VSCode远程调试
heySister
11-22 1133
哦,终于把这道题目搞定了,写一下我的复现过程,主要是配了一下Xdebug的环境,因为手抖耽误了很多时间。 先贴一下docker: docker pull gaoxijiejie/babycake 下载好之后运行指令为: docker run -id --name cake-xdebug -p 8080:80 -p 9009:9009 cake-xdebug /bin/bash (xdebug使用的...
tcache-Attack总结
蚁景网安学院
10-21 1621
0x01 前言heap攻击方式有很多,但是目前多数pwn还是停留在libc2.23这些上面,而在之后的libc版本中引入了一些新的机制,tcache就是其中一个。tcache的引入,就...
HITCON_2018_Hackergame_2018_calc(一个容易忽略的计算机整数小知识)
seaaseesa的博客
07-24 528
HITCON_2018_Hackergame_2018_calc 用IDA分析一下,程序注册了异常信号处理函数。 该函数可以执行命令 现在,只要想办法触发异常即可。 程序中过滤了除0异常,其实还可以利用-0x80000000/-1来触发异常。 我们可以做个试验 #include <stdio.h> int main() { int a,b; scanf("%d%d",&a,&b); int c = a/b; pri...
2018 HITCON On my Raddit
Risker
10-22 889
orange 大大出的这个题与其放在 Web 里,不如放在 Crypto 里。这里说一下比赛时的思路。 打开题目: flag 是加密密钥,而 hint 提示加密密钥是小写字母。还有一个P的提示。 查看一波源码: 可以看到都是?s=密文的形式。网页提供了一个页面显示多少文章的选项,我们关注一下这块的源码: 可以看到两个密文前 64bit是一样的,后 64bit 不同,可以推断 64 bit 应...
加热激光雪深监测站守护冬季道路安全
pingao141378的博客
12-17 265
设备采用相位式激光测距技术,通过无线电波段频率调制激光束,精准捕捉往返雪面的相位延迟,测量误差仅 ±2%,分辨率达 1mm,能清晰捕捉从 0.05 米薄雪到 5 米厚雪的动态变化。而加热激光雪深监测站搭载 “主动加热 + 被动防霜” 双重防护体系,内置自动温控加热模块,当探头温度接近冰点时自动启动 15W 功耗加热,快速融化薄霜并预防结冰,配合 IP65 高防护等级外壳与纳米防霜涂层,即便在 100 高湿度环境中也能隔绝雨雪沙尘,实现 7×24 小时不间断监测,解决了低温停机的行业痛点。
绿电直连系统安全防护技术:网络安全、运行安全与数据安全的全维度保障
最新发布
xigedianli的博客
12-18 567
绿电直连系统面临网络安全、运行安全和数据安全三重风险,需构建全维度保障体系。网络安全需通过边界隔离、接入认证和威胁监测技术抵御攻击;运行安全依靠状态预警、协同控制和应急处置技术确保稳定供电;数据安全采用加密、脱敏和合规审计技术保护敏感信息。需结合技术防护与管理体系,实现风险联防联控,为绿电直连系统提供可靠安全保障,支撑低碳转型发展。
自动化安全监测新突破:新一代测斜仪技术升级与行业应用
weixin_43963569的博客
12-17 508
摘要: 测斜仪技术正经历从传统人工操作向自动化、高效化的升级转型。传统测斜仪存在数据不连续、维护繁琐等问题,而基于MEMS和物联网技术的新一代阵列式、节段式位移计解决了这些痛点。节段式位移计通过模块化拼接、实时监测和可重复使用等优势,适应煤矿、基坑、坝体等场景需求;阵列式位移计则提供高精度三维监测能力。两者共同推动安全监测行业向精准化、低成本化发展,满足现代工程对实时预警和长期稳定监测的核心需求,为地质灾害防治和工程安全提供技术支撑。未来,智能化与灵活化将是测斜仪发展的主要方向。
HITCON CTF 2018: windowsland挑战解析
标题“windowsland:HITCON CTF 2018”和描述中所涉及的知识点主要围绕Windows操作系统中的堆管理漏洞,以及在“CTF”(Capture The Flag)竞赛中的一个特定挑战。HITCON是台湾著名的信息安全会议,其举办的CTF竞赛是...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值