一个条件竞争的洞,以前没有接触过。比赛完研究了wp复现下。

new_thread结构体如下

new_thread:

thread_area        size0x8

thread_area+0x8    size    0x8

thread_area+0x10    choice

thread_area+0x14    key    0x20

thread_area+0x34    IV    0x10

...

thread_area+0x60    task_id

thread_area+0x68    thread_binlist

thread_area+0x88    EVP_CIPHER_CTX_new

delete中并没有uaf的问题

void delete(void)

{

  void **__ptr;

  int task_id;

  void **local_18;

  void **local_10;

  __ptr = DAT_00302028;

  local_18 = DAT_00302028;

  local_10 = DAT_00302028;

  printf("Task id : ");

  task_id = my_read8();

  if ((DAT_00302028 == (void **)0x0) || (task_id != *(int *)(DAT_00302028 + 0xc))) {

    while (local_18 != (void **)0x0) {

      if (task_id == *(int *)(local_18 + 0xc)) {

        local_10[0xd] = local_18[0xd];

        EVP_CIPHER_CTX_free((EVP_CIPHER_CTX *)local_18[0xb]);

        free(*local_18);

        free(local_18);

        return;

      }

      local_10 = local_18;

      local_18 = (void **)local_18[0xd];

    }

  }

  else {

    DAT_00302028 = (void **)DAT_00302028[0xd];

    EVP_CIPHER_CTX_free((EVP_CIPHER_CTX *)__ptr[0xb]);

    free(*__ptr);

                    /* 这里不存在uaf

                       00302028会存储线程链的值,在释放前会判断这个值是否为空

                        */

    free(__ptr);

  }

  return;

}

存在的问题是创建新线程执行start_routine时的条件竞争(这里产生条件竞争的原因是子线程会共享主线程的bss段,在创建子线程时sleep(2)后再更新bss段的数据)

void start_routine(uchar **ppuParm1)

{

  int iVar1;

  long in_FS_OFFSET;

  int local_34;

  uchar **local_30;

  ulong local_28;

  undefined8 local_20;

  undefined8 local_18;

  undefined8 local_10;

  local_10 = *(undefined8 *)(in_FS_OFFSET + 0x28);

  local_34 = ;

  local_20 = ;

  local_18 = ;

  local_28 = ;

  local_30 = ppuParm1;

  puts("Prepare...");

  sleep();

  memset(DAT_00302030,,0x1010);

  iVar1 = EVP_CipherUpdate((EVP_CIPHER_CTX *)local_30[0xb],DAT_00302030,&local_34,*local_30,

                           (int)local_30[]);

  if (iVar1 == ) {

                    /* WARNING: Subroutine does not return */

    pthread_exit((void *)0x0);

  }

  local_28 = local_28 + (long)local_34;

  iVar1 = EVP_CipherFinal_ex((EVP_CIPHER_CTX *)local_30[0xb],DAT_00302030 + local_28,&local_34);

  if (iVar1 == ) {

                    /* WARNING: Subroutine does not return */

    pthread_exit((void *)0x0);

  }

  local_28 = local_28 + (long)local_34;

  puts("Ciphertext: ");

  my_printf(stdout,(long)DAT_00302030,local_28,0x10,);

                    /* WARNING: Subroutine does not return */

  pthread_exit((void *)0x0);

}

神仙东西,思路大致看懂了tql,orz

总结一下学到的改变执行流的思路吧:条件竞争并不能写任意内存,程序也没有任意地址写的漏洞,这时可以尝试找一个相对地址的调用,如果这个相对地址可控,我们就可以改变执行流了

0ctf 2019 zero_task的更多相关文章

  1. 2019年台积电进军AR芯片,将用于下一代iPhone

    近日,有报道表示台积电10nm 芯片可怜的收益率可能会对 2017 年多款高端移动设备的推出产生较大的影响,其中自然包括下一代 iPhone 和 iPad 机型.不过,台积电正式驳斥了这一说法,表明1 ...

  2. 0ctf – mobile – boomshakalaka writeup

    作为一个web狗,一道web都没做出来Orz...做出来一道apk,纪念一下在ctf中做出的第一道apk... 首先在模拟器或者真机中安装一下apk看到是一个cocos2dx的打飞机游戏 根据题目提示 ...

  3. Observe the 0CTF & 0CON

    I went to observe 0CTF and 0CON on 4.22 ~ 4.24 and just come back. Not only do I learn a lot from th ...

  4. VS经常报错的link error 2019

    VS经常报错的link error 2019 原因如下: 可能是找得到头文件,但是相关的dll或者lib找不到,需要在配置里面添加相应的库文件. project=>configuration.. ...

  5. YTU 2019: 鞍点计算

    2019: 鞍点计算 时间限制: 1 Sec  内存限制: 64 MB 提交: 66  解决: 30 题目描述 找出具有m行n列二维数组Array的"鞍点",即该位置上的元素在该行 ...

  6. Windows Server 2019 预览版介绍

    在Windows server 2012.Windows server 2016还未完全普及的情况下,昨天Windows Server团队宣布Windows Server 2019将在2018年的下半 ...

  7. Telerik控件集-2019.R1.SP1.All

    Telerik 专注于微软.Net平台的表示层与内容管理控件,提供高度稳定性和丰富性能的组件产品DevCraft,并可应用在非常严格的环境中.Telerik拥有 Microsoft, HP, Alco ...

  8. CTF丨2019互联网安全城市巡回赛·西安站,我们来了!

    万物互联时代,网信事业发展突飞猛进,互联网悄然渗透到国民生活的每一个角落,伴随而来的网络安全威胁和风险也日渐突出.网络诈骗.钓鱼软件.勒索病毒等安全问题层出不穷,信息泄露等网络安全事件也频繁上演,给用 ...

  9. AI2(App Inventor 2)离线版服务器(2019.04.28更新)

    我们的目标:搭建一个本地多用户的App Inventor 2 服务器   演示: http://ai2.fsyz.net  [旧 win]     http://ai2n.fsyz.net [新 Ce ...

随机推荐

  1. Echarts学习之路3(在react中使用)

    安装: npm install echarts --save demo import React, { Component } from 'react'; // 引入 ECharts 主模块 impo ...

  2. MYSQL GTID position

    MySQL5.6 新特性之GTID - jyzhou - 博客园 http://www.cnblogs.com/zhoujinyi/p/4717951.html MySQL · 答疑释惑 · GTID ...

  3. CSS中的opacity,不透明度的坑

    opacity的用法示例如下 /* 值是0到1之间的数值 */ opacity:0.5 opacity设置在元素上的时候,会出现什么效果? 答曰:如果不设置opacity的话,会显示效果为A(可以理解 ...

  4. springboot 配置mybatis

  5. 【10】Cookie和Session

    一.cookie和session的介绍 cookie不属于http协议范围,由于http协议无法保持状态,但实际情况,我们却又需要"保持状态",因此cookie就是在这样一个场景下 ...

  6. 入坑MATLAB必会的吐血总结

    本渣想回过头来整理一下MATLAB的一些基本的知识(很多东西比较琐碎,应该系统的梳理梳理),下文中没有提到的,自己用help查即可. 此文用来存个档,便于回顾. 由于matlab各版本部分语法存在差异 ...

  7. mac 下 clang++ 找不到头文件 stdlib.h

    因为要用 openmp库,用 clang++ 编译 c++程序,出现了如下报错: clang++ xx.cpp -o xx -fopenmp /usr/local/Cellar/llvm/7.0.0/ ...

  8. Java技术栈思维导图

    Java技术栈思维导图 Java IO流体系 设计模式

  9. Phython中读写和存储.mat文件

    背景 在做deeplearning过程中,使用caffe的框架,一般使用matlab来处理图片(matlab处理图片相对简单,高效),用python来生成需要的lmdb文件以及做test产生结果.所以 ...

  10. 【tensorflow】学习笔记

    1.tensorflow中dynamic_rnn和rnn有什么区别?    在tensorflow中没有找到rnn这个方法难道是废弃掉了? rnn是静态图,比如有10个时间序列,那么它将全部展开,并且 ...