一个条件竞争的洞,以前没有接触过。比赛完研究了wp复现下。

new_thread结构体如下

new_thread:

thread_area        size0x8

thread_area+0x8    size    0x8

thread_area+0x10    choice

thread_area+0x14    key    0x20

thread_area+0x34    IV    0x10

...

thread_area+0x60    task_id

thread_area+0x68    thread_binlist

thread_area+0x88    EVP_CIPHER_CTX_new

delete中并没有uaf的问题

void delete(void)

{

  void **__ptr;

  int task_id;

  void **local_18;

  void **local_10;

  __ptr = DAT_00302028;

  local_18 = DAT_00302028;

  local_10 = DAT_00302028;

  printf("Task id : ");

  task_id = my_read8();

  if ((DAT_00302028 == (void **)0x0) || (task_id != *(int *)(DAT_00302028 + 0xc))) {

    while (local_18 != (void **)0x0) {

      if (task_id == *(int *)(local_18 + 0xc)) {

        local_10[0xd] = local_18[0xd];

        EVP_CIPHER_CTX_free((EVP_CIPHER_CTX *)local_18[0xb]);

        free(*local_18);

        free(local_18);

        return;

      }

      local_10 = local_18;

      local_18 = (void **)local_18[0xd];

    }

  }

  else {

    DAT_00302028 = (void **)DAT_00302028[0xd];

    EVP_CIPHER_CTX_free((EVP_CIPHER_CTX *)__ptr[0xb]);

    free(*__ptr);

                    /* 这里不存在uaf

                       00302028会存储线程链的值,在释放前会判断这个值是否为空

                        */

    free(__ptr);

  }

  return;

}

存在的问题是创建新线程执行start_routine时的条件竞争(这里产生条件竞争的原因是子线程会共享主线程的bss段,在创建子线程时sleep(2)后再更新bss段的数据)

void start_routine(uchar **ppuParm1)

{

  int iVar1;

  long in_FS_OFFSET;

  int local_34;

  uchar **local_30;

  ulong local_28;

  undefined8 local_20;

  undefined8 local_18;

  undefined8 local_10;

  local_10 = *(undefined8 *)(in_FS_OFFSET + 0x28);

  local_34 = ;

  local_20 = ;

  local_18 = ;

  local_28 = ;

  local_30 = ppuParm1;

  puts("Prepare...");

  sleep();

  memset(DAT_00302030,,0x1010);

  iVar1 = EVP_CipherUpdate((EVP_CIPHER_CTX *)local_30[0xb],DAT_00302030,&local_34,*local_30,

                           (int)local_30[]);

  if (iVar1 == ) {

                    /* WARNING: Subroutine does not return */

    pthread_exit((void *)0x0);

  }

  local_28 = local_28 + (long)local_34;

  iVar1 = EVP_CipherFinal_ex((EVP_CIPHER_CTX *)local_30[0xb],DAT_00302030 + local_28,&local_34);

  if (iVar1 == ) {

                    /* WARNING: Subroutine does not return */

    pthread_exit((void *)0x0);

  }

  local_28 = local_28 + (long)local_34;

  puts("Ciphertext: ");

  my_printf(stdout,(long)DAT_00302030,local_28,0x10,);

                    /* WARNING: Subroutine does not return */

  pthread_exit((void *)0x0);

}

神仙东西,思路大致看懂了tql,orz

总结一下学到的改变执行流的思路吧:条件竞争并不能写任意内存,程序也没有任意地址写的漏洞,这时可以尝试找一个相对地址的调用,如果这个相对地址可控,我们就可以改变执行流了

0ctf 2019 zero_task的更多相关文章

  1. 2019年台积电进军AR芯片,将用于下一代iPhone

    近日,有报道表示台积电10nm 芯片可怜的收益率可能会对 2017 年多款高端移动设备的推出产生较大的影响,其中自然包括下一代 iPhone 和 iPad 机型.不过,台积电正式驳斥了这一说法,表明1 ...

  2. 0ctf – mobile – boomshakalaka writeup

    作为一个web狗,一道web都没做出来Orz...做出来一道apk,纪念一下在ctf中做出的第一道apk... 首先在模拟器或者真机中安装一下apk看到是一个cocos2dx的打飞机游戏 根据题目提示 ...

  3. Observe the 0CTF & 0CON

    I went to observe 0CTF and 0CON on 4.22 ~ 4.24 and just come back. Not only do I learn a lot from th ...

  4. VS经常报错的link error 2019

    VS经常报错的link error 2019 原因如下: 可能是找得到头文件,但是相关的dll或者lib找不到,需要在配置里面添加相应的库文件. project=>configuration.. ...

  5. YTU 2019: 鞍点计算

    2019: 鞍点计算 时间限制: 1 Sec  内存限制: 64 MB 提交: 66  解决: 30 题目描述 找出具有m行n列二维数组Array的"鞍点",即该位置上的元素在该行 ...

  6. Windows Server 2019 预览版介绍

    在Windows server 2012.Windows server 2016还未完全普及的情况下,昨天Windows Server团队宣布Windows Server 2019将在2018年的下半 ...

  7. Telerik控件集-2019.R1.SP1.All

    Telerik 专注于微软.Net平台的表示层与内容管理控件,提供高度稳定性和丰富性能的组件产品DevCraft,并可应用在非常严格的环境中.Telerik拥有 Microsoft, HP, Alco ...

  8. CTF丨2019互联网安全城市巡回赛·西安站,我们来了!

    万物互联时代,网信事业发展突飞猛进,互联网悄然渗透到国民生活的每一个角落,伴随而来的网络安全威胁和风险也日渐突出.网络诈骗.钓鱼软件.勒索病毒等安全问题层出不穷,信息泄露等网络安全事件也频繁上演,给用 ...

  9. AI2(App Inventor 2)离线版服务器(2019.04.28更新)

    我们的目标:搭建一个本地多用户的App Inventor 2 服务器   演示: http://ai2.fsyz.net  [旧 win]     http://ai2n.fsyz.net [新 Ce ...

随机推荐

  1. WordPress慢的八种解决方法(用排查法解决)

    WordPress的打开速度慢会影响到用户体验和关键词的稳定排名,WordPress为什么加载慢呢?其实很简单的,就是WordPress水土不服,用WordPress的大家都知道,WordPress是 ...

  2. 证明与计算(1): Decision Problem, Formal Language L, P and NP

    0x01 从判定问题到形式语言 这篇讲知识证明的wiki([1]): https://en.wikipedia.org/wiki/Proof_of_knowledge 里面有一句话: Let x be ...

  3. button样式的demo

    <style type="text/css"> .styletop{margin-top: 200px;} .stylea{ margin-left:550px;} ; ...

  4. Python3.7源码在windows(VS2015)下的编译和安装

    Python3.7源码在windows(VS2015)下的编译和安装 下载官方源码,使用vs2015(WIN10SDK),最python3.7.0的源码进行编译,编译出不同的版本(release,de ...

  5. Android一些问题

    1.wait()与sleep() wait()方法会释放占有的对象锁,当前线程进入等待池,释放cpu, 而其他正在等待的线程即可抢占此锁,获得锁的线程即可运行程序: sleep()方法则表示,当前线程 ...

  6. BIZ中model.getSql源码分析

    功能:根据model.xml文件中配置的sql,获取对应的动态sql结果. 实例代码:String sql1 = model.getSql(dao.dbMeta());String sql2 = mo ...

  7. Linux-Jenkins安装部署

    Jenkins 安装及插件安装 Jenkins简介: Jenkins只是一个平台,真正运作的都是插件.这就是jenkins流行的原因,因为jenkins什么插件都有 Hudson是Jenkins的前身 ...

  8. 介绍一款自动给添加不同浏览器CSS3前缀的插件~Autoprefixer(附其他前端开发插件)

    正文 自动给CSS文件添加不同浏览器的CSS3前缀:Autoprefixer 安装 只需兼容主流浏览器 正常情况使用:(在书写完的CSS样式文件中,按F1,选择Autoprefixer CSS) 这时 ...

  9. (二分查找 拓展) leetcode 162. Find Peak Element && lintcode 75. Find Peak Element

    A peak element is an element that is greater than its neighbors. Given an input array nums, where nu ...

  10. windows一键部署java项目

    windows一键部署java项目 因为公司需求,要在windows的环境上做一键部署启动java项目,同时还要支持从安装界面动态修改配置文件的IP地址.就像安装软件一样将jdk,tomcat,mys ...