Asis CTF 2016 b00ks

最新推荐文章于 2023-10-02 12:42:32 发布
最新推荐文章于 2023-10-02 12:42:32 发布
阅读量3.4k 收藏 4
点赞数 1
分类专栏: pwn题 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/123067891
版权
本文详细介绍了Asis CTF 2016 b00ks挑战的安全策略、静态分析和动态分析。分析了程序的off-by-one漏洞,探讨了如何利用这个漏洞实现任意地址写入,并通过动态分析确定libc基址,最终通过修改__free_hook获取shell。
摘要由CSDN通过智能技术生成

例题 Asis CTF 2016 b00ks

`

题目链接

1. 安全策略

[*] '/root/ctf/Other/pwn/heap/b00ks'
    Arch:     amd64-64-little
    RELRO:    Full RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

开启了full RELRO,因此无法直接进行GOT表劫持。开启了PIE,也导致不能直接用引用静态分析的地址。

2. 静态分析

程序的功能是对图书的增删改查。

1. Create a book
2. Delete a book
3. Edit a book
4. Print book detail
5. Change current author name
6. Exit

一个图书对象由3个chunk组成:name-chunk,description-chunk和detail-chunk。其中name-chunk和description-chunk的大小和内容均由用户决定;detail-chunk的结构如下所示

| prev_size				|
| size: 0x20			|
| bookID					|
| name-chunk ptr	|
| desc-chunk ptr	|
|	desc size				|

溢出点

程序中逐字节写入的函数0x1009f5存在off-by-one漏洞,假设要写入的内存大小是0x20,使用该函数写入时会将0x21个字节覆盖为\x00。分析可以发现,写入author name、book name、book content时会引用该函数从而导致溢出。

利用溢出

Author name储存在0x302040开始的32字节的内存中,而0x302060开始的内存空间存储的是现有的book的detail chunk的指针。这里的话存在两种利用方式

  • 在没有bo
最低0.47元/天 解锁文章
Morphy_Amo
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1434
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
ctf大赛题目 格式为图片格式
08-03
### CTF大赛题目分析 #### 一、CTF竞赛背景介绍 CTF(Capture The Flag)是一种网络安全技术比赛形式,在这种比赛中,参赛者通常需要解决一系列由组织者提供的安全挑战来获取分数。这些挑战通常涉及密码学、逆向...
asis2016_b00ks --堆的off-by-null
kissyunlei的博客
02-17 571
非常典型的off-by-null题,思路清晰,结构体指向难找,欢迎师傅们来看
[Asis CTF 2016] b00ks —— Off-By-One笔记与思考
Tokameine的博客
09-13 1314
前言: 这道题做得有点痛苦......因为本地通常都很难和服务器有相同的环境,使用mmap开辟空间造成的偏移会因此而变得麻烦,并且free_hook周围很难伪造chunk,一度显然恐慌...... 不过本来应该很早就开始Off-By-One的学习的,竟然现在才注意到......惭愧 正文: book结构: struct book { int id; char *name; char *description; in...
asis2016_b00ks
z1r0的博客
03-21 557
asis2016_b00ks 查看保护 这个看上去很正常,跟进一下read_input 可以看到一个off-by-null漏洞。 这里的作者的名字和heap_ptr贴在了一起 攻击思路:一个off-by-null,看一下可不可以从author_addr这里入手 因为heap_ptr和author_addr贴在了一起,而read_input有一个off-by-null,可以通过change_author_name来使得heap_ptr低一字节被改在\x00。这里还有一个知识点,一开始输入0x20个数
CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
最新发布
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
asis2完整版
03-21
asis2完整版】指的是Apache Axis2的完整版本,它是一个高效的、可扩展的Web服务(Web Service)引擎。Apache Axis2是Axis1的下一代产品,专注于提供高性能、灵活且模块化的Web服务解决方案。 Web服务是一种通过...
ASIS for GNAT-开源
05-15
ASIS 本身是 ISO / IEC 15291:1999 国际标准,确保了不同实现之间的兼容性,使得开发者可以编写一次工具,然后在遵循 ASIS 标准的不同 Ada 编译器上运行。这一标准的制定,极大地促进了 Ada 开发环境的生态系统发展...
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库.docx
07-05
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库
[PWN] BUUCTF asis2016_b00ks Offbynull利用
LDX的博客
10-02 165
堆 Offbyone 劫持free_hook
[Asis CTF 2016] b00ks
ethan18的博客
08-01 191
这道题主要是用到了Off-By-One漏洞,还有利用mmap成立的堆与libc基址间距相等的原理。
buu刷题日记 asis2016_b00ks
qq_51474381的博客
05-18 527
1.漏洞点 一个off by null,但和其他堆题的利用不太一样。 输入name时可覆盖heaplist的最低位为0 2.利用思路 1.泄露heap地址 申请大的heap再free掉,show功能正常,直接泄露。 2.泄露libc && 改__free_hook heaplist的第一个指针最低位可覆盖为0,在对应位置伪造结构体,再结合edit和show功能实现任意读写,改freehook为system。 3.shell 申请时写入‘/bin/sh\x00’再
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1290
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
Asis CTF 2016——b00ks
04-18 364
这程序是一个图书管理系统  #off-by-one 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 struct _IO_FILE *v3; // rdi 4 __int64 savedregs; // [rsp+20h] [rbp+0h] 5 6 ...
【off by null】asis2016_b00ks
huzai9527的博客
05-13 276
【off by null】asis2016_b00ks 1. ida分析 在设置author name的时候存在off by null,输入32个字符后,会在后面添加\x00,author name 紧接着 booklist,当author name输入32字符后,创建一个book会覆盖\x00,此时print book会泄露book[0]的地址。 2. 思路 设置author name的长度为32(最后的\x00会被后创建的book[0]覆盖) 创建两个book,第二个book足够大(泄
off by one --- Asis CTF 2016 b00ks题解
coco的博客
11-18 575
确定漏洞点 首先,checksec查看开了哪些保护,其中PIE会使我们的调试难度稍稍增加。 再执行程序之后是一个经典的菜单选择,可以大概判断是与堆的利用有关。 通过用ida反编译之后查看,发现有一个关于读的函数会多读入一个\x00,造成了一个null off by one的漏洞。 程序分析 create 函数 创建了book name的堆 创建了book description的堆 创建了b...
ASIS+Quals
10-18
ASIS是Ada语义接口规范,它是已发布的国际ISO标准(ISO / IEC 15291:1999)。它提供了一种机制,使得可以在Ada程序中访问和操作程序的语法和语义信息。ASIS可以用于许多应用程序,例如代码分析、代码转换、代码生成和代码重构。而Quals是一种基于ASIS的工具,它可以用于静态代码分析和漏洞检测。Quals可以帮助开发人员发现和修复代码中的安全漏洞,从而提高软件的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值