asis2016-b00ks

最新推荐文章于 2023-10-02 12:42:32 发布
VIP文章 最新推荐文章于 2023-10-02 12:42:32 发布
阅读量713 收藏 2
点赞数 1
分类专栏: CTF pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35713009/article/details/90743863
版权

off-by-one

本题主要是堆上面的off-by-one漏洞利用。off-by-one的成因主要是输入边界考虑不周导致的单字节溢出。一种利用方式是通过修改chunk大小造成结构块之间的重叠,本题就是这种利用方式。

程序分析

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  __int64 savedregs; // [rsp+20h] [rbp+0h]

  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 1, 0LL);
  welcome();
  change_author();
  while ( (unsigned int)select() != 6 )
  {
    switch ( (unsigned int)&savedregs )
    {
      case 1u:
        create();
        break;
      case 2u:
        delete();
        break;
      case 3u:
        edit();
        break;
      case 4u:
        print();
        break;
      case 5u:
        change_author();
        break;
      default:
        puts("Wrong option");
        break;
    }
  }
  puts("Thanks to use our library software");
  return 0LL;
}

pwn题的逆向分析通常难度不大,关键是还原数据结构以及漏洞点的寻找。

很容易还原book的结构

book            struc ; (sizeof=0x20, mappedto_6)
00000000 ID              dq ?
00000008 name            dq ?
00000010 description     dq ?
00000018 size            dq ?
00000020 book            ends

在偏移0x9F5处的字符串输入函数存在off-by-one漏洞,由于边界考虑不周,导致\x00的单字节溢出,即该函数输入的字符串长度实际上比参数中指定的大小多1字节\x00。

signed __int64 __fastcall MyGets(char *chr, int length)
{
  int i; // [rsp+14h] [rbp-Ch]
  char *buf; // [rsp+18h] [rbp-8h]

  if ( length <= 0 )
    return 0LL;
  buf = chr;
  for ( i = 0; ; ++i )
  {
    if ( (unsigned int)read(0, buf, 1uLL) != 1 )
      return
最低0.47元/天 解锁文章
「已注销」
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASIS for GNAT-开源
05-15
gcc上用于GNAT的ASIS(Ada语义接口规范)。 ASIS是已发布的国际ISO标准(ISO / IEC 15291:1999)。 也可以使用基于ASIS的工具。
【off by null】asis2016_b00ks
huzai9527的博客
05-13 264
【off by null】asis2016_b00ks 1. ida分析 在设置author name的时候存在off by null,输入32个字符后,会在后面添加\x00,author name 紧接着 booklist,当author name输入32字符后,创建一个book会覆盖\x00,此时print book会泄露book[0]的地址。 2. 思路 设置author name的长度为32(最后的\x00会被后创建的book[0]覆盖) 创建两个book,第二个book足够大(泄
asis2016_b00ks --堆的off-by-null
kissyunlei的博客
02-17 504
非常典型的off-by-null题,思路清晰,结构体指向难找,欢迎师傅们来看
asis2016_b00ks
z1r0的博客
03-21 528
asis2016_b00ks 查看保护 这个看上去很正常,跟进一下read_input 可以看到一个off-by-null漏洞。 这里的作者的名字和heap_ptr贴在了一起 攻击思路:一个off-by-null,看一下可不可以从author_addr这里入手 因为heap_ptr和author_addr贴在了一起,而read_input有一个off-by-null,可以通过change_author_name来使得heap_ptr低一字节被改在\x00。这里还有一个知识点,一开始输入0x20个数
[Asis CTF 2016] b00ks —— Off-By-One笔记与思考
Tokameine的博客
09-13 1205
前言: 这道题做得有点痛苦......因为本地通常都很难和服务器有相同的环境,使用mmap开辟空间造成的偏移会因此而变得麻烦,并且free_hook周围很难伪造chunk,一度显然恐慌...... 不过本来应该很早就开始Off-By-One的学习的,竟然现在才注意到......惭愧 正文: book结构: struct book { int id; char *name; char *description; in...
Asis CTF 2016 b00ks
Bill
04-01 2747
Asis CTF 2016 b00ks 1. 序言 &nbsp;&nbsp;本篇文章是对CTF WIKI Off-By-One漏洞类型的补充. CTF WIKI上面Off-By-One这一章节中两个例子均没有给出相应的EXP, 本次总结将其中一个例子详细分析一下, 希望能够对其他学习者有帮助 2. 程序简介 该程序是一个图书管理系统,可以添加书名,修改作者名以及写备注...
H20asis-项目开发
03-30
美味的口渴安全性,首先是非接触式饮水机。
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库.docx
07-05
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库
Asis - Sobrevivir es un juego-开源
04-27
Asis-Survive是一款出色的后世界末日RPG游戏。 您的脑海和屏幕上的魔法和剑的世界...
asis-github-talk-notes:我在 GitHub 上与 ASIS 团队在 2252015 上的谈话笔记。接受拉取请求!
06-22
这些是我在 2015 年 2 月 25 日在 GitHub 上与 ASIS 团队谈话的笔记。 GitHub 是地球上最大的代码托管商,拥有超过2000 万个存储库。 无论大小,每个存储库都带有相同的强大工具。 这些工具对于公共项目对社区开放...
buu刷题日记 asis2016_b00ks
qq_51474381的博客
05-18 505
1.漏洞点 一个off by null,但和其他堆题的利用不太一样。 输入name时可覆盖heaplist的最低位为0 2.利用思路 1.泄露heap地址 申请大的heap再free掉,show功能正常,直接泄露。 2.泄露libc && 改__free_hook heaplist的第一个指针最低位可覆盖为0,在对应位置伪造结构体,再结合edit和show功能实现任意读写,改freehook为system。 3.shell 申请时写入‘/bin/sh\x00’再
[PWN] BUUCTF asis2016_b00ks Offbynull利用
LDX的博客
10-02 120
堆 Offbyone 劫持free_hook
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1257
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1335
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
Asis CTF 2016——b00ks
04-18 345
这程序是一个图书管理系统  #off-by-one 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 struct _IO_FILE *v3; // rdi 4 __int64 savedregs; // [rsp+20h] [rbp+0h] 5 6 ...
off by one --- Asis CTF 2016 b00ks题解
coco的博客
11-18 542
确定漏洞点 首先,checksec查看开了哪些保护,其中PIE会使我们的调试难度稍稍增加。 再执行程序之后是一个经典的菜单选择,可以大概判断是与堆的利用有关。 通过用ida反编译之后查看,发现有一个关于读的函数会多读入一个\x00,造成了一个null off by one的漏洞。 程序分析 create 函数 创建了book name的堆 创建了book description的堆 创建了b...
ASIS+Quals
最新发布
10-18
ASIS是Ada语义接口规范,它是已发布的国际ISO标准(ISO / IEC 15291:1999)。它提供了一种机制,使得可以在Ada程序中访问和操作程序的语法和语义信息。ASIS可以用于许多应用程序,例如代码分析、代码转换、代码生成...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值