off-by-one漏洞的利用

最新推荐文章于 2021-04-11 18:32:11 发布
最新推荐文章于 2021-04-11 18:32:11 发布
阅读量1.4k 收藏 4
点赞数 2
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44864859/article/details/107489487
版权
本文详细介绍了off-by-one漏洞的原理和两种利用方法,包括堆块重叠导致的数据泄露与控制流程,以及通过main_arena获取libc基址并利用realloc调整栈针的技术细节,最终实现shell的获取。
摘要由CSDN通过智能技术生成

介绍

严格来说 off-by-one 漏洞是一种特殊的溢出漏洞,off-by-one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。

漏洞原理

off-by-one 是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,当然也不排除写入的 size 正好就只多了一个字节的情况。其中边界验证不严通常包括

  • 使用循环语句向堆块中写入数据时,循环的次数设置错误(这在 C 语言初学者中很常见)导致多写入了一个字节。
  • 字符串操作不合适

一般来说,单字节溢出被认为是难以利用的,但是因为 Linux 的堆管理机制 ptmalloc 验证的松散性,基于 Linux 堆的 off-by-one 漏洞利用起来并不复杂,并且威力强大。 此外,需要说明的一点是 off-by-one 是可以基于各种缓冲区的,比如栈、bss 段等等,但是堆上(heap based) 的 off-by-one 是 CTF 中比较常见的。我们这里仅讨论堆上的 off-by-one 情况。

利用方法

1.溢出字节为可控制任意字节:通过修改大小造成块结构之间出现重叠,从而泄露其他块数据,或是覆盖其他块数据。也可使用 NULL 字节溢出的方法

2.溢出字节为 NULL 字节:在 size 为 0x100 的时候,溢出 NULL 字节可以使得 prev_in_use 位被清,这样前块会被认为是 free 块。(1) 这时可以选择使用 unlink 方法(见 unlink 部分)进行处理。(2) 另外,这时 prev_size 域就会启用,就可以伪造 prev_size ,从而造成块之间发生重叠。此方法的关键在于 unlink 的时候没有检查按照 prev_size 找到的块的大小与prev_size 是否一致。

我们现在先通过heapcreator这一题来看第一种利用情况。用ida查看分析伪代码,在主函数中可以清楚的看到程序提供的主要功能。

switch ( atoi(&buf) )
    {
   
      case 1:
        create_heap(&buf, &buf);
        break;
      case 2:
        edit_heap(&buf, &buf);
        break;
      case 3:
        show_heap(&buf, &buf);
        break;
      case 4:
        delete_heap(&buf, &buf);
        break;
      case 5:
        exit(0);
        return;
      default:
        v4 = "Invalid Choice";
        puts("Invalid Choice");
        break;
    }

我们对每一个功能逐步进行分析,create_heap功能

unsigned __int64 create_heap()
{
   
  _QWORD *v0; // rbx
  signed int i; // [rsp+4h] [rbp-2Ch]
  size_t size; // [rsp+8h] [rbp-28h]
  char buf; // [rsp+10h] [rbp-20h]
  unsigned __int64 v5; // [rsp+18h] [rbp-18h]

  v5 = __readfsqword(0x28u);
  for ( i = 0; i <= 9; ++i )
  {
   
    if ( !heaparray[i] )
    {
   
      heaparray[i] = malloc(0x10uLL);
      if ( !heaparray[i] )
      {
   
        puts("Allocate Error");
        exit(1);
      }
      printf("Size of Heap : ");
      read(0, &buf, 8uLL);
      size = atoi(&buf);
      v0 = heaparray[i];
      v0[1] = malloc(size);
      if ( !*((_QWORD *)heaparray[i] + 1) )
      {
   
        puts("Allocate Error");
        exit(2);
      }
      *(_QWORD *)heaparray[i] = size;
      printf("Content of heap:", &buf);
      read_input(*((_QWORD *)heaparray[i] + 1), size);
      puts("SuccessFul");
      return __readfsqword(0x28u) ^ v5;
    }
  }
  return __readfsqword(0x28u) ^ v5;
}

根据以上代码可以分析出程序的存储结构,下图是create了0x20大小的heap的情况,其中heaparry数组存放了chunk1的mem指针,chunk1中存放了heap的size和存储实际内容的chunk2的mem指针,chunk2存放了实际的heap的内容。

image-20200713154932938

edit_heap功能根据chunk1中存放的指针对chunk2中的内容进行修改,要注意的是可写入的长度是size+1。

if ( heaparray[v1] )
  {
   
    printf("Content of heap : ", &buf);
    read_input(*((void **)heaparray[v1] + 1), *(_QWORD *)heaparray[v1] + 1LL);
    puts("Done !");
  }

show_heap功能根据chunk1中存放的指针对chunk2中的内容进行打印

if ( heaparray[v1] )
  {
   
    printf("Size : %ld\nContent : %s\n", *(_QWORD *)</
最低0.47元/天 解锁文章
棂星
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1073
off-by-one 漏洞 前置学习 【pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
Linux下堆漏洞利用(off-by-one)
nibiru_holmes的博客
03-14 8582
一个字节溢出被称为off-by-one,曾经的一段时间里,off-by-one被认为是不可以利用的,但是后来研究发现在堆上哪怕只有一个字节的溢出也会导致任意代码的执行。同时堆的off-by-one利用也出现在国内外的各类CTF竞赛中,但是在网络上还不能找到一篇系统的介绍堆off-by-one利用的教程。在这篇文章中我列出了5种常见的堆上的off-by-one攻击方式,并且给出了测试DEMO,测试的
Off-By-One
abelxu
11-09 1353
0x01 原理 严格来说 off-by-one 漏洞是一种特殊的溢出漏洞,off-by-one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。off-by-one的产生往往和字符串操作有关。如strlen计算长度时,不会计算最后的“0字节”(\x00)。循环读入时,<写成了<=。 0x02 利用思路 溢出字节为可控制任意字节: 通过修改下一个堆块的size造成块结构之间出现重叠,从而泄露其他块数据,或是覆盖其他块数据。也可使用 NULL 字节溢出的方
Unlink学习笔记(off-by-one null byte漏洞利用
TaiJi1985的专栏
08-27 2651
看了很多malloc unlink 的案例,仍然是云里雾里, 找了一个案例,反复调了几十遍才弄明白其中原理。 off-by-one 漏洞 以及漏洞利用原理 off-by-one漏洞就是malloc 本来分配了0xf8的内存,结果可以写0xf9字节的数据,多写了一个,影响了下一个内存块的头部信息, 进而造成了被利用的可能。 unlink是双链表中删除一个节点的操作。 当前是p 前一个...
堆溢出 Off-By-One 原理学习
prettyX的博客
04-11 2206
Off-By-One 严格来说,off-by-one是一种特殊的溢出漏洞,off-by-one指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。 off-by-one,是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,也不排除写入的size正好就只多了一个字节的情况。 一般认为,单字节溢出是难以利用的,但是因为Linux的堆管理机制ptmalloc验证的松散性,基于Linux堆的off-by-one漏洞利用起来并不复杂,并且威力强大...
好好说话之off-by-one
hollk’s blog
08-24 5440
从这篇开始就进入堆的范围了,又是两万字”小论文“,关于堆的相关知识请参考wiki上的章节。博主直接讲做堆的技巧,这篇讲off-by-one,也是踩了很多的坑。这篇文章因为写的比较详细,所以会很长,如果有忘记的知识点请翻阅目录查看。感谢在学习中帮助过我的大佬们:NoOne、povcfe
堆溢出----Off-By-One
qq_42192672的博客
10-22 3242
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/heap/off_by_one/#_5 off-by-one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节,emmm 看一下CTFWIKI给的第一个例子(循环边界) int my_gets(char *ptr,int size) { i...
off-by-one
钞sir的博客
11-05 9770
简介 off-by-one漏洞在堆分配时有比较大的威胁, 在pwn中利用比较常见, 这里介绍一个由base64解码造成的off-by-one漏洞, 这个漏洞在CVE-2018-6789当中是真实存在的, 这里以一个ctf中的pwn题目notepad来介绍一下利用过程; 前置知识 原理在分析程序之前先介绍一下Base64的编码和解码的原理; Base64编码 Base64编码的原理是将二进制数据进行分组,每24Bit(即3字节)为一个大组,再把一个大组的数据分成4个6Bit的小分组; 因为6bit数据只能表示
玩转堆-堆漏洞利用技巧.docx
01-10
堆溢出的利用技术包括 Use After Free & Double Free、Heap Overflow、Fast bin attack、Unsorted bin attack、Overwrite Topchunk、Classical&Modern Unlink Attack、Off by one & Off by null 等。其中,Use After...
【技术分享】glibc 2.29-2.32 off by null bypass .pdf
09-05
总结起来,glibc 2.29-2.32 off by null bypass涉及到堆内存管理、内存安全检查、漏洞利用技术和防御机制的规避。对于安全分析师和开发者来说,理解这些概念和技巧有助于提高系统安全性,防止潜在的内存攻击。同时,...
Linux(x86) 漏洞利用系列教程
03-17
Linux(x86) Bigtang Linux exploit 2015-7-18 ...linux 1 linux linux ASLR,Stack Canary NX PIE 1. Classic Stack Based Buffer Overflow 2. Integer Overflow 3. Off-By-One (Stack Based) ASLR,Stack Canary NX PIE
hgamewriteup
最新发布
03-01
题目设计了一个利用堆的off-by-one漏洞来达成任意写入目的的过程。具体来说: 1. **结构体布局**: - 题目提供了一组结构体,这些结构体不仅自身分配了内存,而且还为其成员变量分配了额外的空间。这种布局使得可...
security-geek-2020-q2.pdf
09-19
17. StarCTF 2019 v8 off-by-one漏洞学习笔记:通过对比赛中的off-by-one漏洞的分析,提供了理解和防范此类漏洞的方法。 18. Fastjson反序列化漏洞史:回顾了Fastjson库中的反序列化漏洞发展历程,提醒开发者关注...
关于Linux下更换不同glibc版本的解决方法
热门推荐
weixin_44864859的博客
07-09 1万+
在学习fastbin的有关漏洞利用时,由于本地的glibc版本是2.27的,存在tcache机制所以和单纯fastbin的利用方法不同,因此只能换用版本更低glibc版本。但是更换 ELF 文件的 libc 版本的过程让我十分头疼,最后在大佬的帮助下总算还是成功了,现在记录一下解决方法。 首先获取不同版本的glibc 获取glibc的方法不止一种,可以手动下载也可以借助自动化工具。这里我使用的是https://github.com/matrix1001/glibc-all-in-one 下载完成后可以在
ret2text知识点及例题
weixin_44864859的博客
05-19 1379
ret2text 这里涉及到的知识 Stack: No canary found NX: NX enabled ret2text: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked 1.首先是stack保护措施,如果开启的话在栈中返回地址前放一个随机值,如果被覆盖,程序就会报错退出 2.nx则是 no execution,如果开启的话就不能让ip寄存器指向堆和栈。。。。注意堆和栈是不
BJDCTF-PWN r2t4详解
weixin_44864859的博客
03-26 1018
BJDCTF_r2t4 考点:用格式化字符串写__stack_chk_fail 函数来 bypass canary 由于涉及到格式化字符串漏洞利用,所以基本原理和利用方法要先有一定的了解。推荐先阅读CTF-wiki: 格式化字符串漏洞原理介绍 格式化字符串漏洞利用 1.首先检查程序的基础信息 64位程序,可以看到开启了NX和Stack防护 2.运行程序,对程序功能有基本了解 程序基本功能:对...
从两道基础题简单认识和了解fastbin double free漏洞利用
weixin_44864859的博客
07-13 988
fastbin double free原理 Fastbin Double Free 是指 fastbin 的 chunk 可以被多次释放,因此可以在 fastbin 链表中存在多次。这样导致的后果是多次分配可以从 fastbin 链表中取出同一个堆块,相当于多个指针指向同一个堆块,结合堆块的数据内容可以实现类似于类型混淆 (type confused) 的效果。(即可以构造假的chunk实现任意地址写) Fastbin Double Free 能够成功利用主要有两部分的原因 fastbin 的堆块被释放后
pwn题exp模版
weixin_44864859的博客
08-07 979
根据其他师傅的一些exp自己简单整理了一下,感觉用起来还可以。。。 from pwn import * from LibcSearcher import LibcSearcher from sys import argv def ret2libc(leak, func, path=''): if path == '': libc = LibcSearcher(func, leak) base = leak - libc.dump(func) system = base + libc.dum
CAN总线错误处理与Bus-off问题解析
节点有两种主要的计数器:错误被动计数器(Error Passive Counter)和Bus-Off计数器。当错误活跃计数器达到一定的阈值,节点进入错误被动状态,此时它不再发送错误帧,但仍然可以接收数据。如果错误持续发生,节点将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值