【pwn学习】堆溢出(四)- off-by-one 漏洞

原创 已于 2022-02-22 14:43:20 修改 · 1.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习

于 2022-02-16 20:41:47 首次发布
本文详细介绍了off-by-one漏洞的概念,起因通常源于边界验证不足,如循环次数错误或字符串操作不当。文章通过实例展示了如何造成off-by-one漏洞,包括栅栏错误和off-by-null情况,并解释了其可能导致的内存破坏,特别是对于chunk大小记录的影响。最后,通过一个CTF例题进一步阐述了这种漏洞的利用方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

off-by-one 漏洞

前置学习

off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。

造成原因

造成off-by-one的原因常常是因为边界验证不充分。

  • 循环写入时,循环次数设置错误导致多写入了一个字节;

  • 字符串操作有误;

    strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算在内的,但是 strcpy 在复制字符串时会拷贝结束符 '\x00'

利用

  • 泄露的字节为可控制任意字节:通过修改大小造成块大小的重叠。

  • 泄露的字节为null字节:可以清楚标志位。下面的检查在2.28版本后添加来针对这种情况。

          if (__glibc_unlikely (chunksize(p) != prevsize))
        malloc_printerr ("corrupted size vs. prev_size while consolidating");
      unlink_chunk (av, p);

示例

栅栏错误

栅栏错误通常是由于循环的边界没有控制好导致写入多执行了一次。

// example_2.c
int my_gets(char *ptr,int size)
{
   
   
    int i;
    for
最低0.47元/天 解锁文章

200万优质内容无限畅学
off-by-one漏洞的利用
weixin_44864859的博客
07-21 1633
介绍 严格来说 off-by-one 漏洞是一种特殊的溢出漏洞off-by-one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。 漏洞原理 off-by-one 是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,当然也不排除写入的 size 正好就只多了一个字节的情况。其中边界验证不严通常包括 使用循环语句向堆块中写入数据时,循环的次数设置错误(这在 C 语言初学者中很常见)导致多写入了一个字节。 字符串操作不合适 一般来说,
off-by-one error
blrk
05-07 3688
大小差一。。 就是指某个变量的最大值和最小值可能会和正常值差1,或者循环多执行一次/少执行一次。 一般在临界情况时发生。   off-by-one,大小差一错误是一类常见的程序设计错误。这方面有一个经典的例子OpenSSH.去Google搜索关键词“OpenSSH off-by-one”可以了解相关状况。具体来说, 1. if(id channels_alloc)... 2. i
pwn-堆溢出off-by-one
CharlesGodX的博客
04-17 1936
Thunder_J@Thunder_J-virtual-machine:~/桌面$ python exp.py [+] Starting local process './Storm_note': pid 16030 [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/Storm_note' Arch: amd64-64-little ...
off-by-one
钞sir的博客
11-05 9881
简介 off-by-one漏洞在堆分配时有比较大的威胁, 在pwn中利用比较常见, 这里介绍一个由base64解码造成的off-by-one漏洞, 这个漏洞在CVE-2018-6789当中是真实存在的, 这里以一个ctf中的pwn题目notepad来介绍一下利用过程; 前置知识 原理在分析程序之前先介绍一下Base64的编码和解码的原理; Base64编码 Base64编码的原理是将二进制数据进行分组,每24Bit(即3字节)为一个大组,再把一个大组的数据分成4个6Bit的小分组; 因为6bit数据只能表示
pwn 堆入门之off by one
清霂的博客
04-18 294
目录Asis CTF 2016 b00ks Asis CTF 2016 b00ks #!/usr/bin/env python2 from pwn import * arch = "amd64" filename = "b00ks" context(os="linux", arch=arch, log_level="debug") content = 0 offset = 0 # elf elf = ELF(filename) menu_addr=0x0000000000000A89 free_got
堆溢出 Off-By-One 原理学习
prettyX的博客
04-11 2422
Off-By-One 严格来说,off-by-one是一种特殊的溢出漏洞off-by-one指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。 off-by-one,是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,也不排除写入的size正好就只多了一个字节的情况。 一般认为,单字节溢出是难以利用的,但是因为Linux的堆管理机制ptmalloc验证的松散性,基于Linux堆的off-by-one漏洞利用起来并不复杂,并且威力强大...
CTF-WiKi堆溢出--pwngdb原理讲解
QX_XDE的博客
10-18 1263
利用pwngdb讲解堆溢出是如何产生以及利用的
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2462
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
CTF-PWN--off-by-one
llovewuzhengzi的博客
11-18 612
(2)可以利用同时构造pre_size和对应的NULL字节溢出,然后unlink时合并,此方法的关键在于 unlink 的时候没有检查按照 prev_size 找到的块的大小与prev_size 是否一致。两坨空间:off_202010和0ff_202018分别存储着偏移202060和202040的地址,偏移202060对应的是author name的,偏移202040对应的是第三类堆块的地址。7将虚假chunk的部位设置为某位置的地址即可得到该地址的内容,再次利用printf导致泄露,从而知道函数地址。
pwn学习笔记(11)--off_by_one
最新发布
qq_66013948的博客
11-09 941
​ 多次输入几个a之后,发现了最后输出的时候输出了17个a,我的目的仅仅只是需要16个a,结果输出了17个a,像这种,在写入字符串的时候多写入了一个字节的情况,就是off by one。prev_sizeprev_sizeprev_sizeprev_size​ 最新版本代码中,已加入针对 2 中后一种方法的 check ,但是在 2.28 及之前版本并没有该 check。
roarctf_2019_easy_pwn[off by one]
、moddemod
07-01 401
溢出一个字节,修改size域 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size)) def write_note(index,...
初级堆溢出-unlink漏洞
weixin_34395205的博客
09-30 331
Linux下堆的unlink漏洞 参考文章:https://blog.youkuaiyun.com/qq_25201379/article/details/81545128 首先介绍一下Linux的堆块结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; INTERNAL_SIZE_T size; struct malloc_chunk *f...
off-by-one error
Elta学习
07-03 688
今天看书有一个off-by-one error,感觉很陌生,google了一下,wiki上有一些资料。 Consider an array of items, and items m through n (inclusive) are to be processed. How many items are there? An intuitive answer may be n−m, but
BUUCTF之off by one漏洞
weixin_45441024的博客
05-21 558
BUUCTF npuctf_2020_easyheap 首先分析一下这个程序,PIE关闭,说明可以修改got表 大概看一下程序的执行机制 堆题常见菜单结构 def add(size,content): p.sendlineafter('Your choice :',str(1)) p.sendlineafter('Size of Heap(0x10 or 0x20 only) : ',str(size)) p.sendlineafter('Content:',content) def edit(
堆溢出漏洞
温和的跳跃
02-08 429
…………
Linux Exploit系列之三 Off-By-One 漏洞 (基于栈)
weixin_30652897的博客
05-05 188
Off-By-One 漏洞 (基于栈) 原文地址:https://bbs.pediy.com/thread-216954.htm 什么是off by one? 将源字符串复制到目标缓冲区可能会导致off by one 1、源字符串长度等于目标缓冲区长度。 当源字符串长度等于目标缓冲区长度时,单个NULL字节将被复制到目标缓冲区上方。这里由于目标缓冲区位于堆栈中,所以单个NULL字节可以覆...
【堆漏洞-Off_by_one
m0_52343643的博客
04-06 1489
缓冲区溢出的一种,只能溢出一个字节普通 off_by_one ,修改堆上指针通过溢出修改堆块头,制造堆块重叠,达到泄露与改写目的-(1) 扩展被释放堆块-(2) 扩展已分配堆块-(3) 收缩被释放堆块-常见的漏洞场景1、 for循环多接收了一个字符2、 strcpy与strlen的行为不一致,strlen不计算入‘ \x00 ’,strcpy会把‘ \x00 ’一同复制3、判断字符串结束符为‘ \n ’,而不是‘ \x00 ’版本问题。
基于Linux的off by one漏洞
you_need_me的博客
06-09 809
https://blog.youkuaiyun.com/nibiru_holmes/article/details/62040763
Linux sudo堆溢出漏洞(CVE-2021-3156)
01-28 1147
漏洞描述: 2021年01月27日,RedHat官方发布了sudo 缓冲区/栈溢出漏洞的风险通告,普通用户可以通过利用此漏洞,而无需进行身份验证,成功获取root权限。漏洞POC已在互联网上公开,提醒Linux系统管理员尽快修复。 漏洞级别:高危 受影响的版本: sudo: 1.8.2 - 1.8.31p2 sudo: 1.9.0 - 1.9.5p1 修复版本: 1/CentOS修复方式...
鹏城实验室2021 pwn题解析:off-by-null漏洞利用
Off-by-null是一种堆溢出漏洞,通常发生在程序尝试向堆内存写入数据时,由于某些操作不当导致堆上的内存偏移错误,进而可能使得原本应该为NULL的内存地址被赋予了非NULL值。这种漏洞在内存管理不当的情况下发生,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值