初探off-by-one之Asis CTF 2016 b00ks

最新推荐文章于 2024-07-26 22:10:30 发布
最新推荐文章于 2024-07-26 22:10:30 发布
阅读量1k 收藏 3
点赞数 2
CC 4.0 BY-SA版权
分类专栏: pwn 文章标签: pwn heap off-by-one
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41918771/article/details/101347234
本文深入探讨了Asis CTF 2016 b00ks挑战中的off-by-one漏洞。通过分析图书管理系统的源代码,作者展示了如何通过创建和编辑图书,利用单字节溢出来操控内存,最终实现利用漏洞执行系统命令。详细步骤包括构造fake_chunk,篡改book1和book2的描述以触发system调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目链接:ctf-wiki
参考链接:传送门
如果不懂,可以加讨论qq群:946220807
欢迎大佬坐阵

Off-by-one

单字节溢出,顾名思义,可溢出并且只溢出一个字节。具体还是看题吧。实践出真理。

代码分析

在这里插入图片描述
拿到题后,是一个图书管理系统,代码实现五个功能
在这里插入图片描述
功能:

  1. 创建一个图书
  2. 删除图书
  3. 编辑图书
  4. 打印图书内容
  5. 修改作者的名字。
    6. <
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1636
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
Asis CTF 2016 b00ks
Morphy_Amo的博客
02-22 3570
例题 Asis CTF 2016 b00ks ` 题目链接 1. 安全策略 [*] '/root/ctf/Other/pwn/heap/b00ks' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 开启了full RELRO,因此无法直接进行GOT表劫持。开启了PIE,也导致不能直接用
off by one --- Asis CTF 2016 b00ks题解
coco的博客
11-18 659
确定漏洞点 首先,checksec查看开了哪些保护,其中PIE会使我们的调试难度稍稍增加。 再执行程序之后是一个经典的菜单选择,可以大概判断是与堆的利用有关。 通过用ida反编译之后查看,发现有一个关于读的函数会多读入一个\x00,造成了一个null off by one的漏洞。 程序分析 create 函数 创建了book name的堆 创建了book description的堆 创建了b...
[Asis CTF 2016] b00ks
ethan18的博客
08-01 331
这道题主要是用到了Off-By-One漏洞,还有利用mmap成立的堆与libc基址间距相等的原理。
堆溢出-off-by-one-b00ks
最新发布
zhuo1358的博客
07-26 442
堆溢出_off_by_one,经典题目b00ks
asis2016-b00ks
40KO的博客
06-02 812
off-by-one 本题主要是堆上面的off-by-one漏洞利用。off-by-one的成因主要是输入边界考虑不周导致的单字节溢出。一种利用方式是通过修改chunk大小造成结构块之间的重叠,本题就是这种利用方式。 程序分析 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 savedreg...
pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1271
off-by-one 漏洞 前置学习 【pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
Asis CTF 2016——b00ks
04-18 466
这程序是一个图书管理系统  #off-by-one 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 struct _IO_FILE *v3; // rdi 4 __int64 savedregs; // [rsp+20h] [rbp+0h] 5 6 ...
[Asis CTF 2016] b00ks —— Off-By-One笔记与思考
Tokameine的博客
09-13 1687
前言: 这道题做得有点痛苦......因为本地通常都很难和服务器有相同的环境,使用mmap开辟空间造成的偏移会因此而变得麻烦,并且free_hook周围很难伪造chunk,一度显然恐慌...... 不过本来应该很早就开始Off-By-One的学习的,竟然现在才注意到......惭愧 正文: book结构: struct book { int id; char *name; char *description; in...
Off-By-One Asis CTF 2016 b00ks
qq_39153421的博客
03-09 710
Off-By-One学习、练习0x1、Off-By-One原理0x2、Asis CTF 2016 b00ks1、利用流程:2、泄露过程a、输入用户名,泄露book1地址b、构造假的fake_book结构体,使其指向book2的name和description字段。c、修改book1的描述字段,填入fake_book,输出book,得到book2的name和description地址。d、根据book2的name字段(为什么要是这个字段呢?)由固定偏移计算libcbasee、根据libcbase得到syste
PWN · heap | Off-By-OneAsis CTF 2016 b00ks
Mr_Fmnwon的博客
10-29 559
步入堆的学习。堆的知识复杂而多,于是想着由wiki从简单部分逐个啃。b00ks是经典的堆上off-by-one漏洞题目。刚开始看很懵(因为确实连堆的管理机制都没有完全了解)。
[PWN] BUUCTF asis2016_b00ks Offbynull利用
LDX的博客
10-02 316
Offbyone 劫持free_hook
Asis CTF 2016 b00ks理解
weixin_30666753的博客
03-05 354
---恢复内容开始--- 最近在学习堆的off by one,其中遇到这道题,萌新的我弄了大半天才搞懂,网上的很多wp都不是特别详细,都得自己好好调试。 首先,这题目是一个常见的图书馆管理系统,虽然我没见过。 1. Create a book 2. Delete a book 3. Edit a book 4. Print book detail 5. Change ...
堆溢出off-by-one(asis-ctf-2016 pwn 之 b00ks)
九层台
08-01 2483
这些天积累也知道了一些关于glibc内存的分配策略。 说pwn 是在内存里捉迷藏其实到这里才真正接触大片的内存。精确控制就能保证精确修改数据。 需要的一个很重要的能力就是跟内存的能力。 这里调试exp用gdb.attach(p)来下断点,弹出调试界面。跟踪内存。 用gdb的x命令/xg参数来查看内存以十六进制8字节显示。 这个程序开启了PIE跟踪不太容易,不过可以用find命令查找输入的...
OFF BY ONE AsisCTF2016b00ks
Grxer的博客
03-20 171
题目链接:https://github.com/ctf-wiki/ctf-challenges/tree/master/pwn/heap/off_by_one/Asis_2016_b00ksmore有漏洞会多读取一个字节的/x00author name存放在unk_202040+pie处,32个字节分析后可以推断出book结构体是如下的,而且在unk_202060+pie处开始存放结构体指针,我们可以进行一个字节的溢出,来控制book1的最低位地址。
CTF-PWN--off-by-one
llovewuzhengzi的博客
11-18 612
(2)可以利用同时构造pre_size和对应的NULL字节溢出,然后unlink时合并,此方法的关键在于 unlink 的时候没有检查按照 prev_size 找到的块的大小与prev_size 是否一致。两坨空间:off_202010和0ff_202018分别存储着偏移202060和202040的地址,偏移202060对应的是author name的,偏移202040对应的是第三类堆块的地址。7将虚假chunk的部位设置为某位置的地址即可得到该地址的内容,再次利用printf导致泄露,从而知道函数地址。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bog0n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值