---恢复内容开始---

最近在学习堆的off by one,其中遇到这道题,萌新的我弄了大半天才搞懂,网上的很多wp都不是特别详细,都得自己好好调试。

首先,这题目是一个常见的图书馆管理系统,虽然我没见过。

. Create a book
. Delete a book
. Edit a book
. Print book detail
. Change current author name
. Exit

漏洞:

  

signed __int64 __fastcall sub_9F5(_BYTE *a1, int a2)
{
int i; // [rsp+14h] [rbp-Ch]
_BYTE *buf; // [rsp+18h] [rbp-8h] if ( a2 <= )
return 0LL;
buf = a1;
for ( i = ; ; ++i )
{
if ( read(, buf, 1uLL) != )
return 1LL;
if ( *buf == )
break;
++buf;
if ( i == a2 )
break;
}
*buf = ;#漏洞所在。
return 0LL;
}

  

signed __int64 sub_B6D()
{
printf("Enter author name: ");
if ( !sub_9F5(off_202018, ) )
return 0LL;
printf("fail to read author_name", 32LL);
return 1LL;
}

可以看到 book_name的size最大是32位,如果输入32个字符,那么'\x00'会被下一个下面的指针数组覆盖了。而且这程序也有修改author_name的机制,所以也可能修改下面的指针数组。

pwndbg> x/20xg 0x555555756040
0x555555756040: 0x6161616161616161 0x6161616161616161
0x555555756050: 0x6161616161616161 0x6161616161616161
0x555555756060: 0x0000555555757790 0x00005555557577c0 指针数组指向book的一个结构,该结构保存了下面结构的信息。
0x555555756070: 0x0000000000000000 0x0000000000000000
struct book
{
int id;
char *name;
char *description;
int size;
}
pwndbg> x/20xg 0x0000555555757790
0x555555757790: 0x0000000000000001 0x0000555555757670
0x5555557577a0: 0x0000555555757700 0x0000000000000080
0x5555557577b0: 0x0000000000000000 0x0000000000000031
0x5555557577c0: 0x0000000000000002 0x00007ffff7fae010
0x5555557577d0: 0x00007ffff7dba010 0x0000000000021000
0x5555557577e0: 0x0000000000000000 0x0000000000020821
0x5555557577f0: 0x0000000000000000 0x0000000000000000
0x555555757800: 0x0000000000000000 0x0000000000000000
0x555555757810: 0x0000000000000000 0x0000000000000000
0x555555757820: 0x0000000000000000 0x0000000000000000
x/50xg 0x0000555555757670
0x555555757670: 0x6262626262626262 0x0000000000000000
0x555555757680: 0x0000000000000000 0x0000000000000000
0x555555757690: 0x0000000000000000 0x0000000000000000
0x5555557576a0: 0x0000000000000000 0x0000000000000000
0x5555557576b0: 0x0000000000000000 0x0000000000000000
0x5555557576c0: 0x0000000000000000 0x0000000000000000
0x5555557576d0: 0x0000000000000000 0x0000000000000000
0x5555557576e0: 0x0000000000000000 0x0000000000000000
0x5555557576f0: 0x0000000000000000 0x0000000000000091
0x555555757700: 0x6363636363636363 0x0000000000006363

首先,指针数组保存了指向每个结构的地址,然后在结构体中,name和des是两个地址,保存输入的name和description。

大概的解题思路:

  首先,利用先输入32位的字符,然后新建book1,这样会导致'\x00'给第一个数组指针给覆盖了,在printbook的时候会将第一个数组指针book1_addr 泄露。

  然后再利用修改author_name的时候,会将第一个数组的最低位给覆盖成'\x00',使第一个数组指针越界访问。

  恰好最低位覆盖为零的时候是指向0x0000555555757700,而0x0000555555757700

pwndbg> x/20xg 0x0000555555757700
0x555555757700: 0x6363636363636363 0x0000000000006363
0x555555757710: 0x0000000000000000 0x0000000000000000
0x555555757720: 0x0000000000000000 0x0000000000000000
0x555555757730: 0x0000000000000000 0x0000000000000000
0x555555757740: 0x0000000000000000 0x0000000000000000
0x555555757750: 0x0000000000000000 0x0000000000000000
0x555555757760: 0x0000000000000000 0x0000000000000000
0x555555757770: 0x0000000000000000 0x0000000000000000
0x555555757780: 0x0000000000000000 0x0000000000000031
0x555555757790: 0x0000000000000001 0x0000555555757670

就是book1的description。这样我们可以提前伪造一个fake_book在book1.这个book1伪造成指向book2,book2和book1的偏移从上面可以看到是0x30

这样在进行修改author_name的时候就可以覆盖了第一个指针,然后再print_book会泄露book2_name和book2_description的地址.因为在print的时候会从原来的description中解地址,但是现在给修改成了fake_book,所以解地址后获得的是book2_name and book2_description的地址。

伪造的payload:      payload = p64(1) + p64(book1_addr + 0x38) + p64(book1_addr + 0x40) + p64(0xffff)

到这一步我们已经获得了任意地址的读写能力了,

接下来的其他的wp也很详细,但我还是得补充一下,就是free_hook,在构造exp时,可以通过修改book1和book2来使得free_hook指向system,__free_hook里面的内容不为NULL, 遂执行内容指向的指令.

这个我实在是脑子不太好,这样的题都看wp想了那么久,调试还是蛮重要的,最后多谢大佬们的wp还有萌新的我写的差,大佬们勿喷哦!

Asis CTF 2016 b00ks理解的更多相关文章

  1. Sharif University CTF 2016 -- Login to System (PWN 200)

    EN: It's easy to find out where is the bug : .text:0000000000400DE4 ; void *start_routine(void *).te ...

  2. Sharif University CTF 2016 - Smooth As Silk

    Category: Crypto Points: 200 Solves: 11 Description: p > q n = p*q = 1146153281852525177586999436 ...

  3. Sharif University CTF 2016 -- Android App

    很多种的方案: 方案 A: 直接逆向读代码方案 B: 解包,加入debug信息,重新打包,动态调试方案 C: 解包,改代码加入log.i整出flag, 去掉MainActivity里面d=什么也可以, ...

  4. Asis CTF 2015-Car_Market

    恰好找到了这道题的bin文件,就来做一下. 这道题目是一个经典的选单程序但是具有三级选单,在bss段存在指针数组ptr,ptr中的值指向每个主结构,其中主结构如下所示. [] model [] pri ...

  5. H4CK1T CTF 2016 Mexico-Remote pentest writeup

    进去网站之后发现连接都是包含类型的,就能想到文件包含漏洞(话说刚总结过就能遇到这题,也算是复习啦) 这里用php://filter/read=convert.base64-encode/resourc ...

  6. CTF-Keylead(ASIS CTF 2015)

    将keylead下载到本地用7-ZIP打开,发现主要文件 keylead~ 在ubuntu里跑起来,发现是个游戏,按回车后要摇出3,1,3,3,7就能获得flag. 拖进IDA 直接开启远程调试,跑起 ...

  7. [DEFCON全球黑客大会] CTF(Capture The Flag)

    copy : https://baike.baidu.com/item/ctf/9548546?fr=aladdin CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的 ...

  8. [CTF]Capture The Flag -- 夺旗赛

    CTF(Capture The Flag) 简单介绍 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式. `In co ...

  9. 引言:CTF新世界

    1. CTF的昨天和今天 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式.CTF起源于1996年DEFCON全球黑客 ...

随机推荐

  1. day20作业

    1.下面这段代码的输出结果将是什么?请解释. class Parent(object): x = 1 class Child1(Parent): pass class Child2(Parent): ...

  2. 微服务SpringCloud之服务网关zuul二

    Zuul的核心 Filter是Zuul的核心,用来实现对外服务的控制.Filter的生命周期有4个,分别是“PRE”.“ROUTING”.“POST”.“ERROR”,整个生命周期可以用下图来表示. ...

  3. Windows许可证即将过期怎么办?

    最近在使用电脑的时候,一开机就会弹窗出现:Windows 许可证即将过期.我勒个去,windows还会过期啊. 我搜遍全网,发现了一个很棒的 Windows10 永久激活的工具,而且没有广告什么乱七八 ...

  4. Azure 上的物联网产品介绍

    微软云Azure上物联网产品提供了从设备接入到设备与云的双向通信,到数据在云中存储,到数据分析,最后到数据展示的完整解决方案,本文主要介绍一些基本的概念,后续的章节中,会详细介绍每款产品的使用方法及步 ...

  5. 学习笔记15_ASP母版页

    *网页母版页设计通用样式#header:{height:100px;width:1000px}#leftDiv:{float:left;width:200px}#mainDiv:{margin-lef ...

  6. 一道国外前端面试题引发的Coding...

    刚刚看到CSDN微信公众号一篇文章,关于国外程序员面试前端遇到的一道测试题,有点意思,遂写了下代码,并记录一下~ 题目是这样的: ['Tokyo', 'London', 'Rome', 'Donlon ...

  7. 敏捷宣言(Agile Manifesto)和敏捷开发十二原则

    敏捷宣言 The Agile Manifesto Individuals and interactions over Process and tools 个体与交互 重于 过程和工具 Working ...

  8. scss新手使用指南

    还在用死的css写样式吗?那可太麻烦了,各种长串选择器不说,还有各种继承权重有时候还有可能不生效 我的小程序项目也结束了,是时候总结一下scss语法了,毕竟用起来更加方便而且还能精简一点代码,好处多多 ...

  9. vue-router动态添加路由报错

    [报错] Uncaught Error: [vue-router] route config "component" for path: /home cannot be a str ...

  10. P4544 [USACO10NOV]购买饲料Buying Feed

    额,直接思路就dp吧.(我还想了想最短路之类的233但事实证明不行2333.....) 直入主题: 化简题意:在x轴上有n个点,坐标为xi.从原点出发,目标点为e,在途中需要收集K重量的物品,在每个点 ...