Asis 2016 b00ks (off by one利用)-Pwn-看雪-安全社区|安全招聘|kanxue.com

Asis 2016 b00ks (off by one利用)

发表于: 2018-8-28 12:34 24598

Asis 2016 b00ks (off by one利用)

Seclusion

2018-8-28 12:34

24598

记pwn萌新解题的辛酸历程，写的尽量详细，让和我一样的小菜鸡都能看的明白清楚。

参考前辈的文章

https://cq674350529.github.io/2018/06/05/asis-ctf-2016-pwn-b00ks/

https://bbs.pediy.com/thread-225611.htm

写的非常清楚明白

首先用checksec查看一下b00ks文件的保护，发现开启了PIE，Full RELRO。

为了调试的时候方便，暂时关闭系统的地址随机化功能 echo 0 > /proc/sys/kernel/randomize_va_space

然后用ida打开分析程序的具体功能。

b00ks是常见的图书管理系统，功能如下：

off_by_one的漏洞位于如下函数：

当输入author name的时候，如果输入的字符串长度为32时，会溢出一个字节‘\00’。实际想内存中写入了33个字符。

分析create函数中如下代码

可知book_struct的结构如下：

struct book_struct

{

int id;

void * book_name;

void *book_description;

int description_size;

}

大小为32个字节。

并且book_struct的同意存放在一个静态的数组中管理global_struct_array中，以及author存放的地址也是一个静态的地址。

可知offset_book_strcut - offset_author_name = 0x20，恰好和之前分析的author_name输入时的off_by_one漏洞所需的字符串长度吻合。

因此，我们可以知道当author_name的长度为32B时，结束符‘/00’会溢出到global_struct_array的第一个数组元素当中去，然后如果我们create一个book之后，'\00'结束符会被覆盖掉，因此打印author_name的时候可以将global_struct_array的第一个元素泄露出来，即泄露出addr_book1。

调试程序看一下具体效果，因为我们不知道程序加载的基址，所以调试的时候下断点不方便，因此通过如下办法获取程序加载的基址（因为我们调试的时候为了方便已经禁用了PIE,所以多次加载程序的基址不变）：

首先gdb b00ks，然后r运行程序。

程序启动之后，通过 cat /proc/pid/maps获取程序的内存信息，可知程序加载的基址为0x555555554000。因此之后设置断点时基址+ida地址 = 实际运行的地址。

当输入author_name = 'a'*32后，查看内存信息如下：

x/10xg 0x555555554000+0x202040

溢出的'\00'的位置如图中标注所示

在create一个book_struct之后，内存信息如下所示，可以看到author_name的结束符被覆盖，通过打印author_name的信息可以将addr_book1的信息泄露。

然后在继续create book2，通过查看内存地址信息，可以知道addr_book2-addr_book1=0x30。因此exp的时候可以通过泄露addr_book1来得到addr_book2的信息。

然后在运用change_author_name的功能，重新溢出一个字节‘\00'，然后global_struct_array中的第一个元素的地址改变，我们可以通过为book1_description申请大一点的空间，来使的被修改后 global_struct_array中的第一个元素的地址指向book1_description内的地址，然后我们可以在相应的地址重新伪造一个book1_struct。因为有print description以及edit description的功能，所以我们通过伪造book1_struct的description使其指向任意地址，通过打印或者edit来实现任意地址的读写。

change_author_name来实现溢出'\00'，可以看到global_struct_array中的第一个元素地址由0x0000555555758160被改为0x0000555555758100，即指向了我们伪造的book1_struct。然后我们伪造的struct结构如下：

{

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2019-10-30 22:55 被Seclusion编辑，原因：

上传的附件：

pwn_f39be3022bd1c5ad07cf0f11836b5dd9.rar （658.64kb，40次下载）

收藏・3

免费・5

支持

最新回复 (14)
s0ck4t7 雪币： 2277 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	s0ck4t7 2 楼这篇终于能看懂了，膜dalao 2019-7-23 12:45 0
久久归雪币： 522 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	久久归 3 楼找到基地址以后下断点是要退出gdb以后再下断点吗？ 2019-8-3 10:43 0
出嘿29398636 雪币： 197 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	出嘿29398636 4 楼看懂一点点，自己始终是不够啊 2019-8-6 18:26 0
Seclusion 雪币： 61 活跃值： (2390) 能力值： ( LV9，RANK：260 ) 在线值：发帖 15 回帖 53 粉丝 12 关注私信	Seclusion 4 5 楼久久归找到基地址以后下断点是要退出gdb以后再下断点吗？嗯嗯下断点就要重新下了 2019-8-15 21:23 0
Seclusion 雪币： 61 活跃值： (2390) 能力值： ( LV9，RANK：260 ) 在线值：发帖 15 回帖 53 粉丝 12 关注私信	Seclusion 4 6 楼出嘿29398636 看懂一点点，自己始终是不够啊加油慢慢来都是这么过来的 2019-8-15 21:25 0
零零七Robot 雪币： 177 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	零零七Robot 7 楼请问如果不禁止PIE，怎样查找author在内存中的位置呢？ 2019-9-15 01:22 0
Seclusion 雪币： 61 活跃值： (2390) 能力值： ( LV9，RANK：260 ) 在线值：发帖 15 回帖 53 粉丝 12 关注私信	Seclusion 4 8 楼零零七Robot 请问如果不禁止PIE，怎样查找author在内存中的位置呢？我记不太清楚了，大概通过计算就可以。程序基址+相对偏移。 2019-9-15 08:52 0
零零七Robot 雪币： 177 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	零零七Robot 9 楼已解决，用gdb查找字符在内存中位置即可 2019-9-16 17:24 0
mb_hsppmskk 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_hsppmskk 10 楼师傅您好,我想请问一下在exp的第87行, mmap_addr: 0x7ffff7fb7010是怎么获得的?在vmmap中我找不到相关信息啊 2020-11-9 03:25 0
Seclusion 雪币： 61 活跃值： (2390) 能力值： ( LV9，RANK：260 ) 在线值：发帖 15 回帖 53 粉丝 12 关注私信	Seclusion 4 11 楼 mb_hsppmskk 师傅您好,我想请问一下在exp的第87行, mmap_addr: 0x7ffff7fb7010是怎么获得的?在vmmap中我找不到相关信息啊本地gdb调试的时候 p/x &mmap 查看mmap函数地址 2020-11-9 14:33 0
mb_hsppmskk 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_hsppmskk 12 楼 iddm 本地gdb调试的时候 p/x &mmap 查看mmap函数地址[em_76] 弱弱的再请教一下, 如果按照正常的做题开启ASLR的情况下, 又该如何获得这个地址呢...我现在关闭ASLR成功了, 但是开启ASLR又无法获得这个libcbase了, 毕竟它mmap函数地址也一直在改变啊 2020-11-11 02:35 0
Seclusion 雪币： 61 活跃值： (2390) 能力值： ( LV9，RANK：260 ) 在线值：发帖 15 回帖 53 粉丝 12 关注私信	Seclusion 4 13 楼 mb_hsppmskk 弱弱的再请教一下, 如果按照正常的做题开启ASLR的情况下, 又该如何获得这个地址呢...我现在关闭ASLR成功了, 但是开启ASLR又无法获得这个libcbase了, 毕竟它mmap函数地址也一直在 ... 函数地址的偏移是固定的，泄露出一个函数地址以后，通过偏移就可以计算出所有函数的地址了。你不理解的话，可以开启ALSR然后gdb调试，计算一下泄露的libc地址和libc基地址之间的偏移就懂了。 2020-11-11 18:14 0
XiaozaYa 雪币： 6008 活跃值： (2590) 能力值： ( LV9，RANK：250 ) 在线值：发帖 16 回帖 52 粉丝 51 关注私信	XiaozaYa 5 14 楼大佬，我book2开的0x21000结果泄漏出来，mmap在libc上面 2022-11-15 23:34 0
鼎破天雪币： 7 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	鼎破天 15 楼请教一下大佬，这个打本地我可以调试偏移，如果打远程得到那块mmap分配的地址后，但是远程不能调试该怎么计算偏移？ 1天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Seclusion

发帖

回帖

260

RANK

关注

私信

他的文章

[原创]源代码静态分析方法--代码属性图Code Property Graphs 13968
[翻译]SYMTCP:Eluding Stateful xxx Discovery 12442
2020太湖杯pwn题解 7998
2020 湖湘杯 pwn题解 7162
2020西湖论剑题目write up 8583

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
s0ck4t7 雪币： 2277 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	s0ck4t7 2 楼这篇终于能看懂了，膜dalao 2019-7-23 12:45 0
久久归雪币： 522 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	久久归 3 楼找到基地址以后下断点是要退出gdb以后再下断点吗？ 2019-8-3 10:43 0
出嘿29398636 雪币： 197 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	出嘿29398636 4 楼看懂一点点，自己始终是不够啊 2019-8-6 18:26 0
Seclusion 雪币： 61 活跃值： (2390) 能力值： ( LV9，RANK：260 ) 在线值：发帖 15 回帖 53 粉丝 12 关注私信	Seclusion 4 5 楼久久归找到基地址以后下断点是要退出gdb以后再下断点吗？嗯嗯下断点就要重新下了 2019-8-15 21:23 0
Seclusion 雪币： 61 活跃值： (2390) 能力值： ( LV9，RANK：260 ) 在线值：发帖 15 回帖 53 粉丝 12 关注私信	Seclusion 4 6 楼出嘿29398636 看懂一点点，自己始终是不够啊加油慢慢来都是这么过来的 2019-8-15 21:25 0
零零七Robot 雪币： 177 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	零零七Robot 7 楼请问如果不禁止PIE，怎样查找author在内存中的位置呢？ 2019-9-15 01:22 0
Seclusion 雪币： 61 活跃值： (2390) 能力值： ( LV9，RANK：260 ) 在线值：发帖 15 回帖 53 粉丝 12 关注私信	Seclusion 4 8 楼零零七Robot 请问如果不禁止PIE，怎样查找author在内存中的位置呢？我记不太清楚了，大概通过计算就可以。程序基址+相对偏移。 2019-9-15 08:52 0
零零七Robot 雪币： 177 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	零零七Robot 9 楼已解决，用gdb查找字符在内存中位置即可 2019-9-16 17:24 0
mb_hsppmskk 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_hsppmskk 10 楼师傅您好,我想请问一下在exp的第87行, mmap_addr: 0x7ffff7fb7010是怎么获得的?在vmmap中我找不到相关信息啊 2020-11-9 03:25 0
Seclusion 雪币： 61 活跃值： (2390) 能力值： ( LV9，RANK：260 ) 在线值：发帖 15 回帖 53 粉丝 12 关注私信	Seclusion 4 11 楼 mb_hsppmskk 师傅您好,我想请问一下在exp的第87行, mmap_addr: 0x7ffff7fb7010是怎么获得的?在vmmap中我找不到相关信息啊本地gdb调试的时候 p/x &mmap 查看mmap函数地址 2020-11-9 14:33 0
mb_hsppmskk 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_hsppmskk 12 楼 iddm 本地gdb调试的时候 p/x &mmap 查看mmap函数地址[em_76] 弱弱的再请教一下, 如果按照正常的做题开启ASLR的情况下, 又该如何获得这个地址呢...我现在关闭ASLR成功了, 但是开启ASLR又无法获得这个libcbase了, 毕竟它mmap函数地址也一直在改变啊 2020-11-11 02:35 0
Seclusion 雪币： 61 活跃值： (2390) 能力值： ( LV9，RANK：260 ) 在线值：发帖 15 回帖 53 粉丝 12 关注私信	Seclusion 4 13 楼 mb_hsppmskk 弱弱的再请教一下, 如果按照正常的做题开启ASLR的情况下, 又该如何获得这个地址呢...我现在关闭ASLR成功了, 但是开启ASLR又无法获得这个libcbase了, 毕竟它mmap函数地址也一直在 ... 函数地址的偏移是固定的，泄露出一个函数地址以后，通过偏移就可以计算出所有函数的地址了。你不理解的话，可以开启ALSR然后gdb调试，计算一下泄露的libc地址和libc基地址之间的偏移就懂了。 2020-11-11 18:14 0
XiaozaYa 雪币： 6008 活跃值： (2590) 能力值： ( LV9，RANK：250 ) 在线值：发帖 16 回帖 52 粉丝 51 关注私信	XiaozaYa 5 14 楼大佬，我book2开的0x21000结果泄漏出来，mmap在libc上面 2022-11-15 23:34 0
鼎破天雪币： 7 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	鼎破天 15 楼请教一下大佬，这个打本地我可以调试偏移，如果打远程得到那块mmap分配的地址后，但是远程不能调试该怎么计算偏移？ 1天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复