ciscn_2019_es_2

最新推荐文章于 2024-04-01 21:53:58 发布
最新推荐文章于 2024-04-01 21:53:58 发布
阅读量102 收藏
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NANMUZN/article/details/130141137
版权
文章介绍了栈迁移的概念,通过分析一个32位程序,展示了在RELRO和NX保护下,如何利用read函数进行栈溢出,获取ebp地址,并通过栈迁移构造exploit,绕过基本的ROP防护,最终调用system函数。过程中提到了关键点,如避免使用x00,以及栈布局的构建策略。
摘要由CSDN通过智能技术生成

记录一下新的知识点:栈迁移,之前没有遇到过。

第一步:checksec

 32位,开了RELRO和NX

第二步:代码审计,用IDA打开

 首先main函数里没什么重要的信息,看一下里面的子函数

 可以看到有read,而且有两次,但是s距离ebp的距离是0x28,虽然可以溢出0x30,但是也只可以多溢出ebp和ret。这里肯定能想到基础的ROP是不可以使用的。

接着发现程序里有hack函数

 程序中调用了system函数,但是传入的参数echo flag,这里就开始没思路了。

所以看了大佬的博客,看到了之前没有见过的攻击手法。

第三步:栈迁移利用

首先栈迁移的关键是知道ebp的地址,由于有read函数还有printf函数,如果我们将ebp之前的地址全覆盖并且不加"\x00"的话,就可以将ebp的地址打印出来,这样就可以得到ebp的地址了。在send的时候,不能用sendline。

然后gdb,查看read函数读入的地址

栈的构造大概是这样将ret的地址中填入leave_ret的地址将其返回到AAAA,接着ret到system,接着执行。

第四步:构造exp

 

 

NANMUZN
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【pwn】ciscn_2019_es_2
Nothing
12-24 2775
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
赛点资源数据包_嵌入式_2019.zip
06-28
赛点资源数据包_嵌入式_2019.zip是一个针对嵌入式领域的学习资料集合,旨在帮助开发者深入理解和掌握嵌入式系统的关键技术和最新趋势。 首先,我们要理解什么是嵌入式系统。嵌入式系统是嵌入到其他设备或系统中的...
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2331
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
Elasticsearch 中国开发者调查报告_2019.pdf
12-20
2010年 Elasticsearch 首个...为了深入了解 Elasticsearch 开发者群体的现状,2019 年 11 月,Elastic 技术社区、阿里巴巴 Elasticsearch 技术团队和阿里云开发者社区三方联合发起了 Elasticsearch 开发者调研活动。
gl_code.rar_V2 _opengl es_opengl es 2.0
09-24
OpenGL ES 2.0 code for Linux v2.13.6.
2019年欧洲车身会议蔚来ES8_Benchmark数据.pdf
01-21
2019年欧洲车身会议蔚来ES8_Benchmark数据
Sample6_2.rar_opengl es_opengl es 2.0
09-19
OpenGL ES 2.0 3D eaample
【CTF】ciscn_2019_es_2
凉水的博客
07-25 1391
ciscn_2019_es_2
【BUUCTF】ciscn_2019_es_2
m0_51251108的博客
12-28 276
【BUUCTF】ciscn_2019_es_2 看下程序 有两处read可以溢出,但只能溢出刚好盖到ebp和ret 由于memset只清了0x20,所以可以泄露出ebp 有system函数,但参数不对 思路:运用栈迁移,迁移到我们写入的前面的部分,写rop链,就可以开shell了 由于需要跳转到我们写入的前面的部分需要知道它的地址,地址=ebp地址-偏移。 用gdb-peda调试,断点设在vul函数,一步步跟进,可以输入aaaa 然后searchmem aaaa stack 来查看栈状态 (这图可能
[PWN] BUUCTF ciscn_2019_es_2
空城惜梦的博客
06-20 1272
[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考: 解题分析 按照惯例checksec一下,开了NX与RELRO 运行程序,查看逻辑,两次input,并且回显Hello,input 32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着栈溢出,若有backdoor直接获得flag的话,可直接构造 payload=0x28*‘a’+ebp+backdoo
buuctf ciscn_2019_es_2
carol2358的博客
04-24 646
通过这道题总算学会用gdb来调试stack了 一道栈迁移的题目,printf函数可以泄露出bp的地址 有system函数,但是没有/bin/sh,所以我采用了往stack里写入binsh,然后通过泄露出来的bp算出偏移来指向binsh的位置,从而getshell 调试的时候看泄露出的栈地址和aaaa的偏移,和binsh的偏移,栈上的地址是\xff开头 exp: from pwn import ...
【栈迁移】[BUUCTF]ciscn_2019_es_2
最新发布
s_hiy_iyi的博客
04-01 321
0x30字节数据给s,s大小是0x28,只能溢出0x8字节,刚好覆写ebp和ret。ret的栈劫持去到参数s的栈,让它去执行我们布置在栈上的system(‘/bin/sh’)来获取shell。第二次直接往栈上写入后门 函数 system(‘/bin/sh’),之后利用leave;第一次输入来泄露程序里的ebp地址,知道了ebp的地址就能够推算出参数s在栈上的地址。如果我们输入的内容正好把ebp前面的区域完全覆盖,这样就没法在末尾补上’\0‘,可以将rop链写到栈上,再将栈劫持到我们写的地方就可以了。
【PWN · 栈迁移】[BUUCTF]ciscn_2019_es_2
Mr_Fmnwon的博客
07-30 504
当前溢出可用空间比较少时(极端情况下仅能覆写ebp和ret),可以通过栈迁移的方式,扩大shellcode的容纳空间,其核心是将esp移动到一段shellocode开头。而esp总是由ebp赋值,所以总是通过两次leave;ret的方式修改esp到固定位置。一、代码审计有两次读入操作。read进的内容超过字符串的长度,存在栈溢出漏洞。然而计算溢出长度,发现只有8字节,即刚好可以覆写ebp和ret。发现system的函数(意味着plt对应的表项存在),然而这个hack函数并不能给出flag。
ciscn_2019_es_2【BUUCTF】
qq_41696518的博客
09-02 870
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前栈中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
es 删除数据_干货 | 携程Elasticsearch数据同步实践
06-07
您需要关于 Elasticsearch 的数据删除操作的信息吗?如果是的话,可以使用 Elasticsearch 提供的 Delete API 来删除单个或多个文档。例如,您可以使用以下命令删除具有指定 ID 的单个文档: ``` DELETE /my_index/_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值