BUUCTF:[Black Watch 入群题]PWN(write up)

最新推荐文章于 2023-03-29 20:21:03 发布
VIP文章 最新推荐文章于 2023-03-29 20:21:03 发布
阅读量778 收藏 1
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44768749/article/details/108185865
版权

BUUCTF:[Black Watch 入群题]PWN

0x01 文件分析

在这里插入图片描述

开启了栈不可执行

0x02 运行

在这里插入图片描述

运行一下没什么特殊的,猜测应该是栈溢出

0x03 IDA

在这里插入图片描述
在这里插入图片描述

虽然buf在栈上但输入的长度仅仅能够覆盖ebp返回地址,但sbss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行

0x04 思路

sbss段上的地址为0804A300

在这里插入图片描述

bss段的s上需要调用system("/bin/sh"),但没有提供system"/bin/sh"的地址,还需要写个ROP链,先泄露write函数的真实地址,再利用LibcSearcher函数可以根据泄露的地址找到相应的libc版本,从而得到system"/bin/sh"的地址。

0x05 exp

#!/usr/bin/python2
#coding=utf-8
from pwn i
最低0.47元/天 解锁文章
  筱
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[Black Watch 群题]PWN-栈迁移
个人笔记
04-20 334
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出栈空间只有0x20-0x18=8字节无法构造rop,所以需要利用栈迁移技术,迁移到bss上构造rop。bss栈布局:(左边是第一泄露Libc构造栈帧,右边是第二次重写获取shell的栈帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。栈迁移操作:构造好栈中ebp新位置。思路:ret2shellcode。栈迁移关键指令:leave。
PWN · 栈迁移】[BUUCTF][Black Watch 群题]PWN
Mr_Fmnwon的博客
08-01 340
进能够覆盖ebp和ret,很难不往栈迁移上想。 修改ebp和ret后我们可以将栈指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发栈迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
[BUUCTF]PWN——[Black Watch 群题]PWN
mcmuyanga的博客
10-26 2402
[Black Watch 群题]PWN——栈劫持 群题密码在 /password.txt Ubuntu 16 2020年02月27日:此群题已作废,请看新版群题。 附件 解题步骤: 例行检查,32位程序,开启了nx保护 运行一下程序,两次输,测试时发现输长度过长,会报错 32位ida载,首先shift+f12查看一下程序里的字符串,没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 从main函数开始看程序
BUUCTF】[Black Watch 群题]PWN
m0_51251108的博客
12-27 382
BUUCTF】[Black Watch 群题]PWN 记录下刷题,方便自己以后回顾,写的很烂,还请见谅 本题要用栈迁移 先checksec,file和nc看下程序 32位,动态链接,无canary和pie 思路:vul_function()里最后的read能栈溢出,但位置太短,不够写rop,运用栈迁移跳转至跳转至上一个read,写rop链,ret2libc后就能拿到shell了 主要是如何栈迁移: leave ret相当于: leave => mov esp, ebp; pop ebp
Black_Watch_群题_PWN
z1r0的博客
12-09 1221
Black_Watch_群题_PWN 查看保护 有溢出,长度不够,又有s可以存放payload。所以栈迁移 用ebp和esp这两个跳板,控制eip顺利执行需要的payload。 leave_ret(mov esp, ebp; pop ebp;)用这个gadgets。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug:
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。产品特点自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。...
warmup pwn门题
02-11
pwn门题
pwn-environment:使用docker的ctf-pwn环境
05-11
环境 使用docker的ctf-pwn环境
挑战:一组预先生成的pwn.college挑战
03-03
pwn.college 一组预先生成的pwn.college挑战!设置将替换为实例的名称: ./generate_sql.sh | docker exec -i < INSTANCE> _db mysql -uctfd -pctfd -Dctfd警告当前存在一个问题,其中在pwn.college基础结构中,...
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF-[Black Watch 群题]PWN
Fzuim的博客
04-14 363
常规检查下来,发现可以进行栈溢出,但是允许操作的空间只有8个字节… 看下ida伪代码 可操作空间很小,只能覆盖到eip,正常思路是:泄露write的got表地址,然后通过libcsearch找出system和bin/sh的地址,再次构造栈溢出攻击。此题目栈溢出只能操作8字节,一般思路行不通。此时就用到另一个概念:栈迁移!!! 栈迁移的关键点在于esp,能把esp重新指向另外一块内存空间,即可成功。这题的另一块内存空间就是bss段。 利用到栈迁移,我们需要在原本栈的eip位置覆盖成 leave;r.
buuctf:blacklistp
fcz___的博客
03-29 113
所以我们payload:?inject=1’;可以看到有一个flag字段。但是select被过滤了。我们用handler读取。再知道表名是,可以用handler读取数据。往下的话就不能用sqlmap了因为有waf,我不会绕,我们手工注。可以看到应该是sql注。我们用sqlmap扫描一下。已经知道数据库了,我们采用堆叠注。可以看到存在注点。
buuctf [Black Watch 群题]PWN
qq_42728977的博客
04-10 632
本来想着栈溢出简简单单,然后发现竟然没见过这知识点,堆迁移。 看雪链接
群题
doudoudedi
01-29 725
不好讲就是群题 exp: #! /usr/bin/python2 from pwn import * from LibcSearcher import * local=0 if local==1: p=process('../binary/spwn') elf=ELF('../binary/spwn') libc=elf.libc else: p=remote('node3.buuoj....
[Black Watch 群题]PWN(栈迁移)
qq_39869547的博客
02-06 931
栈迁移主要解决溢出空间不足的问题, 前提条件知道欲迁移位置的地址。 from LibcSearcher import * from PwnContext.core import * binary = './spwn' debug_libc = './libc-2.23.so' elf = ELF(binary) libc = ELF(debug_libc) local = 1 if local ...
[Black Watch 群题]PWN
、moddemod
06-20 356
利用bss进行栈迁移 exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './spwn' p = process(proc_name) # p = remote('node3.buuoj.cn', 29482) elf = ELF(proc_name) write_plt = elf.plt['wri.
ctf加群题
ncafei的博客
03-05 2517
精灵大佬新放出来的加群题, 难度可以去感受一下  ctf学习与交流 反正我等渣滓 都是成这样了   感谢 pcat 大佬在群里 放出 tips  接下来让我去攻略 一下 。。。
[Black Watch 群题]PWN之栈迁移
wuyvle的博客
02-22 196
进去康康函数结构 第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18 不过可以用第一个read构造ROP链,且刚好在bss段中,之后栈迁移到该地址执行,后面就是常规的泄露libc来getshell 栈迁移 首先来介绍一下栈迁移是什么? 以32位程序举例,在使用call这个命令,进一个函数的时候,程序会进行一系列栈操作: push eip+4; push ebp; mov ebp,esp; 这些操作是用来保护现场,避免执行完函数后堆栈不平衡以及找不到之前的口地址。 执行完函数后.
buuctf pwn 第五空间决赛pwn5
最新发布
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值