[CTF]PWN--沙盒中的栈迁移构造read利用

已于 2024-02-26 20:39:56 修改
阅读量1.3k 收藏 13
点赞数 20
文章标签: 网络安全
于 2024-02-26 20:30:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79880752/article/details/136306728
版权
本文讲述了在遇到沙盒限制的逆向工程挑战中,如何通过ORW技术绕过限制,首先通过栈迁移找到read函数起始地址,然后利用这个地址泄露libc基址,最终构造ORWpayload获取权限的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

开篇先提一嘴,本文重点不是讲述如何利用ORW来解决沙盒问题,在文中只是简述了ORW,本文只是讲述了一种新的解题思路,想具体了解ORW解法的朋友可以看看我的另一篇博客:

https://blog.youkuaiyun.com/2301_79880752/article/details/136016919?spm=1001.2014.3001.5501

开启NX,64位,动态编译,IDA分析:

只有一个read函数,查看有没有沙盒

可以看到,确实存在沙盒,因此本题无法通过libc来解题,那就只能用orw了

第一步肯定是泄露libc基址

由于本题只有一次读入,且溢出字节只有0x10,我们又无法得知read函数起始地址,因此,无法一开始就使用栈迁移来泄露地址

那要如何去做呢?我们需要先找到一个bss段地址,将read函数读入位置迁移到了bss段上,这样我们就可以知道read函数读入的起始地址了

其实这也是通过栈迁移实现的,不太了解的朋友可以去看看我的第一篇博客

最低0.47元/天 解锁文章
Pers1st.
关注
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 1617
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
pwn100
pppp974的博客
07-18 307
这是一道64位的题,用rop来最终解决 exp如下: #coding:utf-8 from pwn import * from LibcSearcher import * io=remote('111.198.29.45',5) readn = 0x40063D start = 0x40068E read_got = 0x601028 put_plt = 0x400500 put_got = ...
迁移总结
2302_79899078的博客
03-13 2091
迁移,orw
[Black Watch 入群题]PWN-迁移
个人笔记
04-20 909
细节详情参考:https://blog.youkuaiyun.com/mcmuyanga/article/details/109260008。buf溢出空间只有0x20-0x18=8字节无法构造rop,所以需要利用迁移技术,迁移到bss上构造rop。bss布局:(左边是第一泄露Libc构造帧,右边是第二次重写获取shell的帧)改变思路:由于此程序没有可直接ret利用的函数同时溢出空间很小,所以需要。迁移操作:构造中ebp新位置。思路:ret2shellcode。迁移关键指令:leave。
pwn-迁移-ROP
leeham的博客
08-23 4300
# 迁移-ROP 题目描述 这里给出题目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单,main()函数中有一个while(1)的循环,循环中rop()函数执行。 rop()中有明显的溢出,最开始给s申请的内存空间为:0x40;然而read()可以读入0x50字节。 于是就...
CTFpwn入门06--迁移学习
2301_79880074的博客
03-03 924
迁移主要应用于我们所构造的payload字节数过多,导致程序无法完全读入中达到我们想要的效果。先通过一篇文章学习一下迁移的基础知识。
[PWN]——迁移及部分基础
最新发布
ysy___ysy的博客
04-18 1698
由高到低,自顶向下增长,ebp指向底 【减(push)即指针向高移,加(pop)即指针向低移】。溢出能使我们覆盖上某些区域的值,甚至是当前函数的返回地址 ret;一旦 ret 覆盖为某个奇怪的值,例如 0xdeadbeaf,当函数结束恢复现场,即 eip 指向 ret 时,程序将会跳转到内存中的 0xdeadbeaf 处。此时,内核会立即告诉我们“SIGSEV”,即常见的段错误(Segment Fault)。注意:函数传参时从右往左。
迁移:三种利用方法
2302_79813730的博客
02-03 2012
迁移一般用于溢出字节不够,但至少溢出0x10个字节,也就是用来覆盖rbp及返回地址,一般有两种方向:迁向原来的的迁移到bss段。在学习迁移之前,需要了解一下一个汇编指令:leave ret,他的作用可以拆分成两部分:mov rsp rbp pop rbp。leave ret的作用是用来清空的,在主函数最后都会有,但如果用两次会有怎样的效果呢借用了这篇。
CTF[PWN]--迁移、格式化字符串漏洞、随机数撞库
2301_79880752的博客
03-11 1160
开启NX,64位,动态编译,IDA分析:两次读入,第一次读入结束给了我们read函数的地址,第二次读入可以溢出,但是只能覆盖一个返回地址,自然而然的想到了迁移,因为第一次给了我们地址,就可以通过偏移去求出第二次read读入的起始地址由于本题给了提示,用的是ubuntu 16.04,因此libc库应为libc2.23(后来才知道,由于之前做题都是打本地,导致当时做这题的时候本地脚本写的很快,但在连接远程libc时却花了大功夫)
[BUUCTF-pwn]——pwnable_orw   (ORW)
Y_peak的博客
03-16 1451
[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问题,所谓orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools,来查看 注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she
记一次迁移执行system函数时,空间不足的题
cainiao78777的博客
02-26 252
将读入的内容写到0x601f00-0x70的地方去,再利用下面的leave ret迁移到前面的地方去,我们在前面的地方写入我们的rop链。按照普通迁移的思路应该就是,第一次read读入rop链子,第二次读入使程序迁移到rop链子上去。这里我用的是onegadget,但是满足条件的没找到,那就构造满足条件的。这个就是通过pop rbx把rbx修改成0x601f00,再去进入到。那么既然只能执行一次,那就用onegadget,试过之后,会发现。执行到了不能访问的空间,所以这个应该就是行不通的了。
CTFshow-pwn入门-前置基础pwn23-pwn25
你们de4月天的博客
06-19 2471
CTFshow-pwn入门-前置基础pwn23-pwn25
阿里云2024 CTF pwn 签到题
m0_74220442的博客
03-27 1758
定义了两个数组,通过给第二个数组赋值来绕过各种判断语句 到达漏洞函数,通过第一个漏洞函数泄露libc地址,通过第二个漏洞函数 进行溢出并且能够绕过canary 执行rop链。
CTF-PWN-溢出-中级ROP-迁移
llovewuzhengzi的博客
01-09 1606
所以此时的gadget应该是能够进行迁移的,即为待会要改到的rsp值+修改参数的gadget+read函数+leave_ret,此时由于想直接用程序内的gadget来构造参数,此时可以以原函数开始准备read函数调用的地址作为调用read函数地址,此时可以参数构造就不要担心需要找gadget或者直接利用read函数后rdi rsi rdx没有被修改的特点从而只修改rsi即可,正好存在这样的gadget(main函数ret结束前调用的最后一个函数是向bss段输入数据)。
PWN-题解
2301_79215333的博客
02-20 959
检查文件,64位,开启NX保护拖入IDA打开,查看主函数双击查看可以看到buf的长度只有0x80,即可用大小只有108字节,但是read()并没有限制输入,显然存在溢出漏洞。在Functions window可以看到有一个callsystem()函数,按F5反汇编可以看到这是一个系统调用,存在system(“/bin/sh”)即使用溢出令返回地址指向该函数地址即可。
BugkuCTF练习平台pwn3(read_note)的writeup
只影的博客
03-05 1634
在Bugku的pwn题中,这道题分值最高,也是难度最大的一道。难点在于,第一要读懂题目找出漏洞,第二是要绕过各种保护机制,第三是exp的编写调试。看一眼程序的保护机制,发现除了RELRO所有保护全开,还是有点头疼的,毕竟我刚开始学pwn没几天,还没有做过PIE和Canary的题目,所以调试还是花了不少时间的。 首先分析程序,重要部分如下所示。一开始会让你输入一个路径,不存在的话就会报错推出,然后打...
pwn基础知识笔记
月阴荒的博客
02-20 2484
算是总的开一篇文章,把学到的知识总结一下,之后会重复写到各个文章里面 checksec指令, 用来查询pwn题目的壳和保护,并且能够看到程序的信息 1.Canary保护 参考链接:https://blog.youkuaiyun.com/weixin_44540286/article/details/101629735?utm_source=distribute.pc_relevant.none-task Ca...
CTF-PWN-箱逃脱-【seccomp和prtcl-2】
llovewuzhengzi的博客
01-08 1937
ret的gadget的地址。直到通过该得到的地址-231*8可得到数组的起始地址,然后输入open的第一个参数在此位置即./flag,注意此时由于函数此时是整数输入,输入的字节会逆序排放到内存中,而调用open时是字符串参数,会从低地址到高地址一个一个转换,所以此时我们需要逆序输入./flag的字节即按galf/.字节输入。接下来就构造ROP链即可,首先是open(数组的初始地址,0,2) rax=2,此时构造的rdx不会对函数有影响,只是使得第二个参数和rax的值一样得以成功调用系统调用。
CTF PWN特点:入门难、进阶难、精通难
IT_huanhuan的博客
05-24 2071
通过第1点中描述,在执行call sum的时候,会将sum 的下一条命令的执行地址0x8048438压入中,然后程序进入sum片段进行执行,此时,0x8048438地址就是sum函数的返回地址,即 return address。当执行到ret时,空间如下地址值0xffffceac0x8048438 # sum的下一条指令0xffffceb01 # a 的值0xffffceb42 # b 的值当执行完ret后,空间为。
PHP在CTF-Web挑战中的实战应用技巧
标题和描述中提到的知识点是关于在Web环境中使用PHP编程语言进行CTF(Capture The Flag)挑战的介绍。...在CTF-Web-Challenge的环境中,参赛者将有机会通过实战演练这些技术,提升自己的安全技能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值