【PWN · 栈迁移】[BUUCTF]ciscn_2019_es_2

原创 已于 2023-07-30 20:33:05 修改 · 835 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#栈迁移 #pwn #ctf #StackOverflow

于 2023-07-30 20:31:26 首次发布
文章介绍了在栈溢出空间有限的情况下,如何通过栈迁移技术来扩大shellcode的容纳空间。作者分析了一个存在栈溢出漏洞的程序,利用两次read操作,首先泄露ebp(main_ebp)地址,然后修改ebp并设置返回地址为leave;ret指令,从而实现esp的移动,扩展ROP链构造空间。最后,文章提供了exploit代码示例。

第一道栈迁移题目,跌跌撞撞理解了

前言

当前溢出可用空间比较少时(极端情况下仅能覆写ebp和ret),可以通过栈迁移的方式,扩大shellcode的容纳空间,其核心是将esp移动到一段shellocode开头。而esp总是由ebp赋值,所以总是通过两次leave;ret的方式修改esp到固定位置。

一、代码审计

Untitled

Untitled

有两次读入操作。read进的内容超过字符串的长度,存在栈溢出漏洞。然而计算溢出长度,发现只有8字节,即刚好可以覆写ebp和ret。

最低0.47元/天 解锁文章
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 3035
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
[PWN] BUUCTF ciscn_2019_es_2
空城惜梦的博客
06-20 1651
[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考: 解题分析 按照惯例checksec一下,开了NX与RELRO 运行程序,查看逻辑,两次input,并且回显Hello,input 32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着溢出,若有backdoor直接获得flag的话,可直接构造 payload=0x28*‘a’+ebp+backdoo
ciscn_2019_es_2 迁移(很好的例子)
weixin_46521144的博客
07-17 1458
ciscn_2019_es_2 一道很好的迁移例题。之前看合天讲的虽然也涉及到原理,但是例子用的是攻防世界pwn200,溢出长度还是有点多。这次只能溢出ebp和retaddr,就很典型并且有挑战性。这题没做出来,看的wp,希望下次能自己做出来。 题目给了两次溢出,这两次都是必要的。一般来说,第一次溢出需要泄露上地址用来给第二次做迁移使用,第二次执行迁移,控制ret跳转到我们所迁移上,执行上填写的exp。由于第二次依然是在函数帧内输入,因此除非能自己read到bss上(通常能这样做的溢出空间也
ciscn_2019_es_2BUUCTF
qq_41696518的博客
09-02 1224
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
BUUCTFciscn_2019_es_2
m0_51251108的博客
12-28 370
BUUCTFciscn_2019_es_2 看下程序 有两处read可以溢出,但只能溢出刚好盖到ebp和ret 由于memset只清了0x20,所以可以泄露出ebp 有system函数,但参数不对 思路:运用迁移迁移到我们写入的前面的部分,写rop链,就可以开shell了 由于需要跳转到我们写入的前面的部分需要知道它的地址,地址=ebp地址-偏移。 用gdb-peda调试,断点设在vul函数,一步步跟进,可以输入aaaa 然后searchmem aaaa stack 来查看状态 (这图可能
迁移】[BUUCTF]ciscn_2019_es_2
s_hiy_iyi的博客
04-01 560
0x30字节数据给s,s大小是0x28,只能溢出0x8字节,刚好覆写ebp和ret。ret的劫持去到参数s的,让它去执行我们布置在上的system(‘/bin/sh’)来获取shell。第二次直接往上写入后门 函数 system(‘/bin/sh’),之后利用leave;第一次输入来泄露程序里的ebp地址,知道了ebp的地址就能够推算出参数s在上的地址。如果我们输入的内容正好把ebp前面的区域完全覆盖,这样就没法在末尾补上’\0‘,可以将rop链写到上,再将劫持到我们写的地方就可以了。
BUUCTF ciscn_2019_es_2
最新发布
2401_85052854的博客
03-20 855
BUUCTF ciscn_2019_es_2 的wp
BUUCTF迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1205
1.checksec+运行获取基本信息 32位+NX堆不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
pwnciscn_2019_es_2
Nothing
12-24 2948
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到地址,然后进行迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置数据。 from pwn import * #io=process('ciscn...
buuctf ciscn_2019_es_2
carol2358的博客
04-24 753
通过这道题总算学会用gdb来调试stack了 一道迁移的题目,printf函数可以泄露出bp的地址 有system函数,但是没有/bin/sh,所以我采用了往stack里写入binsh,然后通过泄露出来的bp算出偏移来指向binsh的位置,从而getshell 调试的时候看泄露出的地址和aaaa的偏移,和binsh的偏移,上的地址是\xff开头 exp: from pwn import ...
ciscn_2019_es_2
、moddemod
06-23 1036
简单分析:两次read都往同一个地方填数据(s变量的位置),可输入0x30大小,s离ebp距离0x28,可通过printf泄露压入的上一个帧的ebp,之后通过第二次read构造leave控制esp from pwn import * def debug_pause(): log.info(proc.pidof(p)) pause() context(log_level='debug') proc_name = './ciscn_2019_es_2' p = process(proc_name.
CTFciscn_2019_es_2
凉水的博客
07-25 1748
ciscn_2019_es_2
BUUCTFPWNciscn_2019_es_2 迁移 劫持
m0_55368674的博客
01-16 1108
BUUCTFPWNciscn_2019_es_2题解
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值