BUUCTF栈迁移ciscn_2019_es_2

原创

已于 2022-04-22 21:55:30 修改 · 1.1k 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#python

于 2022-04-09 12:24:25 首次发布

1.checksec+运行获取基本信息

32位+NX堆栈不可执行

2.常规IDA操作

1.main函数

并没有什么

2.int vul()函数

程序主体,信息很多

1.两次read都在往同一个地方s处读入数据

2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作

但是shift+f12

这里仅仅是打印flag字符串,没有用

同时查看hack函数

system里面的参数不是bin_sh不能直接用,所以要修改system的参数

但是.

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rt1Text

关注关注

3
点赞
踩
5

收藏

觉得还不错? 一键收藏
4
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

[栈迁移][BUUCTF][PWN] ciscn_2019_es_2

m0_50819561的博客

09-25

529

前置知识：栈迁移概念：当存在栈溢出且可溢出长度不足以容纳 payload 时，可采用栈迁移。一般这种情况下，溢出仅能覆盖 ebp 、 eip 。因为原来的栈空间不足，所以要构建一个新的栈空间放下 payload ，因此称为栈迁移。栈迁移原理：栈执行命令是从esp指向的位置想ebp指向的位置执行。正常情况退栈的操作是：esp指向ebp指向位置，ebp指向ebp里的内容所指向的位置。当遇见leave|ret命令的时候，相当于执行mov esp ebp; pop ebp; ret;作用就是将ebp指向的位置给

【BUUCTFPWN】ciscn_2019_es_2 栈迁移栈劫持

m0_55368674的博客

01-16

1083

【BUUCTFPWN】ciscn_2019_es_2题解

4 条评论您还未登录，请先登录后发表或查看评论

buuctf ciscn_2019_es_2 栈迁移（二）

weixin_45441024的博客

12-10

383

buuctf ciscn_2019_es_2 栈迁移（二）相关的方法和步骤在后面注明 from pwn import * proc_name = '/home/pwn/Desktop/ciscn_2019_es_2' p = remote('node3.buuoj.cn', 27732) elf = ELF(proc_name) system_plt = elf.plt['system'] main_addr = elf.sym['main'] leave_ret = 0x80484b8 log.in

[BUUCTF]ciscn_2019_es_2 栈迁移

最新发布

lec2022的博客

10-04

1838

一上来就看到了hack函数，不过是个陷阱，不多赘述，真正的漏洞在vul()函数里：这里s的长度只有40(0x28)，但是通过read读取了0x30字节的数据。相当于可以溢出8字节的数据。在ubuntu里用file看一下这是个32bit程序，那么移除8字节的话刚好就是ebp和ret的长度，再多的就构造不了了，所以需要使用栈迁移。本人纯新手，第一次接触到栈迁移，查了很多资料，也自己调试了很多次才搞明白的。这里主要讲我做题的时候不懂的地方，有些其他博客里写了的东西我就少说点。

[BUUCTF]PWN——ciscn_2019_es_2

mcmuyanga的博客

10-27

3015

ciscn_2019_es_2 附件步骤：例行检查，32位程序，开启了nx保护 32位ida载入，shif+f12查看程序里的字符串，这边的“echo flag” 是个迷惑性的字符串，它只是输出了flag这4个字符，但是程序里有system函数，到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数程序主体在vul函数里读入0x30字节数据给s，s大小是0x28，只能溢出0x8字节，覆盖到ret，没法构造太长的rop，但是这边可以给s写入

[PWN] BUUCTF ciscn_2019_es_2

空城惜梦的博客

06-20

1628

[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考：解题分析按照惯例checksec一下，开了NX与RELRO 运行程序，查看逻辑，两次input，并且回显Hello,input 32位IDA打开，查看关键函数vul(),发现两次read往s里写内容，read可写0x30个字节，但s的缓冲区只有0x28个字节，所以这里存在着栈溢出，若有backdoor直接获得flag的话，可直接构造 payload=0x28*‘a’+ebp+backdoo

【栈迁移】[BUUCTF]ciscn_2019_es_2

s_hiy_iyi的博客

04-01

513

0x30字节数据给s，s大小是0x28，只能溢出0x8字节，刚好覆写ebp和ret。ret的栈劫持去到参数s的栈，让它去执行我们布置在栈上的system（‘/bin/sh’）来获取shell。第二次直接往栈上写入后门函数 system（‘/bin/sh’），之后利用leave；第一次输入来泄露程序里的ebp地址，知道了ebp的地址就能够推算出参数s在栈上的地址。如果我们输入的内容正好把ebp前面的区域完全覆盖，这样就没法在末尾补上’\0‘，可以将rop链写到栈上,再将栈劫持到我们写的地方就可以了。

【PWN · 栈迁移】[BUUCTF]ciscn_2019_es_2

Mr_Fmnwon的博客

07-30

814

当前溢出可用空间比较少时（极端情况下仅能覆写ebp和ret），可以通过栈迁移的方式，扩大shellcode的容纳空间，其核心是将esp移动到一段shellocode开头。而esp总是由ebp赋值，所以总是通过两次leave;ret的方式修改esp到固定位置。一、代码审计有两次读入操作。read进的内容超过字符串的长度，存在栈溢出漏洞。然而计算溢出长度，发现只有8字节，即刚好可以覆写ebp和ret。发现system的函数（意味着plt对应的表项存在），然而这个hack函数并不能给出flag。

BUUCTF ciscn_2019_es_2

2401_85052854的博客

03-20

827

BUUCTF ciscn_2019_es_2 的wp

buuctf ciscn_2019_es_2

carol2358的博客

04-24

746

通过这道题总算学会用gdb来调试stack了一道栈迁移的题目，printf函数可以泄露出bp的地址有system函数，但是没有/bin/sh，所以我采用了往stack里写入binsh，然后通过泄露出来的bp算出偏移来指向binsh的位置，从而getshell 调试的时候看泄露出的栈地址和aaaa的偏移，和binsh的偏移，栈上的地址是\xff开头 exp： from pwn import ...

ciscn_2019_es_2【BUUCTF】

qq_41696518的博客

09-02

1203

与往常溢出不同的是，该溢出仅仅只能溢出8(0x30-0x28)字节的数据，恰好就是覆盖ebp和ret地址数据，并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前栈中，并返回让其执行该函数即可。这里有两个问题，1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。

【BUUCTF】ciscn_2019_es_2

m0_51251108的博客

12-28

361

【BUUCTF】ciscn_2019_es_2 看下程序有两处read可以溢出，但只能溢出刚好盖到ebp和ret 由于memset只清了0x20，所以可以泄露出ebp 有system函数，但参数不对思路：运用栈迁移，迁移到我们写入的前面的部分，写rop链，就可以开shell了由于需要跳转到我们写入的前面的部分需要知道它的地址，地址=ebp地址-偏移。用gdb-peda调试，断点设在vul函数，一步步跟进，可以输入aaaa 然后searchmem aaaa stack 来查看栈状态（这图可能

buuctf [Black Watch 入群题]PWN栈迁移

2501_92438811的博客

06-23

1708

第一次输入(name)将泄露GOT的ROP链写入BSS段第二次输入(say)触发栈迁移执行泄露操作程序重启回到main函数第三次输入(name)将system(“/bin/sh”)ROP链写入BSS段覆盖之前的ROP链第四次输入(say)再次触发栈迁移执行system获取shell。

ciscn_2019_es_2

、moddemod

06-23

997

简单分析：两次read都往同一个地方填数据（s栈变量的位置），可输入0x30大小，s离ebp距离0x28，可通过printf泄露压入的上一个栈帧的ebp，之后通过第二次read构造leave控制esp from pwn import * def debug_pause(): log.info(proc.pidof(p)) pause() context(log_level='debug') proc_name = './ciscn_2019_es_2' p = process(proc_name.

buuctf ciscn_2019_s_4 栈迁移无bss

2501_92438811的博客

06-25

415

【代码】buuctf ciscn_2019_s_4 栈迁移无bss。

BUUCTF-Pwn-ciscn_2019_es_2

餐桌上的猫

04-04

509

题目截图例行检查

[BUUCTF]-PWN:ciscn_2019_es_2解析（栈迁移）

2301_79326813的博客

12-11

1839

答：先说明一点，我们第二次构造payload时往ebp填入ebp-0x38是为了让它在执行完函数原有的leave，ret之后ebp指向b'a'*4的头地址，但要注意这里不是输入ebp-0x28，因为第一个printf打印出来的是ebp里的内容而不是ebp的地址，通过动态调试可以知道ebp里面的内容是ebp+0x10的地址，我们打印出来的就是ebp+10的地址，这里就要填入ebp-0x38才能使ebp指向b'a'*4的头。答：首先要明白32位是通过栈传参的，这样的形式是32位的调用函数的调用规则。

[BUUCTF-pwn]——ciscn_2019_es_2(内涵peak小知识)

Y_peak的博客

02-16

1952

[BUUCTF-pwn]——ciscn_2019_es_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_es_2 这是一道栈劫持的题,第一次写这种题的题解写的详细一点。栈劫持 or 栈迁移栈劫持也可以称为栈迁移，用来解决栈本身可以利用的空间不够用，一般是溢出空间不够用,没办法有效构造rop链。这个时候我们可以通过劫持ebp的方式，利用leave 和 ret两个汇编指令来做到栈劫持(栈迁移)。 leave 等价于 mov ebp, esp; pop

buuctf栈迁移例题

03-22

### 关于BUUCTF中的栈迁移例题及其解题思路在CTF竞赛中，尤其是涉及PWN类题目时，“栈迁移”是一种常见的技术手段。当目标程序存在栈空间不足或者无法满足攻击者需求的情况时，可以通过特定方式将执行流迁移到其他内存区域（如BSS段），从而实现更复杂的操作。 #### BUUCTF 中的栈迁移案例分析在BUUCTF系列挑战赛中，确实有一些经典的栈迁移题目可以作为学习对象。以下是针对此类问题的一个典型例子以及其对应的解决方法： - **题目名称**: `buuctf level2` 或类似的缓冲区溢出练习[^1] 此题通常设计了一个小型漏洞程序，允许用户输入数据并触发缓冲区溢出条件。然而，在实际利用过程中发现原始堆栈大小不足以容纳完整的shellcode或其他复杂指令序列。因此需要采用栈迁移策略来完成最终的目标——获取Shell权限。 ##### 技术要点解析为了成功实施基于栈迁移的技术方案，需掌握以下几个核心概念和技术细节: 1. **识别可用的大块连续内存** 利用调试工具(gdb/pwndbg)，找到一块足够大的未被占用的空间用于放置新的有效载荷(payload) 。这可能位于全局变量存储区(BSS Section)或者其他动态分配的数据结构附近。 2. **构建ROP链调整控制流程** 如果直接跳转至新地址不可行，则应考虑通过返回导向编程(Return-Oriented Programming, ROP) 构建必要的中间步骤以改变寄存器状态或设置参数环境以便顺利过渡到下一步动作。 3. **编写适合目标平台架构特点的有效负载(ShellCode)** 针对具体操作系统版本(x86/x64 Linux), 设计紧凑高效的机器码片段用来打开交互终端设备(/bin/sh) 并保持持久化连接通道[^2] 。 4. **精确计算偏移量(offsets)** 准确测量从初始崩溃点到达预期重定位位置之间的距离差值至关重要；稍有偏差可能导致整个计划失败甚至引发异常终止进程运行状况发生。 ```python from pwn import * context.arch = 'i386' elf = ELF('./vuln') p = process("./vuln") offset_to_retaddr = cyclic_find('kaaa') # Find the offset using pattern_create and pattern_offset tools. payload = b'A' * offset_to_retaddr # Assume we have found a suitable gadget address via ROPgadget or similar tool. pop_eax_gadget_addr = 0xdeadbeef # Example value; replace with real one later. int_0x80_syscall_instruciton_addr = 0xbadf00d # Another placeholder. rop_chain = [ pop_eax_gadget_addr, 0xb # Syscall number for execve syscall on i386 architecture. ] for rop_element in rop_chain: payload += p32(rop_element) new_stack_base_address = elf.bss() + 0x100 # Hypothetical large buffer within BSS section range. payload += p32(new_stack_base_address) # Overwrite saved EIP to point at new stack base addr. # Now craft shellcode that will be copied into newly allocated space above... shellcode = asm(shellcraft.sh()) assert len(shellcode) < (new_stack_base_address - current_buffer_starting_point), "Payload too long!" final_payload = payload.ljust(len(current_buffer)+len(shellcode),b'\x90')+shellcode p.sendline(final_payload) p.interactive() ``` 上述脚本展示了如何组合多种技巧形成一套连贯的整体解决方案路径图谱。它先确定了关键要素的位置关系之后再逐步拼接起来构成最后提交给服务器端处理的信息包体内容形式。 --- ####