BUUCTF栈迁移ciscn_2019_es_2

原创 已于 2022-04-22 21:55:30 修改 · 1.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python

于 2022-04-09 12:24:25 首次发布

1.checksec+运行获取基本信息

32位+NX堆栈不可执行

2.常规IDA操作

1.main函数

并没有什么

2.int vul()函数

程序主体,信息很多

1.两次read都在往同一个地方s处读入数据

2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作

但是shift+f12

 这里仅仅是打印flag字符串,没有用

同时查看hack函数

system里面的参数不是bin_sh不能直接用,所以要修改system的参数

但是.

最低0.47元/天 解锁文章
[迁移][BUUCTF][PWN] ciscn_2019_es_2
m0_50819561的博客
09-25 529
前置知识: 迁移概念:当存在溢出且可溢出长度不足以容纳 payload 时,可采用迁移。一般这种情况下,溢出仅能覆盖 ebp 、 eip 。因为原来的空间不足,所以要构建一个新的空间放下 payload ,因此称为迁移迁移原理:执行命令是从esp指向的位置想ebp指向的位置执行。正常情况退的操作是:esp指向ebp指向位置,ebp指向ebp里的内容所指向的位置。当遇见leave|ret命令的时候,相当于执行mov esp ebp; pop ebp; ret;作用就是将ebp指向的位置给
BUUCTFPWN】ciscn_2019_es_2 迁移 劫持
m0_55368674的博客
01-16 1082
BUUCTFPWN】ciscn_2019_es_2题解
buuctf ciscn_2019_es_2 迁移(二)
weixin_45441024的博客
12-10 383
buuctf ciscn_2019_es_2 迁移(二) 相关的方法和步骤在后面注明 from pwn import * proc_name = '/home/pwn/Desktop/ciscn_2019_es_2' p = remote('node3.buuoj.cn', 27732) elf = ELF(proc_name) system_plt = elf.plt['system'] main_addr = elf.sym['main'] leave_ret = 0x80484b8 log.in
[BUUCTF]ciscn_2019_es_2 迁移
最新发布
lec2022的博客
10-04 1838
一上来就看到了hack函数,不过是个陷阱,不多赘述,真正的漏洞在vul()函数里:这里s的长度只有40(0x28),但是通过read读取了0x30字节的数据。相当于可以溢出8字节的数据。在ubuntu里用file看一下这是个32bit程序,那么移除8字节的话刚好就是ebp和ret的长度,再多的就构造不了了,所以需要使用迁移。本人纯新手,第一次接触到迁移,查了很多资料,也自己调试了很多次才搞明白的。这里主要讲我做题的时候不懂的地方,有些其他博客里写了的东西我就少说点。
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 3015
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
[PWN] BUUCTF ciscn_2019_es_2
空城惜梦的博客
06-20 1627
[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考: 解题分析 按照惯例checksec一下,开了NX与RELRO 运行程序,查看逻辑,两次input,并且回显Hello,input 32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着溢出,若有backdoor直接获得flag的话,可直接构造 payload=0x28*‘a’+ebp+backdoo
迁移】[BUUCTF]ciscn_2019_es_2
s_hiy_iyi的博客
04-01 513
0x30字节数据给s,s大小是0x28,只能溢出0x8字节,刚好覆写ebp和ret。ret的劫持去到参数s的,让它去执行我们布置在上的system(‘/bin/sh’)来获取shell。第二次直接往上写入后门 函数 system(‘/bin/sh’),之后利用leave;第一次输入来泄露程序里的ebp地址,知道了ebp的地址就能够推算出参数s在上的地址。如果我们输入的内容正好把ebp前面的区域完全覆盖,这样就没法在末尾补上’\0‘,可以将rop链写到上,再将劫持到我们写的地方就可以了。
【PWN · 迁移】[BUUCTF]ciscn_2019_es_2
Mr_Fmnwon的博客
07-30 814
当前溢出可用空间比较少时(极端情况下仅能覆写ebp和ret),可以通过迁移的方式,扩大shellcode的容纳空间,其核心是将esp移动到一段shellocode开头。而esp总是由ebp赋值,所以总是通过两次leave;ret的方式修改esp到固定位置。一、代码审计有两次读入操作。read进的内容超过字符串的长度,存在溢出漏洞。然而计算溢出长度,发现只有8字节,即刚好可以覆写ebp和ret。发现system的函数(意味着plt对应的表项存在),然而这个hack函数并不能给出flag。
BUUCTF ciscn_2019_es_2
2401_85052854的博客
03-20 827
BUUCTF ciscn_2019_es_2 的wp
buuctf ciscn_2019_es_2
carol2358的博客
04-24 746
通过这道题总算学会用gdb来调试stack了 一道迁移的题目,printf函数可以泄露出bp的地址 有system函数,但是没有/bin/sh,所以我采用了往stack里写入binsh,然后通过泄露出来的bp算出偏移来指向binsh的位置,从而getshell 调试的时候看泄露出的地址和aaaa的偏移,和binsh的偏移,上的地址是\xff开头 exp: from pwn import ...
ciscn_2019_es_2BUUCTF
qq_41696518的博客
09-02 1203
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
BUUCTFciscn_2019_es_2
m0_51251108的博客
12-28 360
BUUCTFciscn_2019_es_2 看下程序 有两处read可以溢出,但只能溢出刚好盖到ebp和ret 由于memset只清了0x20,所以可以泄露出ebp 有system函数,但参数不对 思路:运用迁移迁移到我们写入的前面的部分,写rop链,就可以开shell了 由于需要跳转到我们写入的前面的部分需要知道它的地址,地址=ebp地址-偏移。 用gdb-peda调试,断点设在vul函数,一步步跟进,可以输入aaaa 然后searchmem aaaa stack 来查看状态 (这图可能
buuctf [Black Watch 入群题]PWN迁移
2501_92438811的博客
06-23 1707
第一次输入(name)将泄露GOT的ROP链写入BSS段第二次输入(say)触发迁移执行泄露操作程序重启回到main函数第三次输入(name)将system(“/bin/sh”)ROP链写入BSS段覆盖之前的ROP链第四次输入(say)再次触发迁移执行system获取shell。
ciscn_2019_es_2
、moddemod
06-23 997
简单分析:两次read都往同一个地方填数据(s变量的位置),可输入0x30大小,s离ebp距离0x28,可通过printf泄露压入的上一个帧的ebp,之后通过第二次read构造leave控制esp from pwn import * def debug_pause(): log.info(proc.pidof(p)) pause() context(log_level='debug') proc_name = './ciscn_2019_es_2' p = process(proc_name.
buuctf ciscn_2019_s_4 迁移无bss
2501_92438811的博客
06-25 415
【代码】buuctf ciscn_2019_s_4 迁移无bss。
BUUCTF-Pwn-ciscn_2019_es_2
餐桌上的猫
04-04 509
题目截图 例行检查
[BUUCTF]-PWN:ciscn_2019_es_2解析(迁移
2301_79326813的博客
12-11 1839
答:先说明一点,我们第二次构造payload时往ebp填入ebp-0x38是为了让它在执行完函数原有的leave,ret之后ebp指向b'a'*4的头地址,但要注意这里不是输入ebp-0x28,因为第一个printf打印出来的是ebp里的内容而不是ebp的地址,通过动态调试可以知道ebp里面的内容是ebp+0x10的地址,我们打印出来的就是ebp+10的地址,这里就要填入ebp-0x38才能使ebp指向b'a'*4的头。答:首先要明白32位是通过传参的,这样的形式是32位的调用函数的调用规则。
[BUUCTF-pwn]——ciscn_2019_es_2(内涵peak小知识)
Y_peak的博客
02-16 1952
[BUUCTF-pwn]——ciscn_2019_es_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_es_2 这是一道劫持的题,第一次写这种题的题解写的详细一点。 劫持 or 迁移 劫持也可以称为迁移,用来解决本身可以利用的空间不够用,一般是溢出空间不够用,没办法有效构造rop链。这个时候我们可以通过劫持ebp的方式,利用leave 和 ret两个汇编指令来做到劫持(迁移)。 leave 等价于 mov ebp, esp; pop
buuctf迁移例题
03-22
### 关于BUUCTF中的迁移例题及其解题思路 在CTF竞赛中,尤其是涉及PWN类题目时,“迁移”是一种常见的技术手段。当目标程序存在空间不足或者无法满足攻击者需求的情况时,可以通过特定方式将执行流迁移到其他...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值