[Black Watch 入群题]PWN

最新推荐文章于 2024-03-13 21:28:03 发布

原创

最新推荐文章于 2024-03-13 21:28:03 发布 · 1.4k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#pwn #网络安全 #安全

[Black Watch 入群题]PWN

使用checksec查看：
在这里插入图片描述

只开启了栈不可执行，拉进IDA中查看：
在这里插入图片描述
直接给了漏洞函数，跟进看：

变量s里面可写入0x200个字符，放在bss段中。变量buf里面可写入0x20个字符，但是并不能溢出。

可以联想到栈迁移的方法，将栈迁移到变量s所在的bss段中，s里面放上payload

这题没有system和/bin/sh，需要先进行libc泄露再getshell

exp：

from pwn import *

#start
r = remote("node4.buuoj.cn",29289)
# r = process("../buu/[Black Watch 入群题]PWN")
elf = ELF

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

m0sway

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
3
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BUUCTF：[Black Watch 入群题]PWN（write up）

qq_44768749的博客

08-23

1012

BUUCTF：[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析开启了栈不可执行 0x02 运行运行一下没什么特殊的，猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址，但s在bss段，而且输入的长度也够长，因此想到了栈迁移，覆盖vul_function返回地址，使其到bss段上执行 0x04 思路 s在bss段上的地址为0

PWN 栈迁移入门解说 [Black Watch 入群题]PWN

weixin_45441024的博客

11-30

759

PWN之栈迁移解说适用情况： 1.栈溢出的长度不足以让我们把ROP写进去 2.程序开启了栈的不可执行保护基础知识：我们栈迁移的目的就是将我们在栈上不可执行的链子转移到data段或者bss段上面，这里就需要用到leave;ret了，在这一类的题型中我们是构造并使用两次leave,来将ebp转移到我们构造的后门的起始位置。寻找leave;ret需要用到ROPgadget这个工具 $ ROPgadget --binary '/home/pwn/Desktop/bbys_tu_2016' --only

3 条评论您还未登录，请先登录后发表或查看评论

【BUUCTF】[Black Watch 入群题]PWN

m0_51251108的博客

12-27

472

【BUUCTF】[Black Watch 入群题]PWN 记录下刷题，方便自己以后回顾，写的很烂，还请见谅本题要用栈迁移先checksec，file和nc看下程序 32位，动态链接，无canary和pie 思路：vul_function()里最后的read能栈溢出，但位置太短，不够写rop，运用栈迁移跳转至跳转至上一个read，写入rop链，ret2libc后就能拿到shell了主要是如何栈迁移： leave ret相当于： leave => mov esp, ebp; pop ebp

BUUCTF-[Black Watch 入群题]PWN

Fzuim的博客

04-14

457

常规检查下来，发现可以进行栈溢出，但是允许操作的空间只有8个字节… 看下ida伪代码可操作空间很小，只能覆盖到eip，正常思路是：泄露write的got表地址，然后通过libcsearch找出system和bin/sh的地址，再次构造栈溢出攻击。此题目栈溢出只能操作8字节，一般思路行不通。此时就用到另一个概念：栈迁移！！！栈迁移的关键点在于esp，能把esp重新指向另外一块内存空间，即可成功。这题的另一块内存空间就是bss段。利用到栈迁移，我们需要在原本栈的eip位置覆盖成 leave;r.

buuctf [Black Watch 入群题]PWN

qq_42728977的博客

04-10

709

本来想着栈溢出简简单单，然后发现竟然没见过这知识点，堆迁移。看雪链接

一道pwn入门的练习题

10-23

直接以一个非常简单的栈溢出例子(基于Linux)来讲解pwn所要用到的一些常用的工具及命令的用例

[BUUCTF-pwn]——[Black Watch 入群题]PWN

Y_peak的博客

02-21

313

[BUUCTF-pwn]——[Black Watch 入群题]PWN 题目地址: https://buuoj.cn/challenges#[Black Watch 入群题]PWN 思路由于可以利用的溢出空间不够, 利用给定的bss段, 利用栈劫持到bss段。进行操作。下面的 -4操作是因为会有一个pop ebp的指令执行, 执行过后。会 +4 exploit from pwn import * from LibcSearcher import * elf = ELF("./spwn") p =

[Black Watch 入群题]PWN（栈迁移）

qq_39869547的博客

02-06

1068

栈迁移主要解决溢出空间不足的问题，前提条件知道欲迁移位置的地址。 from LibcSearcher import * from PwnContext.core import * binary = './spwn' debug_libc = './libc-2.23.so' elf = ELF(binary) libc = ELF(debug_libc) local = 1 if local ...

[BUUCTF]PWN——[Black Watch 入群题]PWN

mcmuyanga的博客

10-26

2857

[Black Watch 入群题]PWN——栈劫持入群题密码在 /password.txt Ubuntu 16 2020年02月27日：此入群题已作废，请看新版入群题。附件解题步骤：例行检查，32位程序，开启了nx保护运行一下程序，两次输入，测试时发现输入长度过长，会报错 32位ida载入，首先shift+f12查看一下程序里的字符串，没有system函数和‘/bin/sh’的字符串，这边需要我们自己去想办法构造system（‘/bin/sh’）从main函数开始看程序

[Black Watch 入群题]PWN-栈迁移

个人笔记

04-20

912

细节详情参考：https://blog.youkuaiyun.com/mcmuyanga/article/details/109260008。buf溢出栈空间只有0x20-0x18=8字节无法构造rop，所以需要利用栈迁移技术，迁移到bss上构造rop。bss栈布局：(左边是第一泄露Libc构造栈帧，右边是第二次重写获取shell的栈帧)改变思路：由于此程序没有可直接ret利用的函数同时溢出空间很小，所以需要。栈迁移操作：构造好栈中ebp新位置。思路：ret2shellcode。栈迁移关键指令：leave。

Black_Watch_入群题_PWN

z1r0的博客

12-09

1293

Black_Watch_入群题_PWN 查看保护有溢出，长度不够，又有s可以存放payload。所以栈迁移用ebp和esp这两个跳板，控制eip顺利执行需要的payload。 leave_ret（mov esp, ebp; pop ebp;)用这个gadgets。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug:

[Black Watch 入群题]PWN 栈劫持的利用

半岛铁盒的博客

08-17

414

32位程序，开启了nx保护没有system函数和‘/bin/sh’的字符串，这边需要我们自己去想办法构造system（‘/bin/sh’）思路第一次输入的参数s，那边我们可以写入很长的数据，我们可以将我们的rop链布置在那里，接着执行第二次输入,利用站劫持,把程序的执行流程劫持到第一次输入的位置就可以了站劫持利用做栈劫持主要用到的是一个leave；ret指令，一般程序执行完成后都会调用leave；ret来还原现场 payload1=‘a’*0x18+p32(s-4)+p32(leave_r

buu [Black Watch 入群题]PWN 1

最新发布

weixin_74861133的博客

03-13

883

程序的逻辑是先输出一段话m1：Hello good Ctfer!再向s中输入0x200的数据，再输出一段话m2：What do you want to say?然后再向buf中读入0x20的数据。

（BUUCTF）Black_Watch_入群题_PWN2 （tcache stash unlink attack原理和例题）

xy1458214551的博客

12-25

1025

BUUCTF的BlackWatch入群题PWN2的题解，作为经典的tcache stash unlink利用

[Black Watch 入群题]PWN（栈迁移到bss）

qq_33590156的博客

08-04

863

from pwn import * from LibcSearcher import * context(os='linux',arch='i386',log_level='debug') ms = remote('node3.buuoj.cn',25353) #ms = process("./spwn") elf = ELF('./spwn') bss_addr = 0x0804A300 lea_ret = 0x08048408 write_plt = elf.plt['write'] write_

【PWN · 栈迁移】[BUUCTF][Black Watch 入群题]PWN

Mr_Fmnwon的博客

08-01

576

进能够覆盖ebp和ret，很难不往栈迁移上想。修改ebp和ret后我们可以将栈指针指向另一处地址addr，需要ebp修改为ebp-4和ret修改为leave;ret地址。这是触发栈迁移的基本过程。查看整个代码发现没有后门函数。 2.泄露libc 没有system函数的使用，但是有write函数。我们可以通过write泄露write的真实地址，从而泄露libc的地址。进一步可以拿到system和str_bin_sh的地址。 3.组合流程① read大量数据，可以是 aaaa + write.pl

[Black Watch 入群题]Web

SopRomeo的博客

05-28

1872

登录抓包这是一段以json传入的数据，起初对着这个一直想json注入，然后发现怎样注入都行不通回到热点列表发现更改后面的数字会变，谷歌浏览器f12 network 谷歌浏览器f12 network 发现有个php文件，进去数据存放在这里了,输入双引号的时候发现弹出这个 sql注入无疑了刚开始的id是1，由此推断可能是整形注入但是联合查询，报错都没用 bp测试看他究竟过滤了啥啥都没过滤卡了挺久的，翻了翻自己博客极客大挑战finalsql 异或布尔盲注这题有个坑，他返回.