【pwn】ciscn_2019_es_2

这里的思路就是通过第一次输入泄露ebp所指向的ebp’的地址 然后搞到ebp和ebp’的偏移量 利用第二次read布置栈空间 然后通过覆盖ebp’迁移到布置好的栈空间。为什么要泄露ebp’？既然我们可以覆盖ebp所指向的ebp’ 直接将其改写成为s的起始位置不就好了 这么麻烦干嘛？然后我们要搞清楚ebp和ebp’的偏移 因为ebp和s的偏移已知 只要知道ebp’和ebp的偏移就可以知道 ebp’和s的偏移。既然每次的都不一样 就没法通过一个固定的值来覆盖了 就需要泄露此次的ebp’的地址以及偏移量了。

ciscn_2019_es_2 附件 步骤： 例行检查，32位程序，开启了nx保护 32位ida载入，shif+f12查看程序里的字符串，这边的“echo flag” 是个迷惑性的字符串，它只是输出了flag这4个字符，但是程序里有system函数，到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s，s大小是0x28，只能溢出0x8字节，覆盖到ret，没法构造太长的rop，但是这边可以给s写入

当前溢出可用空间比较少时（极端情况下仅能覆写ebp和ret），可以通过栈迁移的方式，扩大shellcode的容纳空间，其核心是将esp移动到一段shellocode开头。而esp总是由ebp赋值，所以总是通过两次leave;ret的方式修改esp到固定位置。一、代码审计有两次读入操作。read进的内容超过字符串的长度，存在栈溢出漏洞。然而计算溢出长度，发现只有8字节，即刚好可以覆写ebp和ret。发现system的函数（意味着plt对应的表项存在），然而这个hack函数并不能给出flag。

【BUUCTF】ciscn_2019_es_2 看下程序 有两处read可以溢出，但只能溢出刚好盖到ebp和ret 由于memset只清了0x20，所以可以泄露出ebp 有system函数，但参数不对 思路：运用栈迁移，迁移到我们写入的前面的部分，写rop链，就可以开shell了 由于需要跳转到我们写入的前面的部分需要知道它的地址，地址=ebp地址-偏移。 用gdb-peda调试，断点设在vul函数，一步步跟进，可以输入aaaa 然后searchmem aaaa stack 来查看栈状态 （这图可能

1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...

查看保护再查看ida大致为alloc创建堆块，free释放堆块，show输出堆块内容但是要注意一点free没有清空堆块指针。

通过这道题总算学会用gdb来调试stack了 一道栈迁移的题目，printf函数可以泄露出bp的地址 有system函数，但是没有/bin/sh，所以我采用了往stack里写入binsh，然后通过泄露出来的bp算出偏移来指向binsh的位置，从而getshell 调试的时候看泄露出的栈地址和aaaa的偏移，和binsh的偏移，栈上的地址是\xff开头 exp： from pwn import ...

ciscn_2019_es_2

代码不复杂，就是两个read和两个print 关键在于这个read的大小和v1的位置。 0x28的和0x30的大小，让我们直接rop的话只能溢出到ret的位置，而不能控制ret函数的参数。 这里就需要用到栈迁移，就把栈的位置往上提，让我们可以控制到ret和ret的参数。 既然我们想让栈往上提，那么就必须知道栈的具体位置，而我们知道，对于一个函数的栈帧中，有地址的位置就是ebp的位置，所以我们可以泄露出ebp的位置进而得到栈的位置。 from pwn import * a=proces...

[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考： 解题分析 按照惯例checksec一下，开了NX与RELRO 运行程序，查看逻辑，两次input，并且回显Hello,input 32位IDA打开，查看关键函数vul(),发现两次read往s里写内容，read可写0x30个字节，但s的缓冲区只有0x28个字节，所以这里存在着栈溢出，若有backdoor直接获得flag的话，可直接构造 payload=0x28*‘a’+ebp+backdoo