R()P DASCTF十月赛pwn R()P题解

已于 2022-11-26 00:46:40 修改
阅读量481 收藏
点赞数
分类专栏: ctf 文章标签: 网络安全 安全 系统安全
于 2022-11-26 00:41:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43694952/article/details/128046541
版权
本文详细介绍了R()P DASCTF十月赛pwn题目解题过程,涉及ida分析、栈溢出、系统安全以及SROP技术。在程序中,由于没有可用的gadget和libc地址泄露,作者通过观察发现read函数内部包含syscall指令,通过调整rsi并控制got表,实现了对read函数的劫持,从而触发特定的syscall执行/bin/sh,进一步利用execve系统调用实现目标。解题过程中,作者强调了动态调试和理解程序执行流程的重要性。
摘要由CSDN通过智能技术生成

最近对pwn上头了,找点题做做

拖入ida

在这里插入图片描述
这里第一次判断只允许输入小于0x100的数字,作为第二次输入的长度

第二次明显存在栈溢出
但是程序中并没有好用的gadget,没有csu函数
没有write函数泄露libc地址,

观察程序,发现eax,edx,rsi可控,eax可控可以想到用SROP
但是程序中并没有syscall语句

思路打开

看了其他师傅的文章,知道了read函数中向下不定几个字节,有syscall语句
如下图。根据libc不同,偏移不同,实际做题时,只需要爆破一个字节。
在这里插入图片描述
rsi可控,可以调用read函数劫持read的got表,使其指向syscall的地址,根据上图,可以知道最后一个字节应该填充4c,别忘了是小端序存储数据,也就是只用发送一个字节的数据就可以覆盖源地址的40到4c。

我的思路是可以利用srop将栈地址迁移到bss段,然后输入/bin/sh
再调用execve系统中断。 解法不只这一种。
因为第一次栈溢出只可输入0x100个字节,不够传输SigreturnFrame。所以我们先构造一个可以任意输入长度的read函数,然后再进行got劫持等后面的操作。

以下所有的栈中具体参数偏移的位置都是动态调试中得来的。

from pwn import *
name='/home/kali/pwnDASCTF十月赛R()P'
elf = ELF(name)
if args['REMOTE']:
    p = remote('127.0.0.1', 7777)
else:
    #p = gdb.debug(name,"break main")
    p = process(name)
print("raed got addr= "+
最低0.47元/天 解锁文章
吃包子,长肚子
关注
专栏目录
pwnDASCTF Sept 九月
woodwhale的博客
09-26 3746
pwnDASCTF Sept 月 1、hehepwn 先查看保护,栈可执行,想到shellcode 这题需要注意shellcode的写法 拖入ida中分析 一直以为iso scanf不能栈溢出,后来发现我是shabi 先进入sub_4007F9()函数 有个read函数,恰好读完s数组,由于printf是碰到\x00截断,所以如果我们输满0x20个padding就可以读取一个栈地址 我们可以把shellcode写入scanf输入的地址中,通过创建fake rbp进行栈迁移,而这个栈中存有我们写入
DASCTF X GFCTF 2022十月挑战 - pwn
z1r0的博客
10-28 910
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall。这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了。发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh。这里的地方,并且最后还可以控制ret。
DASCTF2024八月-pwn部分题解
最新发布
qq_41683953的博客
08-24 483
DASCTF2024八月开学季,PWN,clock,randArray
2021 DASCTF Sept X 浙江工业大学秋季挑战 pwn hahapwn
yongbaoii的博客
09-27 262
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
DASCTF9月pwn-wp
Stella_Leo的博客
09-28 1568
DASCTF-2021-9月 头一次打安恒月,体验还不错,没有足够的时间,稍微看了下pwn,两个栈是我没想到的,然后还有一个heap题目,然而还需要先绕过re认证才能正常的pwn也是我没想到的。。 文章不贴图片了,较简单 hehepwn 啥保护没开 这是最简单的,就一个scanf明显的溢出,然后strdup函数那里,可以写满s把\x00打没了,然后泄露rbp,然后就是ret2shellcode exp #coding:utf-8 from pwn import * context.log_level='d
DASCTF 2023六月挑战|二进制专项 PWN (下)
susu_xiaosu的博客
07-23 1773
【代码】DASCTF 2023六月挑战|二进制专项 PWN (下)
DASCTF6月Pwn-azez_heap wp
qq_31457355的博客
10-07 1222
本次比dasctf6月,学到了很多东西,感谢 1.首先着重记录一下azez_heap这个题目,剩下的题目放在另一篇博客 知识点: _IO_flush_all_lockp 触发条件 反向shell的利用 分析: checksec: 保护全开,毋庸置疑 通过ida分析可以确定程序的唯一漏洞点在edit里面,可以控制下一个堆块的fd和bk add里面size可以申请到0x2333已经很大了,根据以往的做题经验可以想到要打global_max_fast,而且堆块使用calloc分配,我们知道calloc
Dasctf 6月其余pwn WP
qq_31457355的博客
11-01 607
copy: 这题主要是堆风水的利用,通过运行我们可以发现,每次申请块之后都会free掉这个块,但是接下来执行删除操作的时候我们还可以利用这个指针因此存在uaf漏洞,剩下的就是堆风水的利用了,不再赘述 exp: #!/usr/bin/env python # -*- coding: utf-8 -*- import sys import os from pwn import * #from LibcSearcher import LibcSearcher # context.log_level = 'debu
DASCTF 6月部分pwn wp
starssgo的博客
06-27 1232
感觉质量挺高的,有点昏迷, 目录Memory-Monster-IVoooooordereasyheapspringboardsecret写在最后 Memory-Monster-IV 这个题我是真的服了,恶心了我一天时间,最后还是没出,知道是要改got表,而且每次只能改一个字节,第一次改后变成ret之类的无用函数,我是不想说啥,没复现出来,贴下作者的分析把: http://taqini.space/2020/06/26/DASCTF-June-Memory-Monster-IV-200pt/ 我感觉能学到的东
DASCTF 7月部分pwn
starssgo的博客
07-25 1538
做了pwn1跟pwn3,pwn2没做出来(俺是废物)… pwn1 签到题,但是我们要记住 .text:080485F8 mov eax, 0 .text:080485FD mov ecx, [ebp+var_4] .text:08048600 leave .text:08048601 lea esp, [ecx-4] .text:08048604
DASCTF&BJDCTF 3rd 三道PWN题复现
weixin_44145820的博客
06-21 908
最近看了一下上次安恒五月没做出的几道PWN题,感觉自己水平还是不够,还要多学习 easybabystack(格式化字符串*, ret2csu) 这题有个栈溢出漏洞 但是必须输入正确的密码,否则就直接退出了 还有个格式化字符串漏洞 字符串长度为12 由于密码是/dev/urandom生成的,无法预测。 这里需要利用格式化字符串漏洞的’*'号 %*num$d从栈中取变量作为N 比如num$处的值是0x100,那么这个格式化字符串就相当于%256d 而密码位于18$的位置,我们使用%*18$c就可以打
DASCTF-三月-web题复现
weixin_45800126的博客
04-15 919
title: DASCTF 三月 web题复现 date: 2021-04-07 15:04:52 tags: DASCTF BestDB 0x01 源码给了查询语句 $sql = "SELECT * FROM users WHERE id = '$query' OR username = \"$query\""; 过滤单引号,但没过滤双引号,所以选择闭合后面的用户名进行union查询 查表名 query=-1"/**/union/**/select/**/group_concat(table_na.
R()P复现
FUCKING12的博客
11-02 188
题目没给你libc,没开pie,就只有个read函数。有个栈溢出。利用思路就是利用程序各个函数的里面的汇编语言,构造一个execve("/bin/sh",rsi,rdx),就是把是rax=59,rdi->"/bin/sh",rsi=0,rdx->0。然后再执行syscall。
DASCTF 2023六月挑战|二进制专项 PWN
weixin_51890658的博客
06-05 463
通过ida分析和gdb调试i在rbp-c中,它是int类型占4字节,还有两次格式化字符串漏洞,可通过这两次修改为i的值,第一次是把args参数链修改为i地址,第二次是修改i值即可再次使用格式化字符串漏洞。因为有堆溢出和uaf,可以伪装fastchunk,通过gdb调试0x602095地址的值为0x7f,可伪装。64位,也给了libc库,开了canary和pie地址随机 拖入ida看存在格式化字符串漏洞,有3次。64位的,给了libc库,开了canary,拖入ida分析,在edit函数中存在堆溢出。
DASCTF 2023六月挑战|二进制专项 PWN (上)
susu_xiaosu的博客
07-22 364
【代码】DASCTF 2023六月挑战|二进制专项 PWN (上)
[DASCTF 2023六月挑战|二进制专项] 5个pwn
weixin_52640415的博客
06-04 1461
格式化字符串漏洞利用argv链 6次free的off_by_null printf改system
DASCTF 2020安恒月 4月 pwn1---echo server题解
qy201706的博客
05-08 1067
学到了利用printf泄露libc,以前都只会puts… 0x1 checksec: 0x2 拖进ida: 显然进入sub_4006A7(): 厉害了自定义写入长度,明显的栈溢出 0x88个’a’可覆盖返回地址: 0x3 无system、’/bin/sh’ 泄露libc来做 0x4 printf泄露地址的详解(选择泄露__libc_start_main): 不知道ROP链怎么写,直接去程序里找汇编代码现学!! 发现程序最后的printf(“hello %s”, &s); 到g
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值