【Pwn】NCTF2019 easy_rop

NCTF2019 easy_rop 漏洞利用分析

最新推荐文章于 2024-12-16 22:48:44 发布

原创

最新推荐文章于 2024-12-16 22:48:44 发布 · 1.4k 阅读

1 ·

CC 4.0 BY-SA版权

本文介绍了NCTF2019比赛中easy_rop挑战的解决过程，涉及程序保护分析、栈溢出、地址泄露、ROP技术以及getshell的方法。通过输入特定数值，利用scanf函数的特性泄露代码段首地址，借助栈迁移技巧，最终实现漏洞利用。

查看程序保护。
在这里插入图片描述分析程序，程序只有一个main函数。

v6距离rbp为0x70，在输入数字的时候可以输34 * 4个字节的数，34*4-0x70=24，意味着可以溢出覆盖rbp，ret_address，以及返回地址下面的8个字节。main函数的old_rbp值实际上是代码段init的地址，返回地址位置是libc中的一个地址。scanf函数%d当输入为 '+'时不会改变原内存中数据，于是可以来泄露代码段首地址。在输入number之后可以在bss段上输入数据，由于溢出的大小不够所以想到用栈迁移的方式来做。用RopGadget工具发现了一个修改esp的gadget。
在这里插入图片描述
在返回地址下面，即能溢出的最后8个字节，填上bss段上的地址，那么ret后在执行这段gadget的pop rsp时，栈顶指针就到了bss段上，只要控制bss段上的数据，就可以继续进行rop，从而getshell，exp如下：

from  pwn import *

io=remote('xx.xx.xx.xx',xxxxx)

def a(data):
    io.recvuntil(': ')
    io.sendline(data)
for i in range(26):
    a('0')
a('+'

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

不干正事的拖延症患者

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

easyROPtocol

u014377094的博客

03-05

246

感觉重点在构造，但其实跑起来试试就逝世。拉锯数小时，beng bu zhu le。官方wp传送门VNCTF 2022 Official WriteUp.pdf (tonycrane.cc) 打开main，里面123对应着创建删除运行。重点在1里第二个if如果不满足就会删除 v1里决定了前4位的数（如果选择两个一起放，记得处理小端序），后面则告诉我们几位不能为0几位必须为0，12里非5即6 第二个里是个^。先去处理第一个，第二个再处理。 struct message { .

NSSCTF_crypto_[NCTF 2019]easyRSA

suisuisama的博客

04-04

631

RSA AMM 不互素

参与评论您还未登录，请先登录后发表或查看评论

2022 VNCTF easyROPtocol

weixin_46483787的博客

04-09

1927

一道协议逆向+orwROP的题，基本上难度在于给出符合要求的协议头和校验和拿到题目：在打印的信息中我们可以获取到，这个程序是TCP protocol的C语言实现于是先把TCP的头部结构拿过来：首先进add函数里看看：可以看到能够申请最多4个chunk，每个chunk最多0x1000 生成之后要通过check_head函数和check_sum的检测首先看check_head: 从这里可以得到确定一些头部信息，如源端口和目的端口，还有urgent_ptr必须为0,等，还有一些属性只能缩小范围，

mrctf2020_easyrop

z1r0的博客

04-10

505

mrctf2020_easyrop 查看保护简单题用hehe和byby这两个函数配合起来rop就行 from pwn import * from time import sleep context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m' + x + '\x1b[0m') ll = lambda x : print('\x1

XSCTF联合招新赛（热身赛）babystack & easyrop

红叶的博客

10-29

2188

开启了栈不可执行，但是在 IDA Pro 中发现了backdoor函数。

[BUUCTF]PWN——roarctf_2019_easy_pwn（详解）

mcmuyanga的博客

12-18

2766

roarctf_2019_easy_pwn 附件步骤：例行检查，64位程序，保护全开试运行一下程序，看看大概的情况，经典的堆块的菜单 64位ida载入，改了一下各个选项的函数名，方便看程序（按N） add edit free show 这道题通过 offbyone来构造重叠chunk，达到任意地址分配chunk的效果，然后修改__realloc_hook地址处的内容为one gadget地址，修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申

BUUCTF Pwn ciscn_2019_c_1 题解

qq_33348179的博客

12-01

484

2.接下来找libc的版本利用 libc地址 = 真实地址 - 偏移地址得到system和binsh的地址。其中，用两次recvline（）的原因是隔离掉 \n 和 ciphertext。puts_address的那一大串是用于接收地址去掉结尾的\0 并且将长度补到。SHIFT+F12查看字符串可以看到没有后门函数这是一道ret2libc题。同时因为这是64位程序，函数参数用寄存器存储且第一个是 RDI寄存器。1.首先，构造payload1，得到puts的真实地址。ret用于64位栈平衡。

roarctf_2019_easy_pwn

hanabi_sh

12-20

658

buuctf pwn roarctf_2019_easy_pwn off-by-one

BUUCTF Pwn [HarekazeCTF2019]baby_rop2 题解

qq_33348179的博客

12-16

385

因为这是64位程序所以用寄存器传参；又因为printf得传至少2个参数所以要用到寄存器RDI RSI。查到的rsi多了个r15寄存器但不需要用到所以写payload的时候记得填充它。这里的打印函数是printf 所以利用printf函数的plt输出真实地址got。查看main函数看到给了个libc说明这题是ret2libc题。但printf的got好像不行所以换成了read的got。第一个rdi传入printf里的格式化字符串。下载得到两个文件 checksec。64位拖入IDA64。

攻防世界PWN之EasyPwn题解

seaaseesa的博客

11-15

4711

EasyPwn 首先，看一下程序的保护机制开启了CANARY、NX和PIE，RELRO部分开启，我们可以改写GOT表然后，我们用IDA分析 read的maxsize参数比变量的空间大小要小，因此无法溢出到栈底，加上开启了PIE，因此排除了ROP的方法我们再仔细观察一下，发现snprintf在执行的过程中，v2可以溢出到v3，而v3存储的是格式化字符串，因此，我们可以溢出v2...

rOpbaby-CTFPWN ROP练习题

08-21

DefConCTF 2015 Quals CTFPWN ROP练习题可用于练习基础的ROP

大吉杯--ctf.show

doudoudedi

01-25

719

easyrop 简单栈溢出，将返回地址写成ROP然后在data段布置shellcode跳过去执行即可，我写了2段估计有大师傅分分钟秒解开 from pwn import * context.terminal=['tmux','splitw','-h'] #p=process("./easyrop") p=remote("111.231.70.44",28092) offset=64 context.arch='amd64' sl=asm(shellcraft.sh()) shellcode=''' pop

pwn-栈迁移-ROP

leeham的博客

08-23

4380

# 栈迁移-ROP 题目描述这里给出题目链接 https://github.com/LeeHaming/CTF-learn/blob/master/easyR0p/easyR0p 程序的结构很简单，main()函数中有一个while(1)的循环，循环中rop()函数执行。 rop()中有明显的栈溢出，最开始给s申请的内存空间为:0x40；然而read()可以读入0x50字节。于是就...

BUUCTF [NCTF2019]childRSA(费马小定理)

晓寒的博客

07-12

4768

[NCTF2019]childRSA(费马小定理) 题目 from random import choice from Crypto.Util.number import isPrime, sieve_base as primes from flag import flag def getPrime(bits): while True: n = 2 while n.bit_length() < bits: n *= choice(primes) if isPrime(n + 1): return n

BUUCTF_Crypto题目题解记录1

Altering_Ji的博客

07-14

3796

记录来自buu平台上的三道密码学题目，[NCTF2019]childRSA、[HDCTF2019]bbbbbbrsa、[NCTF2019]Keyboard

BUU-crypto-刷题记录13

m0_57291352的博客

06-30

672

[NCTF2019]childRSA 题目 from random import choice from Crypto.Util.number import isPrime, sieve_base as primes from flag import flag def getPrime(bits): while True: n = 2 while n.bit_length() < bits: n *= choice(primes)

buu [NCTF2019]childRSA

ao52426055的博客

12-01

2278

查看题目恩总结不会，愉快的找wp去这一道RSA打开加密算法乍一看感觉没有问题，N特别大，除了p和q的生成算法啥都没给，查了一下 Crypto.Util.number 中的sieve_base，发现这是前10000个素数的生成列表，我们再去查一下第10000个素数的值为104729 不过就算我们知道了这个值的大小似乎还是得不到结果，从这个p，q的生成算法中，我们可以知道其是由小于104729的素数随机组合生成的. 为小于p的任何数的倍数，即我们可以将这10000个素数乘起来就为p-1的倍数，于是尝试用

BUUCTF Crypto [NCTF2019]childRSA wp

hsqGOD's blog

03-16

3290

这一道RSA打开加密算法乍一看感觉没有问题，N特别大，除了p和q的生成算法啥都没给，于是我们去查了一下 Crypto.Util.number 中的sieve_base，发现这是前10000个素数的生成列表，我们再去查一下第10000个素数的值为104729 不过就算我们知道了这个值的大小似乎还是得不到结果，从这个p，q的生成算法中，我们可以知道其是由小于104729的素数随机组合生成的，在这里我...

buu RSA2

ao52426055的博客

11-27

1210

查看题目类型：dp+n+e+c = m dp泄露 RSA各题型脚本\dp+n+e+c = m import gmpy2 as gp e = 65537 n = 2482540078515262411777215266989018029858327661762216096122588773716205800604331015383280303052199186976436198142009306796121098855338013353484450237516704784370730555447242

[HarekazeCTF2019]baby_rop2 1