buuoj [第六章 CTF之PWN章]ROP

最新推荐文章于 2023-03-05 15:16:40 发布

原创

最新推荐文章于 2023-03-05 15:16:40 发布 · 1.1k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全

ret2libc

保护。
在这里插入图片描述
啥没有。
直接就溢出了，但是没后门函数，就通过puts函数泄露puts函数地址，计算libc基地址，找到system函数与’/bin/sh’，然后一把梭就好。
需要用到gadget。

在调试过程中发现最后会出问题，然后gdb.attach贴上以后开始调。

在这里插入图片描述这个地方其实已经看出来了，进入了system函数，rdi也是‘/bin/sh’，似乎没啥问题，但是下面就卡住了。

在这里插入图片描述
这个地方卡住是因为没有栈对齐，你可以看到此时rsp是78，但是他要求16位对齐，最后得是0，所以需要在system地址前面加上个ret。

具体的看下面的wp

exp

from pwn import*

context.log_level = "debug"

#r = remote('node3.buuoj.cn', 28222)
r = process('./rop'

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

yongbaoii

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

buuctf-N1Book[第六章 CTF之PWN章]

CHAWUCIREN1的博客

10-17

2536

64位，开启了NX保护 shift + F12查看里面的字符串发现自带system和bin/sh的地址 bin_sh = 0x400537 gets函数对输入的长度没有限制查看一下v1的栈空间需要填充0xA + 0x8的空间 payload = “A” *(0xA + 8) 由于存在栈对齐，所以还要加一个地址 ret = 0x40054E 构造的exp如下 from pwn import * #p = process("./stack") p = remote("node4.buuoj..

buuoj [第六章 CTF之PWN章]fsb

yongbaoii的博客

01-30

1955

非栈上的格式化字符串漏洞 + 劫持GOT表瞅瞅检查开了NX、canary跟PIE。 RELRO没有开，可以考虑劫持GOT表。进去是个循环里面是个格式化字符串漏洞。因为它开的空间是堆上的，所以常规栈上的格式化字符串漏洞不能用。非栈上的格式化字符串漏洞非栈上的格式化字符串漏洞的话，先在printf处下断点。总体思路满足利用要求的三个指针分别在printf第10、16、20个参数的位置。该程序在循环执行20次输入、输出前申请了一个内存块，用于存放输入的字符串，循环结束后会释放掉这个内存

2 条评论您还未登录，请先登录后发表或查看评论

BUUCTF PWN-----第1题:test_your_nc

热门推荐

bing_Max的博客

08-27

1万+

buuoj-----第四题:ciscn_2019_n_1 前言简单记录一下pwn的过程首先checkesc ,检测文件的保护机制. 参考链接: link. 参考链接: link. bing@bing-virtual-machine:~/pwn$ checksec test [*] '/home/bing/pwn/test' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found

[BUUCTF-pwn]——[第六章 CTF之PWN章]stack

Y_peak的博客

03-12

912

[BUUCTF-pwn]——[第六章 CTF之PWN章]stack 题目地址: https://buuoj.cn/challenges#[%E7%AC%AC%E5%85%AD%E7%AB%A0%20CTF%E4%B9%8BPWN%E7%AB%A0]stack 思路一个简单的栈溢出, 注意栈平衡就好 exploit from pwn import * p = remote('node3.buuoj.cn',25385) shell = 0x0000000000400537 ret = 0x0000000

【BUUCTF - PWN】babyrop

古月浪子的博客

03-25

1878

checksec一下，可以栈溢出 IDA打开看看，读取随机数作为参数传入函数中读取输入，进行字符串比较，不同则退出，相同则返回输入的第8个字节，可以通过输入 \0 绕过字符串比较返回的字节作为read的长度，buf只有231字节，可以通过传入255来栈溢出，然后就是标准的ret2libc了 from pwn import * from LibcSearcher import * co...

rOpbaby-CTFPWN ROP练习题

08-21

DefConCTF 2015 Quals CTFPWN ROP练习题可用于练习基础的ROP

BUUCTF pwn wp 51 - 55

fa1c4的blog

10-06

1470

wustctf2020_getshell_2 简单rop from pwn import * url, port = "node4.buuoj.cn", 25118 filename = "./wustctf2020_getshell_2" elf = ELF(filename) # libc = ELF("./") # context(arch="amd64", os="linux") context(arch="i386", os="linux") local = 0 if local:

BUUCTF(pwn)铁人三项(第五赛区)_2018_rop

半岛铁盒的博客

03-30

425

最基本的 rop; from pwn import* from LibcSearcher import* r=remote('node3.buuoj.cn',25292) elf=ELF('./2') write_got=elf.got['write'] write_plt=elf.plt['write'] main=0x80484c6 payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.sendl

[BUUCTF-pwn]——inndy_rop

Y_peak的博客

03-18

451

[BUUCTF-pwn]——inndy_rop main函数无法反汇编，不过还好，里面的overflow就是gets函数，可以栈溢出。因为懒得自己去构造rop链了，看看里面是否可以拼凑出系统的调用里面有就省的我们自己写了中间还找了半天错，我真是个笨蛋，以前一直用p 忘记和和构造系统调用的变量重复了，改为a就好了 exploit from pwn import * from struct import pack a = remote('node3.buuoj.cn',27139) # Padding

CTF buuoj pwn-----第7题:ciscn_2019_c_1

bing_Max的博客

09-23

892

CTF buuoj pwn-----第7题:ciscn_2019_c_1前言1.checksec2. IDA 静态分析3. 解题思路4. 编写EXP5. 运行EXP, 获取flag后记前言重新梳理记录一下这道题的解题过程. 1.checksec 还是先看一下保护: bing@bing-virtual-machine:~/pwn$ checksec ./ciscn_2019_c_1 [*] '/home/bing/pwn/ciscn_2019_c_1' Arch: amd64-64-li

CTF buuoj pwn-----第9题:jarvisoj_level2

bing_Max的博客

09-27

985

1. checksec bing@bing-virtual-machine:~/pwn$ checksec ./jarvisoj_level2 [*] '/home/bing/pwn/jarvisoj_level2' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) .

CTF buuoj pwn-----第3题:warmup_csaw_2016

bing_Max的博客

08-29

2045

CTF buuoj pwn-----第3题:warmup_csaw_2016前言一、pandas是什么？二、使用步骤1.引入库2.读入数据总结前言一、pandas是什么？二、使用步骤1.引入库2.读入数据总结创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能，丰富你的文章UML 图表FLowchart流程图导出与导入导出导入前言提示：这里可以添加本文要记录的大概内容：例如：随着人工智能的不断发展，机器学习这门技

[第六章 CTF之PWN章]n1ker

yongbaoii的博客

04-18

792

buuctf-pwn-inndy_rop-wp

xuaohu123的博客

01-08

432

buuctf-pwn-innd_rop 查看文件保护 32位程序，开启了nx保护。

buuctf|pwn-[HarekazeCTF2019]baby_rop-wp

l2645470582_的博客

11-08

323

1.例行检查我们看到该文件开启了堆保护 2.我们用64位的IDA打开该文件按shift+f12查看关键字符串，我们看到“/bin/sh”这个关键字符串我们双击查看它的位置:0x0601048 3.我们去main函数里面看看我们发现v4 = var_10，他的地址为：0x10 我们要拿到权限：system("/bin/sh") 所以我们要找到system地址：0x0400490 我们双击_system,system在plt表里面 4...

buuctf ---- ROP集合（未完）

L0g1c的博客

01-27

2826

buuctf ---------- babyrop1 NX栈不可执行开启使用32位IDA查看程序读取输入，进行字符串比较，不同则退出，相同则返回输入的第8个字节，可以通过输入 \0 绕过字符串比较 a1可以是255，造成buf溢出。编写exp from pwn import * from LibcSearcher import * io=remote("node4.buuoj.cn",28966) elf=ELF("pwn") write_plt=elf.plt['write'] puts_

【BUUCTF - PWN】baby_rop

古月浪子的博客

04-05

460

checksec一下，栈溢出 IDA打开看看，很明显的溢出点，/bin/sh字符串在程序里也有现成的，通过ROPgadget找到pop rdi命令即可将/bin/sh作为参数调用system from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_leve...

BUUCTF-PWN-inndy_rop

Rt1Text的博客

03-05

906

可以栈溢出,没有system函数,使用系统调用利用ROPgadget的功能直接利用程序中的片段拼凑rop链。

[BUUCTF]PWN——inndy_rop

mcmuyanga的博客

11-26

1814

inndy_rop 附件步骤：例行检查，32位，开启了nx保护本地调试运行没看出个啥，直接上ida，一开始f5会报错，找到报错提示的位置，点击option–>general调出如图的界面，勾选上stack pointar 看到堆栈不平衡，选中报错地址的上一行，右击，点击“change stack"跳出如图界面，在sp值前加个”–“即可然后就能f5反编译了，main里就一个overflow函数，存在溢出漏洞右边的函数列表里只有静态编译的结果，所以这题没法去泄露libc什么的这

深入解析CTF PWN中fastbin堆溢出技术

资源摘要信息:"CTF（Capture The Flag）PWN是信息安全领域中的一个常见挑战类型，主要关注于漏洞利用和安全漏洞挖掘。在这类比赛中，参赛者需要利用各种编程语言和工具对目标系统进行攻击，以获取目标系统的控制权。...