[求助]一道ctf pwn题的思路-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
fneig 雪币： 90 活跃值： (173) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 58 粉丝 2 关注私信	fneig 1 2 楼只开了nx？那试试ret lib或rop。 2016-10-5 23:57 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 3 楼但是这个应该是个纯静态的elf(file了一下貌似有statically linked和stripped)，又没有符号的话,怎么构造system("\bin\sh")的rop链呢？望再指点一下 2016-10-6 16:11 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 4 楼貌似需要针对特定的libc 弄sig文件。。就strings出glibc-ld.so.cache1.1。貌似都对应不到glibc的库版本。 2016-10-8 07:25 0
Keoyo 雪币： 292 活跃值： (815) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 219 粉丝 20 关注私信	Keoyo 2 5 楼静态elf文件主要是用来分析漏洞的，楼上说的ret2libc其实就是system("/bin/sh")，system地址需要libc版本，一般CTF官方都会给的，实在不行就暴力跑一下，有libc版本就能算出system相对基址偏移，然后在题目中leak出libc基址加上偏移就是system地址了 2016-10-8 08:09 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 6 楼因为libc是被静态链接在程序内，符号又被剔除了，所以看了网上得确定glibc的版本但是官方的程序里找不太到相关的信息了，就在程序字符串看到glibc-ld.so.cache1.1，再去查查看能不能对应起来。谢谢解答，我再去研究试试。 2016-10-8 09:27 0
dwfault 雪币： 228 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	dwfault 7 楼可以用工具来快速ROP，例如ROPgadget 2016-10-8 13:07 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 8 楼使用了已经生成了gadget文件，但是现在的难点就是确定不了system库函数静态编译在程序的地址是多少。。得再想想办法 2016-10-8 13:17 0
dwfault 雪币： 228 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	dwfault 9 楼没能生成INT 80的gadget么？执行系统调用呗，不一定非得找system函数吧。。 2016-10-10 15:48 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 10 楼因为那个ctf题是socat把本地漏洞程序转发出来的，需要反弹出Shell拿flag，我只知道system可以。。系统调用是不是要进内核了？因为主要是执行些shell命令 2016-10-10 17:03 0
letitbezh 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	letitbezh 11 楼学一下pwntools会好点，需要用rop链泄露多个函数信息，之后可以找一个查库的类型的网站，看可不可以查到，之后就自己算了。 2016-10-10 23:45 0
dwfault 雪币： 228 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	dwfault 12 楼 ctf pwn题大部分都是socat把本地漏洞程序转发出来的，需要反弹出Shell拿flag。。。调用system属于ret2libc，只是拿shell的一种方法，这道题静态编译的话显然不适合用ret2libc。尝试构造如下的rop，11号系统调用，execve(/bin/sh)，不需要进内核： XOR EAX,EAX PUSH EAX PUSH 68732F6E hs/n PUSH 69622F2F ib// //bin/sh MOV EBX,ESP PUSH EAX XCHG CL,AH MOV AL,0B EAX：系统调用号 EBX：Filename ECX：Flag EDX：Mode INT 80 2016-10-13 09:23 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 13 楼嗷嗷明白了，基本我可以搞定了。麻烦想问问linux下的pwn该怎么入门？有什么学习资料吗 2016-10-13 10:17 0
dwfault 雪币： 228 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	dwfault 14 楼看蒸米的博客里面有Linux rop系列，很详细，然后做几道题就可以了 2016-10-14 09:54 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 15 楼好的，谢谢指点 2016-10-14 10:08 0
Ox9A82 雪币： 799 活跃值： (457) 能力值： ( LV12，RANK：280 ) 在线值：发帖 18 回帖 116 粉丝 28 关注私信	Ox9A82 3 16 楼静态链接直接jmp magic system就可以了 2016-10-23 21:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
fneig 雪币： 90 活跃值： (173) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 58 粉丝 2 关注私信	fneig 1 2 楼只开了nx？那试试ret lib或rop。 2016-10-5 23:57 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 3 楼但是这个应该是个纯静态的elf(file了一下貌似有statically linked和stripped)，又没有符号的话,怎么构造system("\bin\sh")的rop链呢？望再指点一下 2016-10-6 16:11 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 4 楼貌似需要针对特定的libc 弄sig文件。。就strings出glibc-ld.so.cache1.1。貌似都对应不到glibc的库版本。 2016-10-8 07:25 0
Keoyo 雪币： 292 活跃值： (815) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 219 粉丝 20 关注私信	Keoyo 2 5 楼静态elf文件主要是用来分析漏洞的，楼上说的ret2libc其实就是system("/bin/sh")，system地址需要libc版本，一般CTF官方都会给的，实在不行就暴力跑一下，有libc版本就能算出system相对基址偏移，然后在题目中leak出libc基址加上偏移就是system地址了 2016-10-8 08:09 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 6 楼因为libc是被静态链接在程序内，符号又被剔除了，所以看了网上得确定glibc的版本但是官方的程序里找不太到相关的信息了，就在程序字符串看到glibc-ld.so.cache1.1，再去查查看能不能对应起来。谢谢解答，我再去研究试试。 2016-10-8 09:27 0
dwfault 雪币： 228 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	dwfault 7 楼可以用工具来快速ROP，例如ROPgadget 2016-10-8 13:07 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 8 楼使用了已经生成了gadget文件，但是现在的难点就是确定不了system库函数静态编译在程序的地址是多少。。得再想想办法 2016-10-8 13:17 0
dwfault 雪币： 228 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	dwfault 9 楼没能生成INT 80的gadget么？执行系统调用呗，不一定非得找system函数吧。。 2016-10-10 15:48 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 10 楼因为那个ctf题是socat把本地漏洞程序转发出来的，需要反弹出Shell拿flag，我只知道system可以。。系统调用是不是要进内核了？因为主要是执行些shell命令 2016-10-10 17:03 0
letitbezh 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	letitbezh 11 楼学一下pwntools会好点，需要用rop链泄露多个函数信息，之后可以找一个查库的类型的网站，看可不可以查到，之后就自己算了。 2016-10-10 23:45 0
dwfault 雪币： 228 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	dwfault 12 楼 ctf pwn题大部分都是socat把本地漏洞程序转发出来的，需要反弹出Shell拿flag。。。调用system属于ret2libc，只是拿shell的一种方法，这道题静态编译的话显然不适合用ret2libc。尝试构造如下的rop，11号系统调用，execve(/bin/sh)，不需要进内核： XOR EAX,EAX PUSH EAX PUSH 68732F6E hs/n PUSH 69622F2F ib// //bin/sh MOV EBX,ESP PUSH EAX XCHG CL,AH MOV AL,0B EAX：系统调用号 EBX：Filename ECX：Flag EDX：Mode INT 80 2016-10-13 09:23 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 13 楼嗷嗷明白了，基本我可以搞定了。麻烦想问问linux下的pwn该怎么入门？有什么学习资料吗 2016-10-13 10:17 0
dwfault 雪币： 228 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	dwfault 14 楼看蒸米的博客里面有Linux rop系列，很详细，然后做几道题就可以了 2016-10-14 09:54 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 15 楼好的，谢谢指点 2016-10-14 10:08 0
Ox9A82 雪币： 799 活跃值： (457) 能力值： ( LV12，RANK：280 ) 在线值：发帖 18 回帖 116 粉丝 28 关注私信	Ox9A82 3 16 楼静态链接直接jmp magic system就可以了 2016-10-23 21:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复