BUUCTF pwn [HarekazeCTF2019]baby_rop2

最新推荐文章于 2022-10-28 00:04:14 发布
最新推荐文章于 2022-10-28 00:04:14 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: ctf_pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinying001/article/details/104358890
版权
本文详细介绍了HarekazeCTF2019比赛中baby_rop2的解题过程,包括文件分析、运行观察、使用IDA进行静态分析,以及在缺少默认gadget的情况下,如何通过栈溢出和printf函数泄露libc信息,最终构造ROP链来解决挑战。注意printf函数的参数使用,特别是格式化字符串%s的运用。
摘要由CSDN通过智能技术生成

0x01 文件分析

在这里插入图片描述

0x02 运行

在这里插入图片描述
 和babyrop一样。

0x03 IDA

在这里插入图片描述
 程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。

0x04 思路

 没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符串%s。

0x05 exp

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'


#p = process('./babyrop2')
p = remote("node3.buuoj.cn"
最低0.47元/天 解锁文章
影子019
关注
专栏目录
buuctf pwn [HarekazeCTF2019]baby_rop2
weixin_45441024的博客
12-03 451
buuctf pwn [HarekazeCTF2019]baby_rop2 ret2libc 老样子还是先check一下,发现开启了NX,说明我们不能利用ret2shellcode了,将文件放到IDA里面来分析一下 题目中有%s字符的字样,我们就想到了利用格式化字符串来泄露某个函数的真实地址,来找到libc的版本,最后拼接出一个system("/bin/sh")来获取shell,通过上图我们找到了溢出点在read函数,buf距离栈底的高度为0x20 因为这是一个64位的程序,其参数是通过寄存器来传递的,
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2593
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop2
mcmuyanga的博客
10-04 4342
[HarekazeCTF2019]baby_rop2 题目附件 步骤: 例行检查,64位,开启了nx保护 运行了一下程序,了解大概的执行情况 64位ida载入,shift+f12检索程序里的字符串,没有发现可以直接利用的,从main函数开始看程序 利用思路: 程序很简单,buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’)“,那样在执行13行语句的时候,程序回去调用我们布置好的栈,从而得到shell 但是程序里没有现成
BUUCTF [HarekazeCTF2019]baby_rop2
最新发布
红叶的博客
10-28 373
IDA Pro 静态调试。依旧可以使用上次的PoC。
buuctf [HarekazeCTF2019]baby_rop2
carol2358的博客
04-21 451
一道常规的泄漏libc然后rop的题目 exp: from pwn import * from LibcSearcher import * local_file = './babyrop2' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 if select == 0: r = proce...
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2
空城惜梦的博客
06-09 472
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2解题分析漏洞利用payload解析payload 解题分析 按照惯例先checksec,发现开了nx和RELRO,又因为题目给了文件libc.so.6,所以猜测要需要构造ROP来布置程序执行路线图 运行程序来观察程序的逻辑,发现需要输入name,然后程序再把输入的name打印出来 64位IDA打开,发现buf缓冲区只有0x20个字节大小,但read却可以往buf缓冲区中写入0x100个字节,所以这里存在着栈溢出 shift+
BUUCTF - PWNbaby_rop2
古月浪子的博客
04-18 456
checksec一下,栈溢出 IDA打开看看,明显的栈溢出漏洞 题目给了libc文件,使用printf把read的got地址打印出来即可泄露libc地址,然后one_gadget拿shell from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_leve...
[HarekazeCTF2019]baby_rop2
m0_52231248的博客
11-16 898
[HarekazeCTF2019]baby_rop2 Checksec: Ida: 很容易看到read存在溢出,offest=0x28 程序中没有system函数和sh字段我们要用ret2libc绕过nx保护 程序中存在printf函数我们用它来泄漏libc基址 先找到printf需要填的rdi和rsi Exp: from pwn import * from LibcSearcher import * context.log_level='debug' r=remote("n
[HarekazeCTF2019]baby_rop2BUUCTF
qq_41696518的博客
09-02 368
明显存在栈溢出,那么就是找system和/bin/sh的问题了,该题给了libc,那就是泄露出真实的libc载入基址本题即可求解。由于本题是64位的,因此参数要写入寄存器中,顺序为rdi,rsi,rdx,rcx,r8,r9。
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2
Y_peak的博客
02-14 285
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2 题目地址:https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2 checksec一下,64位,开启NX,应该要用到ROPgadget,先看看 在IDA中 思路 利用printf先leek出来一个地址,这里选用了read的地址。找到libc,计算偏移,最终算出,system函数地址和’/bin/sh’字符串的地址。由于是64位,注意寄存器储存参数。(参数小于等于
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1246
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
buuctf [HarekazeCTF2019]baby_rop
carol2358的博客
04-17 401
可以在程序里找到binsh,ctrl+L, 程序本身有system函数 找到rop 修改system参数为/bin/sh,然后跳转到system运行就可以了,最后加一个假的返回地址 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level...
[BUUCTF]PWN [HarekazeCTF2019]baby_rop2
m0_50819561的博客
09-25 202
惯例checksec发现开了,但也没开。 打开IDA进行分析 main函数很简洁,也没有内套其他函数。有一个很明显的溢出漏洞,可以通过read函数来把♂栈♂填♂满。那么如果我们把ret地址填写成我们想要的函数,就可以对他进行调用。看看本题题目,名副其实了属于是。 很明显,我们可以使用printf函数泄露libc基址。 printf函数的形式大概像这样:printf(“%s“,Moriarty),其中格式化字符串是第一个参数,放在rdi中,第二个参数放在rsi中。很明显的,我们应该想办法把rdi覆盖成一个.
[HarekazeCTF2019]baby_rop
m0sway的博客
03-26 575
[HarekazeCTF2019]baby_rop WriteUp BUU_PWN
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值