BUUCTF:bjdctf_2020_babyrop2(write up)

最新推荐文章于 2024-09-01 16:28:39 发布
最新推荐文章于 2024-09-01 16:28:39 发布
阅读量933 收藏 2
点赞数
分类专栏: CTF-PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44768749/article/details/108248798
版权
本文详细介绍了BJDCTF比赛中题目babyrop2的解题过程,从文件分析发现64位程序开启多种保护机制,到运行时的输入观察,再到使用IDA进行函数分析。通过利用gift函数的格式化字符串漏洞泄露信息,结合vuln函数的栈溢出漏洞,最终获取函数地址,完成漏洞利用。
摘要由CSDN通过智能技术生成

BUUCTF:bjdctf_2020_babyrop2

0x01 文件分析

在这里插入图片描述

64位程序,开启栈不可执行、canary、部分RELRO保护

0x02 运行

在这里插入图片描述

输入两次字符串

0x03 IDA

  • main函数
    在这里插入图片描述

调用了下面三个函数

  • init函数
    在这里插入图片描述

初始化,输出提示

  • gift函数
    在这里插入图片描述

存在格式化字符串漏洞

  • vuln函数
    在这里插入图片描述

存在栈溢出漏洞

0x04 思路

  • 开启canary保护

可利用gift函数的格式化字符串漏洞,泄露canary的值

  • canary
    在这里插入图片描述

gift函数中rbp-0x8的位置
在这里插入图片描述
得到偏移量为7

  • 没有system函数和"/bin/sh"

泄露了canary值后,可利用vuln函数的栈溢

最低0.47元/天 解锁文章
  筱
关注
专栏目录
Error: write EPROTO 93988952:error:100000f7:SSL routines:OPENSSL_internal:WRONG_VERSION_NUM
十三阿哥的博客
08-01 7393
【代码】Error: write EPROTO 93988952:error:100000f7:SSL routines:OPENSSL_internal:WRONG_VERSION_NUM。
BUUCTF:pwnable_orw
qq_44768749的博客
08-27 1689
BUUCTF:pwnable_orw0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 32位程序,开启了canary保护 0x02 运行 提示输入shellcode 0x03 IDA main函数 调用orw_seccomp函数后,输入shellcode后执行shellcode 写入sys_call的shellcode,发现不能执行 orw_seccomp函数 seccomp 是 secure computing 的缩写,其是
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1536
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
buuctf bjdctf_2020_babyrop
carol2358的博客
05-02 445
常规libc 64位 from pwn import * from LibcSearcher import * local_file = './bjdctf_2020_babyrop' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select = 1 if sel...
bjdctf-2020-babyrop2
最新发布
m0_73743784的博客
09-01 432
首先需要注意要获得 canary 的值,然后才能进行接下来的一系列操作格式化字符串漏洞需要大胆地调试才能得到实际的偏移,方便我们利用。
bjdctf_2020_babyrop2
、moddemod
07-06 587
注意这题开启了Canary 因为限制了payload长度就不可以写got表了,但是可以直接泄露Canary值,在vuln中进行栈溢出即可拿到shell… exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './bjdctf_2020_babyrop2' elf = ELF(proc_name) p = process(proc_name) p = remote('node3..
[BUUCTF-pwn]——bjdctf_2020_babyrop2
Y_peak的博客
02-25 321
[BUUCTF-pwn]——bjdctf_2020_babyrop2 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop2 还是先checksec一下。开启了canary 在IDA中,一看发现思路很清楚呀 思路 给的提示好明显, 第一个函数给你提示,泄露libc 第二个格式化字符串漏洞,泄露canary 第三个函数栈溢出,有了canary和puts函数,我们就可以泄露出libc,进而构造获得shell的rop链 exploit from p
BUUCTFbjdctf_2020_babyrop2
m0_51251108的博客
12-30 394
BUUCTFbjdctf_2020_babyrop2 有canary ida看下程序 有格式化漏洞,但有6格宽度限制 有栈溢出 思路:这题靠格式化字符串漏洞泄露出canary的地址 然后栈溢出,ret2libc 泄露方法: 一次一次试过去,找到我们输入的位置的偏移 然后这题里偏移+1就是canary了 然后就能把canary带出来,canary每次运行都不一样 所以要实时接收 一个程序不同函数的canary好像都相同 特别提醒自己在接收环节的处理 exp: from pwn import*
BUUCTFbjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1607
BUUCTFbjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
BUUCTF:picoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1309
BUUCTF:picoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
[PWN] BUUCTF bjdctf_2020_babyrop
空城惜梦的博客
06-04 561
构造常规的ROP链,三种找到libc版本的方法分析寻找libc版本1.利用LibcSearcher来查找libc版本payload2.通过特殊网址来查找libc版本3.通过gdb来查找libc版本payload 分析 按照惯例checksce ,发现开了NX和RELRO 运行程序,查看程序的运行逻辑,从图中的红框可以猜测是一道泄露libc的题目 接着用IDA查看程序中主要函数存在的漏洞,可以看到 buf这个字符串数组只有0x20字节,而read却可以读取0x64个字节,所以这里存在着栈溢出 shift
BUUCTF bjdctf_2020_babyrop
红叶的博客
10-27 786
今天终于搞明白 ret2libc3 了,不过不知道为什么所有 包括我自己写的PoC,都不能成功获取 ret2libc3 的shell,因此就去做BUUCTF的题了,边看大佬的解析边做。至此 system、/bin/sh 的地址就已经拿到了,只需要重新溢出一次程序,使用刚才获取的地址即可。因为没有开PIE,因此地址是固定的。使用 1 的 Libc 即可获取shell。ROPgadget找pop rdi。gdb动态调试查看需要覆盖的数量。打开IDA Pro看一眼。ret2libc的做法。首先checksec。
[BUUCTF-pwn]——bjdctf_2020_babyrop
Y_peak的博客
02-12 306
[BUUCTF-pwn]——bjdctf_2020_babyrop 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop 还是先checksec 一下 在IDA中看看 利用泄露地址和LibcSearcher库,找到对应的 libc版本算对偏移就可以找到system函数和 ‘/bin/sh’ 字符串. 因为64位,所以找下pop指令 思路: 泄露任意函数地址, 找到对应libc版本, 利用偏移寻找system函数和 ‘/bin/sh’ 字符串.
bjdctf_2020_babyrop
、moddemod
06-23 418
exp from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './bjdctf_2020_babyrop' p = process(proc_name) # p = remote('node3.buuoj.cn', 28227) elf = ELF(proc_name) read_got = elf.got['read'] puts_plt = elf.plt['puts'] main_.
pwn7第七关
qq_18823653的博客
04-03 423
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 758
bjdctf_2020_babyrop
bjdctf2020 babyrop
pondzhang的专栏
05-09 312
from pwn import * p = process('./bjdctf_2020_babyrop') libcelf = ELF('./libc-2.23.so') pop_rdi_ret = 0x0000000000400733 pop_rsi_r15_ret = 0x0000000000400731 pltputs = 0x00000000004004E0 main = 0x00000000004006AD gotputs = 0x0000000000601018 payload = 'a' *
BUUCTF-bjdctf_2020_babyrop2-WP
Rt1Text的博客
02-12 306
64位,NX和canary保护。
/home/vrv/src/EDSMClient-XC_svn/EdsmDocAuthData/EdsmDocAuthUserData.cpp:2507: 错误: conversion from ‘const char*’ to non-scalar type ‘std::__cxx11::wstring {aka std::__cxx11::basic_string<wchar_t>}’ requested std::wstring strSend = write.write(sendRoot).c_str(); ^
07-13
这个错误是因为将`const char*`类型的字符串直接赋值给`std::wstring`类型的变量导致的。 `std::wstring`是一个宽字符字符串类型,而`c_str()`函数返回的是`const char*`类型的字符串。它们之间不是直接可赋值的。 要解决这个问题,你可以使用适当的转换函数来将`const char*`类型的字符串转换为`std::wstring`类型的字符串。在C++中,可以使用`std::wstring_convert`或者`std::wstringstream`来进行转换。 以下是使用`std::wstring_convert`进行转换的示例代码: ```cpp #include <string> #include <locale> #include <codecvt> std::wstring strSend = std::wstring_convert<std::codecvt_utf8<wchar_t>>().from_bytes(write.write(sendRoot)); ``` 在上面的示例中,我们使用了`std::wstring_convert`和`std::codecvt_utf8<wchar_t>`来进行UTF-8到宽字符字符串的转换。 如果你使用的是C++11及以上版本,也可以使用`std::wstringstream`来进行转换: ```cpp #include <string> #include <sstream> std::wstringstream wss; wss << write.write(sendRoot); std::wstring strSend = wss.str(); ``` 在上面的示例中,我们将`write.write(sendRoot)`输出到`std::wstringstream`对象中,然后通过调用`str()`函数获取宽字符字符串。 请根据你的实际需求选择适合的转换方法,并根据需要包含相应的头文件。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值