【BUUCTF - PWN】baby_rop

最新推荐文章于 2022-10-30 22:32:42 发布
最新推荐文章于 2022-10-30 22:32:42 发布
阅读量373 收藏
点赞数
分类专栏: BUUCTF - PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tqydyqt/article/details/105321640
版权
本文探讨了在BUUCTF中的baby_rop挑战,通过检查安全性(checksec),发现存在栈溢出漏洞。使用IDA分析后,找到了溢出点,并利用内含的/bin/sh字符串,借助ROPgadget找出pop rdi指令来调用system函数执行shell。
摘要由CSDN通过智能技术生成

checksec一下,栈溢出

IDA打开看看,很明显的溢出点,/bin/sh字符串在程序里也有现成的,通过ROPgadget找到pop rdi命令即可将/bin/sh作为参数调用system

from pwn import *
from LibcSearcher import *

context.os='linux'
context.arch='amd64'
context.log_level
最低0.47元/天 解锁文章
古月浪子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF - PWNbabyrop
古月浪子的博客
03-25 1747
checksec一下,可以栈溢出 IDA打开看看,读取随机数作为参数传入函数中 读取输入,进行字符串比较,不同则退出,相同则返回输入的第8个字节,可以通过输入 \0 绕过字符串比较 返回的字节作为read的长度,buf只有231字节,可以通过传入255来栈溢出,然后就是标准的ret2libc了 from pwn import * from LibcSearcher import * co...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
buuctf babyrop
carol2358的博客
04-08 573
pwn菜鸡争取一天写一道吧,记录一下做题过程,方便复现 先checksec ida f5 大致的流程就是先生成一个随机数,然后将这个随机数放入buf,再把buf传到71F 在71F里,buf变成a1,把a1放入s,然后往71F的buf里输入数据,这一步要注意,我们要做的是通过传入数据,把v5覆盖掉,因为返回值是v5,而v5和buf的关系在stack里是这样的 所以我们传入7个以上的字节(...
BUUCTF-Pwn-[OGeek2019]babyrop
餐桌上的猫
02-16 2165
题目截图 检查文件信息 开启了NX和Full RELOR 用IDA打开,反汇编查看主函数 查看函数sub_804871F buf[7]的大小为7个字节,而我们最多可以写入0x20个字节的数据,可以覆盖到v5,所以我们可以控制v5的值,在if判断中,如果buf中的字符串与s中的字符串不相同就会退出程序,但是v1控制strncmp函数比较的字符数,v1等于buf中字符串的长度,只要我们输入的数据以\0开始,v1就等于0,那么就可以绕过if判断 查看函数sub_80487D0 a1的值等于上一个函数中的
PWN——Buuoj [HarekazeCTF2019]baby_rop
u014377094的博客
01-21 729
先用IDA64打开,发现scanf看一眼存入数据的位置 熟悉的味道 按一下shift f12 system函数和/bin/sh都给了那就不客气了 困难题我唯唯诺诺,简单题我重拳出击 思路明确,现在还需要pop rdi,ret来传一下参数(str“/bin/sh)到system里 这个时候用到了ROPgadget 里面的babyrop是这道题的文件名,其他题换一下就ok 现在找到了地址,准备工作完成,敲python 有一点需要注意的是,咱们明明找的是400683,搁ida里咋面目
BUUCTF - PWNbaby_rop2
古月浪子的博客
04-18 450
checksec一下,栈溢出 IDA打开看看,明显的栈溢出漏洞 题目给了libc文件,使用printf把read的got地址打印出来即可泄露libc地址,然后one_gadget拿shell from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_leve...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
最新发布
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3716
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTFpwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
BUUCTF [HarekazeCTF2019]baby_rop
qq_51821131的博客
07-28 147
简单rop 分析程序 存在栈溢出 存在字符串binsh 找到返回地址 代码如图,由于是64位,先通过寄存器传参,所以利用pop|ret 打通后发现flag文件不在根目录 从而利用find -name flag,找到flag在/home/babyrop/flag中,cat一下即可 ...
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1243
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
buuctf [HarekazeCTF2019]baby_rop
carol2358的博客
04-17 397
可以在程序里找到binsh,ctrl+L, 程序本身有system函数 找到rop 修改system参数为/bin/sh,然后跳转到system运行就可以了,最后加一个假的返回地址 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level...
BUUCTF|PWN-[OGeek2019]babyrop1-WP
l2645470582_的博客
01-12 2266
1.检查保护机制 (1)该文件是32位文件 (2)开启堆栈不可执行 2.用32位IDA打开该文件
buuctf [HarekazeCTF2019]baby_rop2
carol2358的博客
04-21 448
一道常规的泄漏libc然后rop的题目 exp: from pwn import * from LibcSearcher import * local_file = './babyrop2' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 if select == 0: r = proce...
Buuctf(pwn)[OGeek2019]babyrop
半岛铁盒的博客
03-25 667
发现第二个函数有个read函数,但它是0x20是不能够构成漏洞利用,只是利用它作为中间的一个简单的输出即可; 跳过if判定: 只需在第一次输入时 在最前面加上 ‘\0’ a1上上一次返回的 buf[7] 这里的漏洞点利用, 要保证 a1的值尽可能的大, 这里选择的是 ‘xff’ – 255 该题目已经为我们提供了Libc Exp可以这样写 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23....
BUUCTF [OGeek2019]babyrop
红叶的博客
10-30 665
不知道为什么远程进不去,后来选择了不用LibcSearcher,用题目提供的Libc进去了。分析完反汇编成C语言的程序源码后,就是常规的ret2libc了。由于本题是32位ELF,因此不需要rdi与ret栈对齐。思路有了,接下来是构造PoC与Payload。strlen 遇到 \x00会截断。使用puts函数进行泄露真实地址。成功本地获取shell。首先绕过 strlen。
[BUUCTF]PWN17——[HarekazeCTF2019]baby_rop
mcmuyanga的博客
09-01 690
[BUUCTF]PWN17——[HarekazeCTF2019]baby_rop 附件 步骤: 例行检查,64位,开启了NX保护 试运行一下程序,看这个情况,当我们输入太长字符串的时候会报错 64位ida载入,shift+f12查看程序里的字符串,看到了system 和 ‘/bin/sh’ 双击跟进,ctrl+x查看一下哪里调用了字符串,没有找到函数,只找到了地址 shell=0x601048 system=0x400496 找到输入点,没有限制v4读入的数据,可以造成溢出,跟pwn16差不
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值