buuctf pwn bjdctf_2020_babyrop

最新推荐文章于 2023-10-25 22:15:50 发布
原创 最新推荐文章于 2023-10-25 22:15:50 发布 · 375 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #ctf #pwn

本文详细介绍了如何分析一个64位程序的缓冲区溢出漏洞,并利用ROP(Return-Oriented Programming)技术进行exploit。首先通过checksec检查程序的安全特性,发现未开启PIE和Canary,然后利用ida分析找到溢出点和关键函数。通过泄露puts函数地址找到libc基址,计算system和/bin/sh的地址,最终构造payload实现远程执行。整个过程展示了漏洞利用的基本步骤和技术细节。

buuctf pwn bjdctf_2020_babyrop

1.checksec

checksec

  • 运行一下
    在这里插入图片描述

2.IDA分析

在这里插入图片描述

  • 这里调用了vuln函数
  • 我们接着看一下vuln函数
    在这里插入图片描述
  • buf只有32,但是我们可以写64
  • 很明显的溢出
  • 本程序没开PIE
  • 没开canary
  • 再看一下有没有后门函数
    在这里插入图片描述
  • 没有"/bin/sh"
  • 没有system()函数
  • 那么就要通过泄露函数地址来计算libc的基地址了
  • 64位程序在传参的时候需要用到寄存器
  • 当参数少于7个时, 参数从左到右放入寄存器: rdi, rsi, rdx, rcx, r8, r9。
  • 当参数为7个以上时,后面的依次从 “右向左” 放入栈中。
  • 设置rdi寄存器的指令

ropper

在这里插入图片描述

3.exp

from pwn import *
from LibcSearch
最低0.47元/天 解锁文章
BUUCTF pwn——bjdctf_2020_router
CNS-Enterprise BCC-1701-J
05-09 378
BUUCTF 做题练习
bjdctf_2020_babyrop
最新发布
2301_81060697的博客
02-25 447
获取libc构造rop链
BUUCTF bjdctf_2020_babyrop
红叶的博客
10-27 875
今天终于搞明白 ret2libc3 了,不过不知道为什么所有 包括我自己写的PoC,都不能成功获取 ret2libc3 的shell,因此就去做BUUCTF的题了,边看大佬的解析边做。至此 system、/bin/sh 的地址就已经拿到了,只需要重新溢出一次程序,使用刚才获取的地址即可。因为没有开PIE,因此地址是固定的。使用 1 的 Libc 即可获取shell。ROPgadget找pop rdi。gdb动态调试查看需要覆盖的数量。打开IDA Pro看一眼。ret2libc的做法。首先checksec。
[BUUCTF-pwn]——bjdctf_2020_babyrop
Y_peak的博客
02-12 368
[BUUCTF-pwn]——bjdctf_2020_babyrop 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop 还是先checksec 一下 在IDA中看看 利用泄露地址和LibcSearcher库,找到对应的 libc版本算对偏移就可以找到system函数和 ‘/bin/sh’ 字符串. 因为64位,所以找下pop指令 思路: 泄露任意函数地址, 找到对应libc版本, 利用偏移寻找system函数和 ‘/bin/sh’ 字符串.
BUUCTF-Pwn-bjdctf_2020_babyrop
餐桌上的猫
03-25 446
exp from pwn import* from LibcSearcher import * p=process('/home/lhb/桌面/bjdctf_2020_babyrop') elf=ELF('/home/lhb/桌面/bjdctf_2020_babyrop') p=remote('node4.buuoj.cn',27346) main=0x4006ad pop_rdi_ret=0x400733 puts_plt=elf.plt['puts'] puts_got=elf.got['puts']
CTF】【PWN】【BJDctf】bjd_2020_babyheap
m0_50819561的博客
10-06 226
一道比较简单的堆题。 经典列菜单。 create , edit, delete 。 可以发现edit存在一个堆溢出漏洞,那么利用方法就很明显了。 先创建4个chunk。 再删除chunk2,然后对chunk1进行edit,利用堆溢出将chunk2的fd填充为一个fake_chunk. 再次malloc就会申请回chunk2的位置,由于fd连接了fake_chunk,所以再申请一次会申请会fake_chunk. fake_chunk+0x23的位置是heaparrary。 所以,执行如上代码之后,h
BUUCTFbjdctf_2020_babyrop2
m0_51251108的博客
12-30 482
BUUCTFbjdctf_2020_babyrop2 有canary ida看下程序 有格式化漏洞,但有6格宽度限制 有栈溢出 思路:这题靠格式化字符串漏洞泄露出canary的地址 然后栈溢出,ret2libc 泄露方法: 一次一次试过去,找到我们输入的位置的偏移 然后这题里偏移+1就是canary了 然后就能把canary带出来,canary每次运行都不一样 所以要实时接收 一个程序不同函数的canary好像都相同 特别提醒自己在接收环节的处理 exp: from pwn import*
[BUUCTF]PWN——bjdctf_2020_babyrop2
mcmuyanga的博客
11-05 1855
bjdctf_2020_babyrop2 附件 步骤: 例行检查,64位程序,开启了NX和canary保护 2. 试运行一下程序,看看大概的情况 提示我们去泄露libc 3. 64位ida载入,从main函数开始看程序 init gift 第9行的printf函数存在格式化字符串漏洞,可以利用这点去泄露canary的值 vuln buf参数存在溢出漏洞,只要绕过了canary就能够利用ret2libc的方法获取shell 利用思路: 利用格式化字符串泄露出canary的值 利用溢出漏洞,
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 3625
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
[BUUCTF-pwn]——bjdctf_2020_babyrop2
Y_peak的博客
02-25 391
[BUUCTF-pwn]——bjdctf_2020_babyrop2 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop2 还是先checksec一下。开启了canary 在IDA中,一看发现思路很清楚呀 思路 给的提示好明显, 第一个函数给你提示,泄露libc 第二个格式化字符串漏洞,泄露canary 第三个函数栈溢出,有了canary和puts函数,我们就可以泄露出libc,进而构造获得shell的rop链 exploit from p
[BUUCTF]PWN——bjdctf_2020_router
mcmuyanga的博客
11-06 1171
bjdctf_2020_router 附件 步骤: 例行检查,64位程序,开启了NX保护 本地试运行一下程序,看看大概的情况 会让我们选择,选择4.root,没什么用,但是注意了,这边选1会执行ping命令,尝试在ping命令后拼接ls,可以看到ls命令也执行了 这边利用了linux下的命令机制,命令1+;+命令2 这样的格式两种指令都会执行 3 . 利用这点,远程连接,尝试读出flag ...
pwn7第七关
qq_18823653的博客
04-03 513
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
[BUUCTF-pwn]——bjdctf_2020_babystack
Y_peak的博客
02-10 451
[BUUCTF-pwn]——bjdctf_2020_babystack 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中checksec一下 , 64位的我们要小心参数小于6位的函数. IDA中看看 看到这里不用我多说了吧, So easy !!! exploit from pwn import * p = remote("node3.buuoj.cn",25355) sys = 0x04006EA p.sendlinea
BJDCTF2020 babyrouter
qq_39980610的博客
08-22 379
BJDCTF2020 babyrouter
ctfshow BJDCTF2020 encode wp
qq_73667990的博客
02-17 416
进入sub_8048AC2,base加密的代码看多了一眼就认出了这是base加密,蓝色的a0123456789Abcd就是密码表双击进入得到密码表。不知为何我的ida插件Findcrypto识别不出来Base和RC4加密。v5[18]是加密数据,v4是长度,v5是密钥,v3是v5长度。再进入sub_8048E24,是一个rc4加密。密钥v5=Flag{This_a_Flag}根据代码推测函数,鼠标放到函数上N键重命名。然后再base解密得到falg。可知RC4加密后的字符串为。得到了异或后的v5[18]
第二届 BJDCTF 2020 Pwn Writeup (出题人版)
HiTaQini
04-01 2398
最为第一届BJDCTF的参赛选手和本届比赛的二进制出题人+运维,真心祝愿BJDCTF越办越好!(说多了怕被打)
BJDCTF2020 dizzy
qq_39980610的博客
08-22 525
BJDCTF2020dizzy
pwn学习】pwn中常用工具
Morphy_Amo的博客
01-10 5547
本文整理了在pwn中常用的一些工具,随着学习的深入也会不断添加
[moeCTF 2023] pwn
weixin_52640415的博客
10-25 601
总体上来说并不难,不过对于新生来说还是相当好的。循序渐进,很适合PWN入门到放弃。
bjdctf_2020_babyrop2
01-23
### BJD CTF 2020 BabyROP2 Writeup #### 题目概述 BabyROP2 是一道典型的 Return-Oriented Programming (ROP) 类型题目,主要考察参赛者对于 ROP 技术的理解以及利用漏洞执行任意代码的能力。 #### 利用技术分析 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

==Microsoft==

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值