[OGeek2019]babyrop

利用babyrop漏洞实现栈溢出与getshell:深度解析与实战教程
最新推荐文章于 2025-01-28 15:16:35 发布
原创 最新推荐文章于 2025-01-28 15:16:35 发布 · 1.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #python #CTF #网络安全 #WriteUp

本文详细剖析了babyrop程序中的安全漏洞,通过覆盖和控制返回值实现栈溢出,进而利用ret2libc技术获取shell。步骤包括绕过strlen检查、控制输入长度、定位puts地址和系统调用地址,最终成功getshell。

[OGeek2019]babyrop

使用checksec查看:
在这里插入图片描述
只开启了站RELRO和栈不可执行。

放进IDA中分析:
在这里插入图片描述

  • sub_80486BB();:初始化的,没啥用。
  • fd = open("/dev/urandom", 0); if ( fd > 0 ) read(fd, &buf, 4u);:获取一个随机数给到buf

sub_804871F()
在这里插入图片描述

  • v6 = read(0, buf, 0x20u);:从键盘读入数据赋值给buf。
  • v1 = strlen(buf):获取buf的长赋值给v1。
  • if ( strncmp(buf, &s, v1) ) exit(0);:比较buf和s是否相同,比较位数是v1,不同则结束运行。
  • return v5;:返回一个v5。

sub_80487D0(char a1)
在这里插入图片描述

  • 传入参数是sub_804871F()的返回值。
  • if ( a1 == 0x7F ):判断a1,做出不同长度的输入。

题目思路

  • 返回值v5可以通过覆盖的方式可控。

  • sub_80487D0(char a1)中,if判断正确可写入0xC8u大小的数据,但无法溢出,buf的大小未为0xE7

  • 所以需要走else过,控制a1即可。

  • a1sub_804871F()的返回值v5

  • v5可在读取buf的时候进行覆盖,覆盖成\xFF

  • \x00绕过strlen()buf的判断

  • 控制a1之后就能实现栈溢出。

  • 接着可通过ret2libc实现get

最低0.47元/天 解锁文章
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 5638
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTFpwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
[BUUCTF-OGeek2019]babyrop详解(包含思考过程)
最新发布
2301_76794844的博客
09-03 1044
[BUUCTF-OGeek2019]babyrop详解(包含思考过程)
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 573
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
BUUCTF [OGeek2019]babyrop
2401_88087539的博客
01-28 848
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF Pwn [OGeek2019]babyrop 题解
qq_33348179的博客
12-07 684
返回上一个函数字符串的第七个数 并比较是否=127 但是想要实现栈溢出 字符ASCII码必须要>231才行。运行 得到flag:flag{13b507a6-fb96-4d2d-ab7d-c8c3853dc8c4}所以要利用在字符串前加上 \x00 绕过长度检测 使14行的if不会执行。查看字符串 这题也没有后门函数 所以接下来就是ret2libc。读取字符串 如果最后一个数字和随机的数字不相等 就直接退出。所以要用到拓展ASCII码 取 \xff。32位 用IDA32打开。下载 checksec。
软件如何画pcb螺丝孔_如何画函数图像(常见函数篇)——动态数学软件GeoGebra...
weixin_33397994的博客
01-13 1066
在GeoGebra里,一输入表达式,函数图像瞬间出来。下面,我们来看看常见函数是如何输入的。分类普通函数例:f(x) = sin(2x),g(x) = x² + 2【直接输入“=”右边的式子即可】分别输入sin(2x) , x^2 + 2系数待定的函数【法一】输入表达式,再点“创建滑动条”例:f(x) = k x + b输入k x + b,再“创建滑动条”【法二】先创建滑动条,再输入表达式例:f(...
buuctf-[OGeek2019]babyrop
weixin_44864859的博客
04-09 2481
查看主函数 int __cdecl main() { int buf; // [esp+4h] [ebp-14h] char v2; // [esp+Bh] [ebp-Dh] int fd; // [esp+Ch] [ebp-Ch] sub_80486BB(); fd = open("/dev/urandom", 0); if ( fd > 0 ) read...
OGEEK2019 babyrop wp
qq_43409582的博客
03-19 2311
这题就是需要绕过两个验证,之后就是常规rop了。 这里有个比较,你输入的值与一个随机数进行比较,这个验证不过会直接推出程序。那我们就让他取一个极值,让他无论是何值都能过。因为strlen这个函数遇到’\0’就会截止。所以我们就输入‘\x00’就好了。这样不论随机数是什么我们都会取<0。 这个地方的取值是之前那个函数的返回值,利用之前那个输入的地方把v5盖成一个很大的值以便之后做栈溢出的rop...
OGeek2019_babyrop
z1r0的博客
12-04 413
OGeek2019_babyrop 查看保护 取了一个随机数,接着跟进一下804871f 匹配用户输入的是否与随机数相等。这里使用\x00来绕过,返回了一个v5,v5没有给值,我们再接着往下看 这个函数内a1超过0xE7就会溢出过ebp,所以我们让a1为0xff,就可以溢出很长的空间,这里的a1也就是上面的v5,所以我们肯定要控制v5,看一下v5和buf的关系 804871f这个函数内可以让buf输入0x20个字符,v5和buf距离为7,这样我们就可以控制v5了。接下来rop就好了 from pw
ogeek babyrop
awxnutpgs545144602的博客
09-22 543
拖入ida 先用strncmp使一个随机数与输入比对,这里可以用\x00跳过strncmp 然后read()中的a1是我们输入\x00后的值 写exp from pwn import * sh=remote('node1.buuoj.cn',28560) #sh=process('/home/harmonica/Desktop/opp...
OGeek2019bayrop
m0_62322730的博客
05-06 587
OGeek2019bayrop
天池OGeek算法挑战赛CTR预测训练数据集解析
首先,标题“天池OGeek算法挑战赛数据.zip”表明这个压缩包包含的是天池竞赛平台中的“OGeek算法挑战赛”的相关数据文件。天池(Tianchi)是一个著名的阿里巴巴旗下的大数据竞赛平台,它为数据科学家和算法工程师...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值