[HarekazeCTF2019]baby_rop2

[HarekazeCTF2019] Baby_Rop2:64位ROP利用与ret2libc技巧
最新推荐文章于 2024-12-16 22:48:44 发布
原创 最新推荐文章于 2024-12-16 22:48:44 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #CTF #WriteUP #python #网络安全

本文介绍了在[HarekazeCTF2019]的baby_rop2挑战中,通过静态代码审计发现的栈溢出漏洞,并详细讲述了如何利用rop技术,避开system()和/bin/bash,通过ret2libc技术获取shell的过程,包括寄存器利用、got表地址计算及最终的攻击步骤和exploit代码。

[HarekazeCTF2019]baby_rop2

使用checksec查看:
在这里插入图片描述

只开启了栈不可执行。

先放进IDA中分析:
在这里插入图片描述

  • v3 = read(0, buf, 0x100uLL);:变量buf可读入0x100大小的数据,距离rbp 0x20,存在栈溢出。

题目思路

  • 在静态代码审计的时候只发现了一个栈溢出漏洞。
  • 程序中没有system()函数,也没有/bin/bash字符串。
  • 考虑用ret2libc的方式去做。

步骤解析

64位程序传参的时候是先会使用寄存器的,所以我门先要找到可用的rdirsi地址。

rsi采用第二个,r15在本次pwn中使用不到,直接置为0即可。

接着只需要套用ret2libc的公式就能getshell了。

注意有个坑:需要使用read@gotprintf@got不知道为啥使用不了。

在getshell之后还有个小坑:flag不在当前目录,在/home/babyrop2/flag下。

在这里插入图片描述

完整exp

from pwn import *

#start
r = remote("node4.buuoj.cn",266
最低0.47元/天 解锁文章
BUUCTF pwn [HarekazeCTF2019]baby_rop2
菜的只能随便写写博客
02-17 1800
0x01 文件分析   0x02 运行  和babyrop一样。   0x03 IDA  程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。   0x04 思路  没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符...
BUUCTF [HarekazeCTF2019]baby_rop2
2401_88087539的博客
02-02 545
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2
空城惜梦的博客
06-09 615
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2解题分析漏洞利用payload解析payload 解题分析 按照惯例先checksec,发现开了nx和RELRO,又因为题目给了文件libc.so.6,所以猜测要需要构造ROP来布置程序执行路线图 运行程序来观察程序的逻辑,发现需要输入name,然后程序再把输入的name打印出来 64位IDA打开,发现buf缓冲区只有0x20个字节大小,但read却可以往buf缓冲区中写入0x100个字节,所以这里存在着栈溢出 shift+
HarekazeCTF2019 baby_rop2
qq_60209620的博客
03-30 430
其实就是简单的64位ret2libc,但是有一些坑需要知道。
BUUCTF Pwn [HarekazeCTF2019]baby_rop2 题解
qq_33348179的博客
12-16 385
因为这是64位程序 所以用寄存器传参;又因为printf得传至少2个参数 所以要用到寄存器RDI RSI。查到的rsi多了个r15寄存器 但不需要用到 所以写payload的时候记得填充它。这里的打印函数是printf 所以利用printf函数的plt输出真实地址got。查看main函数 看到给了个libc说明这题是ret2libc题。但printf的got好像不行 所以换成了read的got。第一个rdi传入printf里的格式化字符串。下载 得到两个文件 checksec。64位 拖入IDA64。
[HarekazeCTF2019]baby_rop[BUUCTF]
moonlightsunshin的博客
05-05 564
这个时候思路就很清晰了根据64位函数传参的特点构造ROP链就行,32位与64位传参的区别这里就不再赘述,读者可以看上一篇jarvisoj_level2_x64[BUUCTF] ,根据名字可以猜到这道题考的rop同时是64位的程序。用find -name flag查找路径再cat。
BUUCTF-[HarekazeCTF2019]baby_rop2
Rt1Text的博客
11-08 468
泄露libc基地址,计算system,bin/sh地址,覆盖返回地址。最后ls没有发现flag,寻找flag。还要注意64位传参,寄存器的使用。直接cat flag在的位置即可。
buuctf [HarekazeCTF2019]baby_rop2
carol2358的博客
04-21 506
一道常规的泄漏libc然后rop的题目 exp: from pwn import * from LibcSearcher import * local_file = './babyrop2' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 if select == 0: r = proce...
[HarekazeCTF2019]baby_rop2【BUUCTF
qq_41696518的博客
09-02 510
明显存在栈溢出,那么就是找system和/bin/sh的问题了,该题给了libc,那就是泄露出真实的libc载入基址本题即可求解。由于本题是64位的,因此参数要写入寄存器中,顺序为rdi,rsi,rdx,rcx,r8,r9。
buuctf pwn [HarekazeCTF2019]baby_rop2
weixin_45441024的博客
12-03 560
buuctf pwn [HarekazeCTF2019]baby_rop2 ret2libc 老样子还是先check一下,发现开启了NX,说明我们不能利用ret2shellcode了,将文件放到IDA里面来分析一下 题目中有%s字符的字样,我们就想到了利用格式化字符串来泄露某个函数的真实地址,来找到libc的版本,最后拼接出一个system("/bin/sh")来获取shell,通过上图我们找到了溢出点在read函数,buf距离栈底的高度为0x20 因为这是一个64位的程序,其参数是通过寄存器来传递的,
HarekazeCTF2019 baby_rop
m0_73743784的博客
08-28 333
非常经典的 ROP
BUU-[HarekazeCTF2019]baby_rop
qq_45771413的博客
04-27 2086
查看保护 IDA scanf没限制输入长度,这里可以溢出v4 寻找system和敏感字符串: 都找到了,看来可以缝合缝合了。 解题 这次还是rop,但是还是查阅了相关资料,比第一次做时理解要深刻点。也会用寻找ret返回的工具: ROPgadget ROP相关概念: ROP就是使用返回指令ret连接代码的一种技术 (同理还可以使用jmp系列指令和call指令,有时候也会对应地成为JOP/COP)。 一个程序中必然会存在函数,而有函数就会有ret指令。 而ret指令的本质是pop eip,即把当前栈顶的内
[HarekazeCTF2019]baby_rop2 1
最新发布
10-27
[HarekazeCTF2019]baby_rop2是一道64位、开启了NX保护的Pwn题目,利用思路为ret2libc,涉及printf函数和read函数。程序中定义了`char buf[28];`,但在使用`read(0, buf, 0x100uLL);`时,向buf读取输入最多256(0x100)...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值