BUUCTF [OGeek2019]babyrop

最新推荐文章于 2023-05-06 11:37:08 发布
最新推荐文章于 2023-05-06 11:37:08 发布
阅读量294 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45441024/article/details/112915713
版权
本文详细分析了BUUCTF [OGeek2019]babyrop挑战,探讨了如何通过在输入中添加'x00'绕过长度检查,并利用栈溢出执行libc函数的技巧。最终通过ret2libc实现漏洞利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

BUUCTF [OGeek2019]babyrop

在这里插入图片描述
首先我们还是check一下
在这里插入图片描述
在这里插入图片描述
对我们输入的值和随机数进行比较,这里我们需要知道strlen这个函数识别尾部的方式是\x00,所以这里我们可以通过在输入的一开始就加上’\x00’来绕过,这样v1就等于0了,就满足了这个条件
在这里插入图片描述
再找一下之后我们发现了可以执行libc的位置,这里的buf距离栈底有0xe7,但是通过read可以读到a1个字节(这个a1就是函数0x80487ef的返回值),所以只要我们输入一个特别大的值就可以进行溢出 ,剩下的就是常规操作ret2libc就可以啦
附上exp:

from pwn import *
from LibcSearcher import *
r=remote('node3.buuoj.cn',26929)
elf=ELF('/home/pwn/Desktop/pwn')
write_plt=elf
最低0.47元/天 解锁文章
[OGeek2019]babyrop
迷风小白
02-09 1266
[OGeek2019]babyrop 查看程序的保护机制 发现是got表不可写的32位程序 拖进ida查看伪代码 sub_80486BB是初始化缓存区的函数 发现buf是一个随机数 发现函数中存在strncmp比较函数,其中buf为用户输入的值,&s为buf随机数,如果不相等则会退出程序,所以需要想办法绕过这个判断,所以v1的值必须为0 v1 = strlen(buf),strlen这个函数有个缺陷:遇到\x00直接截断。所以我们要输入第一位数为\x00 buf是一个7位数的数组,但函数中
buuctf-[OGeek2019]babyrop
weixin_44864859的博客
04-09 2416
查看主函数 int __cdecl main() { int buf; // [esp+4h] [ebp-14h] char v2; // [esp+Bh] [ebp-Dh] int fd; // [esp+Ch] [ebp-Ch] sub_80486BB(); fd = open("/dev/urandom", 0); if ( fd > 0 ) read...
软件如何画pcb螺丝孔_如何画函数图像(常见函数篇)——动态数学软件GeoGebra...
weixin_33397994的博客
01-13 548
在GeoGebra里,一输入表达式,函数图像瞬间出来。下面,我们来看看常见函数是如何输入的。分类普通函数例:f(x) = sin(2x),g(x) = x² + 2【直接输入“=”右边的式子即可】分别输入sin(2x) , x^2 + 2系数待定的函数【法一】输入表达式,再点“创建滑动条”例:f(x) = k x + b输入k x + b,再“创建滑动条”【法二】先创建滑动条,再输入表达式例:f(...
BUUCTF--[OGeek2019]babyrop
N1rvana的博客
11-14 5107
才学习了基本的ROP流程,到处找题练,不过也没做出来几道题,以这道32位的题作为例题吧。 这道题是BUUCTFpwn练习题里的[OGeek2019]babyrop。 代码审计 老规矩先checksec一下: 没有canary保护,nx保护开启排除shellcode可能性,FULL RELEO为地址随机化。 观察主函数,先设定了一个闹铃,到时间就会强制退出程序,解除闹铃的方法在上一篇博客中提到过了, 这道题中闹铃函数依然对我们解题起不到什么干扰作用。 主函数的思路大概是:生成一个随机数,把这个随机数作为
buuctf刷题——[OGeek2019]babyrop 1
qq_41560595的博客
03-14 4010
好久好久没做ctf题了,今天得空刷刷buuctf,emm,发现好多都忘了。???????????? 查看权限 不能利用shellcode,但可以构造栈溢出。 查看源程序 为了方便区分,重命名了下函数。 open函数的返回值:如果操作成功,它将返回一个文件描述符,如果操作失败,它将返回-1; 文件描述符:0,1,2是标准IO输入/输出/错误输出给占用了,当文件open成功了,会返回数值3; read(fd,&buf,4u)是把fd所指向的随机数写入到buf文件中,长度是4个字节。 此时,buf是
buuctf13-17题
XDiku的博客
01-29 216
ok
[BUUCTF]Pwn刷题记录
x0r
10-13 330
本部分内容长期更新,不再创建新文章影响阅读 rip 根据IDA加载入main函数声明发现s数组距离rbp的距离为F,即为15,这里的运行环境是64位,所以应当将Caller's rbp的数据填满,在这里是8位,即可构造payload from pwn import * p=remote("node4.buuoj.cn", 25401) #p=process("./pwn1") payload=b...
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 469
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
2020-11-11
weixin_52232741的博客
11-11 214
Python文件操作函数 1.Read()函数 函数说明 Read from stream. 函数语法 read(size=-1, /),返回值为str f.read() #全部读取 f.read(100) #读取100个字符 2.Readline()函数 函数说明 Read from stream until newline or EOF. 函数语法 readline(size=-1, /),返回值为str f.readline() #读取一行数据 3. Write()函数 函数说明 Write
OGeek2019_babyrop
z1r0的博客
12-04 379
OGeek2019_babyrop 查看保护 取了一个随机数,接着跟进一下804871f 匹配用户输入的是否与随机数相等。这里使用\x00来绕过,返回了一个v5,v5没有给值,我们再接着往下看 这个函数内a1超过0xE7就会溢出过ebp,所以我们让a1为0xff,就可以溢出很长的空间,这里的a1也就是上面的v5,所以我们肯定要控制v5,看一下v5和buf的关系 804871f这个函数内可以让buf输入0x20个字符,v5和buf距离为7,这样我们就可以控制v5了。接下来rop就好了 from pw
OGeek2019bayrop
m0_62322730的博客
05-06 541
OGeek2019bayrop
OGEEK2019 babyrop wp
qq_43409582的博客
03-19 2265
这题就是需要绕过两个验证,之后就是常规rop了。 这里有个比较,你输入的值与一个随机数进行比较,这个验证不过会直接推出程序。那我们就让他取一个极值,让他无论是何值都能过。因为strlen这个函数遇到’\0’就会截止。所以我们就输入‘\x00’就好了。这样不论随机数是什么我们都会取<0。 这个地方的取值是之前那个函数的返回值,利用之前那个输入的地方把v5盖成一个很大的值以便之后做栈溢出的rop...
buuctf [nctf2019]easyrsa
最新发布
04-03
<think>好的,我现在需要帮助用户寻找BUUCTF中NCTF2019的EasyRSA题目的解法或资源。首先,我得回想一下用户提供的引用内容,看看有没有直接相关的信息。不过用户给出的引用[1]到[5]都是关于逆向工程、键盘密码、Base64编码等题目,比如Re Writeup、Keyboard、easyRE等,并没有提到EasyRSA。所以可能这些引用中没有直接的帮助。 接下来,我需要思考用户可能需要的解题方法。虽然用户提到的引用中没有EasyRSA的具体解法,但根据常见的RSA题型,可能需要考虑模数分解、选择密文攻击、Coppersmith方法等。例如,题目可能涉及共模攻击、小指数攻击,或者使用工具如yafu分解n。另外,可能需要检查是否存在不安全的参数选择,如p和q过于接近,或者使用相同的模数。 由于用户提供的引用中没有相关的内容,我需要根据常规的RSA解题思路来构建回答。可能需要分步骤说明常见的攻击方法,并建议用户检查题目给出的参数是否符合这些情况。例如,首先分解n,然后计算私钥d,最后解密得到flag。此外,还可以建议用户查找公开的Writeup,或者提供一些通用的解题步骤,比如检查是否存在已知的漏洞。 同时,用户可能希望得到具体的解题脚本或工具推荐,比如使用Python的gmpy2库进行大数运算,或者使用RsaCtfTool进行自动化解密。因此,在回答中可以提到这些工具,并指导用户如何应用它们。 最后,生成的相关问题应该围绕RSA的常见攻击方法和题目可能涉及的点,比如模数分解的方法、Coppersmith定理的应用,或者是否存在特殊参数等情况。这可以帮助用户进一步深入理解和解决类似的问题。</think>### BUUCTF NCTF2019 EasyRSA 解题思路分析 根据常规RSA题型特征,建议通过以下步骤分析题目: 1. **参数检查** - 观察题目给出的$n,e,c$是否包含特殊结构 - 尝试用`yafu`或`factordb`分解模数$n$,若$n$为素数幂可能涉及特殊分解方法[^1] - 检查是否存在$e=3$或$e$与$\phi(n)$不互素的情况 2. **典型攻击场景** - **共模攻击**:若存在两组$(e_1,c_1),(e_2,c_2)$使用相同$n$ - **Wiener攻击**:当$d < \frac{1}{3}n^{1/4}$时可应用 - **Coppersmith**:适用于已知明文部分信息的情况 3. **代码示例框架** ```python from Crypto.Util.number import long_to_bytes import gmpy2 n = ... # 题目给出的模数 e = ... # 公钥指数 c = ... # 密文 # 分解n得到p,q p = q = phi = (p-1)*(q-1) d = gmpy2.invert(e, phi) m = pow(c, d, n) print(long_to_bytes(m)) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值