[BUUCTF]PWN------[BJDCTF 2nd]r2t3

最新推荐文章于 2021-04-03 00:01:08 发布
最新推荐文章于 2021-04-03 00:01:08 发布
阅读量203 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BangSen1/article/details/112826629
版权

[BJDCTF 2nd]r2t3

例行检查,32bit,开启NX保护

在这里插入图片描述
nc 一下,没有有用的信息
加粗样式
用IDA打开,注意到了/bin/sh,继续跟进
在这里插入图片描述
找到了这个后门函数,shell_addr=-0x084858B,再去查看主函数
在这里插入图片描述
我们可以看到,buf的大小是0x408,但限制读取0x400,所以不存在溢出,
在这里插入图片描述
再看name_check函数,它对我们的长度进行了规定,要在4~7之间,但它负责接收buf的变量v3是unsigned_int8型的,即无符号整形。因此可以表示的范围为0–2^8-1(255) buf的最大长度是0x400(1024),所以这里存在整型溢出。
strlen()这个函数,如果参数的长度大于了它的固定的长度,就会将前面的扔掉,留下剩下的
比如:a的长度为260,b也是定义的unsigned_int8,因此b=strlen(a)=260-255=5
我们就可以利用strlen函数的这一点来绕过长度的检查,根据上述,我们可以用来绕过长度检查的字符串的长度应该是255+4(259) ~ 255+7(262)
在这里插入图片描述
在长度检查之后,主函数13行会将我们输入的字符串赋值到dest中,看一下dest在栈上的位置
在这里插入图片描述
在这里插入图片描述
它距离返回地址r=0x4-(-0x11)=0x15,因此我们在构造输入字符串的时候可以先输入0x15个a用来定位到返回地址,然后将返回地址填上shell_addr,之后补上(260-0x15-4)个长度的a来绕过长度检查
exp:

在这里插入图片描述
flag

在这里插入图片描述

HAIANAWEI
关注
专栏目录
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2114
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
BUUCTF-Pwn-get_started_3dsctf_2016
餐桌上的猫
03-04 201
题目截图
[BJDCTF 2nd]r2t3
、moddemod
06-11 357
exp from pwn import * context.log_level = 'debug' proc_name = './r2t3' # sh = remote('node3.buuoj.cn', 28627) # sh = process(proc_name) elf = ELF(proc_name) system_addr = elf.plt['system'] main_addr = elf.sym['main'] bin_sh_addr = 0x08048760 # n = 0...
buuoj BJDCTF 2nd r2t3
pondzhang的专栏
03-26 716
buf定义长度为0x400。而buf的长度为0x408 所以不存在溢出。 可见name_check函数存在安全漏洞,但是要绕过长度限制。unsigned __int8 v3定义的数据类型实际为unsigned char。仅有1个字节,超过1个字节数据丢弃,也就是最大数值为0xff ,也就是0x100=256=0,那么可以用0x104至0x107来满足上面的条件。即为传说中的整形溢出...
[BUUCTF]PWN12——[BJDCTF 2nd]r2t3
mcmuyanga的博客
08-29 484
[BUUCTF]PWN12——[BJDCTF 2nd]r2t3 题目网址:https://buuoj.cn/challenges#[BJDCTF%202nd]r2t3 步骤: 例行检查,32位,开启了NX保护 nc一下看看程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,看到了system函数和 ‘/bin/sh’ 字符串 双击跟进,ctrl+x找到调用改字符串的函数,找到了程序里的一个后门函数,shell_addr=0x804858B 根据nc得到的提示字符串,找到输
[BJDCTF 2nd]r2t3 (整型溢出)
qq_45691294的博客
12-16 207
进入到题目环境,程序接收一个输入,测试之后,发现输入任何值的返回都是Oops,u name is too long! checksec查看一下程序保护,只开启了NX 那就用IDA分析一下程序,将输入读取到buf的内存当中,又作为name_check函数的参数 进入到name_check函数里,存在一个判断,如果参数的长度大于3且小于等于8,则将s的值复制到dest的内存空间里。 分析之后,当通过条件判断之后,变量dest可以造成栈溢出 这里也存在整数溢出,v3的类型为unsigned __int8是一
CTF-Pwn-[BJDCTF 2nd] r2t3
归子莫的博客
05-06 716
CTF-Pwn-[BJDCTF 2nd] r2t3 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd] r2t3 下载题目的文件 R2t3 思路 使用file命令查看,发...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
BJDCTF 2nd - Pwnr2t3、one_gadget、r2t4)
像初雪一样自由洒落
03-25 637
r2t3 最简单的一道题,可是我竟然没有做出来,无语了,,, 文件保护没啥好说的,,,很正常 进入name_check函数 255 ==> 255 256 ==> 0,257 ==> 1,258 ==> 2,259 ==> 3, 260 ==> 4,261 ==> 5,262 ==> 6,263 ==> 7,264 ==...
[BUUCTF-pwn]——[BJDCTF 2nd]r2t3
Y_peak的博客
02-10 182
[BUUCTF-pwn]——[BJDCTF 2nd]r2t3 题目地址:https://buuoj.cn/challenges#[BJDCTF%202nd]r2t3 题目: 先将文件下载下来,checksec一下。32位仅仅开启了NX保护。 在IDA中看看。有read函数但是长度限制导致无法栈溢出,点开下面一个函数看看. 里面有个strcpy函数,可以将其拷贝到dest里面. 并且0x11 + 0x4 + 0x4 << 0x400. 完美可以利用.但是字符串长度只能是 4~7. 上面v3是
BJDCTF_r2t3
weixin_44864859的博客
04-09 375
BJDCTF_r2t3 考点:考点:短整型溢出 1.首先检查程序的基础信息 32位程序,可以看到这开启了NX保护,说明无法在栈上执行shellcode 2.运行程序,对程序功能有基本了解 程序基本功能:输入name,对name长度进行判断 3.用ida打开进行分析 这里截取了关键部分对代码 首先在main函数中,没有任何可疑的 进入name_check函数:接受了一个最大长度为0x400的b...
BJDCTF2nd
Amherstieae的博客
05-25 1155
本文写于3.24,只是那个时候还莫得博客,遂现在才发出。 写在前面 大家好呀,这里是β-AS,是一枚真的小菜鸡,希望路过的师傅带带我鸭 这是第二届BJDCTF,作为真弟弟只对crypto和misc感兴趣呀,然后接着是关于这两方面这次比赛我们做出来的题的writeup,希望能对大家有所帮助,也希望路过的大佬带带我(这是关键) 哦对了,七校联盟萌新赛????嗯?????? 出题人出来!线下1V1来不来!! (假的,我打不过你) CRYPTO 。1签到-y1ng QkpEe1czbGMwbWVfVDBfQkpEQ
python安装pwn_CTF-Pwn-[BJDCTF 2nd] r2t3
weixin_42523792的博客
01-04 195
CTF-Pwn-[BJDCTF 2nd] r2t3博客说明文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!CTP平台网址https://buuoj.cn/challenges题目Pwn类,[BJDCTF 2nd] r2t3下载题目的文件R2t3思路使用file命令查看,发现是32位的文件,使用ida...
BJDCTF_2nd_Crypto wp
resu09的博客
04-03 290
0x01 签到-y1ng1 提示很明显。 为base64 解密,直接得到flag. BJD{W3lc0me_T0_BJDCTF} 0x02 老文盲了1 因为其提示老文盲,并且打开的txt文档中字母都比较生僻 所以直接将其放在在线网站上寻找拼音 可读出 BJD{}这就是flag 直接交了吧{} 所以明显flag{淛匶襫黼瀬鎶軄鶛驕鳓哵} 0x03 cat_flag 打开文件 发现为一gif 动图 有的猫咪吃鸡腿,有的没有吃。容易想到二进制数0,1。 将图片用二进制
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1495
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
[BJDCTF 2nd]A_Beautiful_Picture
weixin_44110537的博客
07-26 401
图片拖到kali里面尝试直接打开 发现出错。(IHDR模块) 于是在winhex中适当调大高度和宽度。或者可以在网上找对应的crc爆破脚本来爆破出宽度和高度。图片的crc校验码是由其数据块标识和数据块共17个字节通过crc计算得到的。 即这十七个字节 (IHDR为数据块标识,后面的十三个字节为数据块)(数据块标识英文IDCH) 修改宽和高后 ...
二进制漏洞原理--整型溢出漏洞
qq_40410406的博客
11-13 1165
1
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值