buuctf bjdctf_2020_babystack wp

最新推荐文章于 2024-09-18 15:55:43 发布

Kata_Jhin

最新推荐文章于 2024-09-18 15:55:43 发布

阅读量169

点赞数

文章标签：安全 Powered by 金山文档

本文链接：https://blog.csdn.net/Kata_Jhin/article/details/128787496

版权

前期准备

没开啥

看看ida

发现有sh字符串

漏洞及利用思路

稍微看看这个主函数就知道他在干嘛了，先问你名字长度是多少，再用你输入的这个值去限制读取位数，说白了就是没限制，所以只要造成缓冲区溢出，覆盖到要的地址就行了，之前ida里面还看到了system字符串的加载

那说明大概率这个文件里面是有system的调用的，翻翻function后发现有backdoor，调用就可以直接getshell，地址就在下面 4006e6(64bit下的那么多0我就不打了payload里也就是一个p64()的事)

需要注意溢出位数一下是16，不是buf的长度12，要看和rbp的相对距离，所以16+rbp的8就可以到返回地址，这题不需要传入参数，所以就加个ret保证堆栈平衡就行了。

payload：

getshell

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Kata_Jhin

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

BUUCTF_WriteUp 2021-08-23

m0_56897090的博客

08-23

377

2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识：0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2：mprotectc

BUUCTF-bjdctf_2020_babystack2-WP

Rt1Text的博客

10-18

182

只有NX保护。

1 条评论您还未登录，请先登录后发表或查看评论

BUUCTF|PWN-bjdctf_2020_babystack2-WP

l2645470582_的博客

11-09

409

1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串，我们看到关键字符串"/bin/sh" 然后我们找到后门函数的地址：backdoor_addr = 0x0400726 3.我们看看main函数里面的内容我们看到第一个nbytes是有符号数，第二个nbytes就变成了无符号数我们判断这是一个整数溢出所以 -1 = 4294967295 4.EXP #encoding = utf-8 fr...

BUU刷题-Pwn-bjdctf_2020_babystack2

一个啥也不会的小菜鸡！

06-21

157

因此可以输入0x80000001=>2147483649，signed int类型被当做负数小于10，read函数中unsigned int类型被当成正整数2147483649。比较nbytes和10的大小，可以利用无符号整数溢出漏洞，输入一个负数，进而输入name的时候可以实现栈溢出跳转到后门函数getshell。nbytes是signed int类型，4字节，但后面read函数输入name时却是unsigned int类型。

BUUCTF PWN wp--bjdctf_2020_babystack

2302_81740139的博客

09-05

309

第一步 checksec一下，该题是64位的，该题目大概率是一道栈溢出（因为题目里面提到了stack）所以我们构建的payload,垃圾数据的大小即为0x10+8。我们来在strings窗口找一下有没有getshell的函数。跟进backdoor，其地址是0x4006e6。第三步编写脚本（每行有注释说明）点击nbytes数组看看。第二步进入主函数。

BUU第二页wp(除堆题)

2301_79525044的博客

03-15

301

可以看到，选择1后，会直接将我们的输入作为system的参数，所以直接传入cat flag即可，要注意使用||或&分割，不然会传入其他数据，导致命令无法执行。vuln函数中存在栈溢出，接下来就是ret2libc了。32位，开了canary，下载这个附件居然有病毒，离谱。gift中存在格式化字符串漏洞，可泄露canary。存在后门函数，直接栈溢出返回到后门函数即可。64位开启了NX保护和canary保护。存在栈溢出，典型的ret2libc。64位RELRO全开，开启了pie。直接写入shellcode即可。

BUUCTF之PWN(WP1)

NANMUZN的博客

01-15

686

buuctf pwn

BUUCTF pwn wp 11 - 15

fa1c4的blog

08-17

452

ciscn_2019_n_8 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] var[13] = 0; var[14] = 0; init(); puts("What's your name?"); __isoc99_scanf("%s", var, v4, v5);

BUUCTF pwn wp 26 - 30

fa1c4的blog

09-27

286

ciscn_2019_s_3 只有read和write, 用SROP打 srop漏洞参考https://www.anquanke.com/post/id/217081 https://blog.csdn.net/qq_33976344/article/details/115787451 需要注意一下调用方式, 返回直接retn, 所以不弹rbp, 直接弹ret_addr, 另外需要一个gadget设置rax, 程序里是直接提供了的 from pwn import * url, port = 'n

ECE_TRANS_WP.29_2020_79_E.pdf

04-25

WP29在2020年提交了一份新的联合国法规提案，关于车辆网络安全以及网络安全管理体系的统一规定，这一提案主要由自动化/无人驾驶和联网车辆工作组提交。提案针对的是智能网联汽车的网络安全问题，提出了一个全新的...

BUUCTF gyctf_2020_borrowstack

BengDouLove的博客

04-22

822

第一个read的只能溢出0x10字节，也就是刚好覆盖返回地址，如果要ROP地方肯定不够所以栈迁移到bank，在那里ROP 之前没遇到过这样的题，怎么迁过去我苦思冥想，最终还是看了wp，，用两个leave来控制rsp和rbp寄存器，太妙了 leave是个伪代码，，分解开就是 mov rsp,rbp pop rbp 如果把栈构造成这样 ‘A’ * 0x60 bank_addr leave_...

BUUCTF [BJDCTF2020]Easy MD51 解析WP

m0_73615178的博客

01-07

1248

首先，看题有个文本框和一个提交按钮，那么大致注入点从注入框下手，随意输入一个值，通过抓包和分析网址得出，传参方式为GET方式，后端判断语句为sql语句“select * from 'admin' where password=md5($pass,true)”，其中利用散列函数md5加密了password。MD5函数介绍，语法：md5(string,raw)，其中string要计算的字符串，raw（可选）规定十六进制或二进制输出格式true为原始16字符二进制格式，默认false32字符16进制格式。

buuctf-[BJDCTF2020]ZJCTF，不过如此

qq_42728977的博客

12-26

2369

[BJDCTF2020]ZJCTF，不过如此考点复现参考考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过复现点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g

BUUCTF web [BJDCTF2020]EasySearch wp

Whaocai的博客

08-02

327

考点 ①ssi注入进去之后是一个登录框，猜测有没有register.php，经过测试也不存在sql注入。直接御剑扫描（扫buuctf上的题要调线程和超时，我是线程10超时15，不然会被平台禁掉）。扫出来了index.php.swp index.php.swp源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$

小琳AI课堂：确保大语言模型安全的八大策略--从数据隐私到用户教育

wx740851326的博客

09-15

456

首先，我们要明白，保证大语言模型的安全，需要从多个方面入手，确保模型在技术、法律、伦理和社会层面都得到妥善处理。大家好，这里是小琳AI课堂。今天我们深入探讨如何保证大语言模型的安全，这可是关系到我们每个人哦！

WAAP解决方案：守护数字时代的安全盾牌

最新发布

dexunyun的博客

09-18

941

WAAP，即Web应用程序与API保护，是一种综合性的多层防护解决方案。它旨在通过强化认证、加密机制以及集成多种安全防护手段，如API安全、Web攻击防护、全站隔离、漏洞扫描和流量清洗等，为企业的Web应用程序和API提供全方位的安全保障。WAAP不仅能够有效防御常见的网络攻击，如跨站脚本（XSS）、跨站请求伪造（CSRF）和SQL注入等，还能应对更为复杂的DDoS攻击和API接口滥用等高级威胁。

深入剖析Docker容器安全：挑战与应对策略

qq_39241682的博客

09-18

1004

Docker容器通过操作系统级虚拟化实现应用的隔离，这种方式与传统虚拟机不同，容器共享宿主机的内核。这种架构虽然简化了部署和资源利用，但也引入了安全隐患，特别是当容器与宿主机共享内核时，容器内部的漏洞可能会影响到整个系统。

【农信网-注册/登录安全分析报告】

09-16

1530

北京农信互联科技集团有限公司是一家农业互联网高科技企业，以“用互联网改变农业”为使命，致力于构建最有影响力的农业数智生态平台，推动中国农业数字化转型升级。作为农业互联网领域的“独角兽”企业，技术实力也应该不错，但采用的还是老一代的图形验证码已经落伍了，用户体验一般，容易被破解，一旦被国际黑客发起攻击，将会对老百姓形成骚扰，影响声誉。很多人在短信服务刚开始建设的阶段，可能不会在安全方面考虑太多，理由有很多。比如：“需求这么赶，当然是先实现功能啊”，“业务量很小啦，系统就这么点人用，不怕的。

EEPROM_WP_Pin

07-27

EEPROM_WP_Pin是一个常见的术语，它通常用于描述电子设备中的一个引脚或接口。EEPROM代表可擦写可编程只读存储器（Electrically Erasable Programmable Read-Only Memory），WP代表写保护（Write Protect）。因此，...