pwn1_sctf_2016 题解

最新推荐文章于 2024-09-18 15:55:43 发布
最新推荐文章于 2024-09-18 15:55:43 发布
阅读量67 收藏
点赞数
分类专栏: pwn 文章标签: 网络安全 CTF 安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73644864/article/details/129302987
版权
文章探讨了对一个32位文件的深入分析,使用IDA进行静态分析以查找后门函数。通过跟踪代码,发现在特定条件下,程序会将输入的I替换为you,导致栈溢出。利用此漏洞,可以实现对程序的潜在控制,最终揭示了一个flag。
摘要由CSDN通过智能技术生成

1.检查文件保护机制

2.IDA静态分析

后门函数

是一个32bit文件 

找一下后门函数

跟进

后门函数的地址是 08048F0D  

分析主函数

 跟进

这段代码会输入一个s

并且把s中的I替换成you

这段代码逆向分析有问题的话可以实操验证一下

发现返回了youyouyou 

查看s在栈中的长度为60byte

我们需要输入20个I

会自动换成you

实现栈溢出

3.hack

 flag{3a806e5e-1297-468a-ba37-7400603bde42}

 

 

烨鹰
关注
专栏目录
2020SCTF——PWN snake
baidu_36110484的博客
07-15 383
0x00 背景 今年SCTF上的一道PWN题,难度还行,关键是要大概读懂程序,找到可利用的漏洞。由于比赛环境使用的是libc2.23,我为了复现也搞了一个ubuntu16.04的虚拟机(也是libc2.23)。这样搞fastbin利用比较方便。最后在libc的小版本上还是有一点出入,不过,问题不大。 0x01 源码分析 while ( 1 ) { v10 = 0; v13 = 60; v14 = 4; v11 = 0; v12 = 1; dword_603
BUUCTF PWN方向 1-6题 详解wp
qq_62564422的博客
02-06 1639
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
攻防世界PWNpwn11题解
seaaseesa的博客
02-09 695
pwn11 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序会把字符串里的I替换成you,导致strcpy后,s出现栈溢出,直接覆盖到后门函数地址即可 后门函数 综上,我们的exp脚本 #coding:utf8 from pwn import * sh = process('./pwn11') sh = remote('111.198.29.45',31...
BUUCTF Pwn pwn1_sctf_2016
MrTreebook的博客
12-05 1310
BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 运行一下看看 3.IDA分析 看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
BUUCTF-pwn2_sctf_2016(整数溢出+泄露libc)
半岛铁盒的博客
08-02 543
32位开启了nx保护 没有看到system和‘/bin/sh’,开启了NX保护,是泄露libc类型的题目 main函数就调用了一个vuln函数 7行的输入函数不是get,是程序自定义的函数get_n a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。也就是说我们这边可以输入负数来达到溢出的效果(整数溢出) 一开始输入负数,绕过长度限制,造成溢出 利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址 溢出覆盖返回地址去执行sy
BUUCTF刷题之路-pwn1_sctf_20161
qq_30528603的博客
05-27 468
从我们的运行结果看,会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节,我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节,那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问题产生了,fgets函数较gets函数安全一点,他有长度限制,我们看到s离ebp的距离有0x3c那么远,但是fgets只能输入32个字节,只通过fgets溢出覆盖不到返回地址。看到有个fgets函数,并且限制长度为32。这是一个32位的程序,只开启了NX保护。
BUUCTFpwn赛道的部分题解和题目
QX_XDE的博客
04-28 227
BUUCTF: exp (gitee.com)
pwn练习题
WuMing_Z的博客
02-23 1178
程序分析:main函数中只存在system("/bin/sh")函数,所以nc可直接拿到权限)nc指令:远程连接对方服务器,对方服务器有什么程序就会执行什么程序nc(ip + 端口号)例如在已给的靶机信息node5.buuoj.cn:29650中node5.buuoj.cn是域名,冒号后的29650是端口号(注意冒号要改为空格)然后直接cat flag 即可。
BUUCTF Pwn 1-12题解析及答案
红叶的博客
02-28 1537
这里使用fmtstr_payload直接替换 atoi_got 的原因是got表才是程序运行时函数的真正地址,通过替换atoi,修改为system,再送入'/bin/sh\x00' 即可成功getshell。s 的大小是0x3C,那么我们只需要输入 0x3C,也就是60 / 3 个I即可溢出,之后的内容我们可以就可以构建ROP链。也就是说,我们最多输入32个字节的东西,根据上文,我们可以输入32个I,这样就是32个you,也就是96个字节。0x0F + 0x08 代表 s 的大小加上8字节大小的rbp。
日行一pwnpwn1_sctf_2016
m0_57221101的博客
05-13 598
用俩图床,有的有水印,有的没水印,折磨 距离上一次日行一pwn已经快一个月了,干脆改成月行一pwn吧(汗。这段时间去恶补了王爽老师的汇编语言。 结果一回来就做了这么一道题,函数封装的严严实实,打眼一看全是C++。想入门pwn这么难吗。 正片 BUUCTF在线评测 使用BUUCTF靶场,首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编 发现只有一个NX保护 NX保护就是CPU不会执行放在内存段中的代码,也就是我们之前在BOF中学习的像内存中写入Shell的方法
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 987
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2513
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
CTF-PWN-buuctf-pwn1_sctf_2016-CPP的字符串替换
serfend's blog
04-14 491
CTF-PWN 来源:https://buuoj.cn/challenges 内容: 附件:https://pan.baidu.com/s/1bSrSQZYWkBIWCXP5Lsq7sg?pwd=mpgo 提取码:mpgo 答案:flag{714a8f91-7e24-440c-8cc6-1f2d26adbcec} 总体思路 发现get_flag的位置 发现输入会被替换,构造exp 详细步骤 查看文件信息 查看题目发现是将用户输入的I替换为you,虽然输入的时候只允许输入32位,但是因为替换
pwn——ciscn_2019_n_1#pwn1_sctf_2016#jarvisoj_level0
LSYZWF的博客
10-26 599
文章目录ciscn_2019_n_1题目解答 ciscn_2019_n_1 题目 题目链接:https://buuoj.cn/challenges#ciscn_2019_n_1 解答 1、打开IDA进行分析 发现函数gets和系统命令cat 此函数的大致意思是输入v1的值,然后判断v2,故存在栈溢出使得v2的内存中的值为11.28125 2、判断偏移地址 v2的内存地址距离v1首地址的偏移量是30h-04h=2ch 3、gdb调试一波 没有堆栈溢出保护 4、编写脚本 11.28125的十六进制可以在I
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8463
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
WAAP解决方案:守护数字时代的安全盾牌
最新发布
dexunyun的博客
09-18 657
WAAP,即Web应用程序与API保护,是一种综合性的多层防护解决方案。它旨在通过强化认证、加密机制以及集成多种安全防护手段,如API安全、Web攻击防护、全站隔离、漏洞扫描和流量清洗等,为企业的Web应用程序和API提供全方位的安全保障。WAAP不仅能够有效防御常见的网络攻击,如跨站脚本(XSS)、跨站请求伪造(CSRF)和SQL注入等,还能应对更为复杂的DDoS攻击和API接口滥用等高级威胁。
安全帽佩戴识别摄像机:守护安全的智能之眼
2301_79335873的博客
09-18 741
长远来看,安全帽佩戴识别摄像机的应用不仅仅是对现有安全管理模式的一种补充,更是对安全理念的一种革新。无论是在烈日炎炎的建筑工地,还是在机器轰鸣的工业厂房,它都能在复杂的环境中稳定运行,清晰地捕捉每一个进入视野范围内人员的头部图像。它以智能的方式、高度的责任感,时刻关注着每一个工作人员的安全,为构建一个更加安全、和谐的工作环境做出了重要的贡献。无论是在繁忙的建筑工地、危险的工业车间,还是在其他任何需要保护人员头部安全的场所,它都将是安全的守护者,用它的“智慧之眼”为人们的安全保驾护航。
【免费刷题】实验室安全第一知识题库分享
nulixueBe的博客
09-13 550
人工智能识别上海985大学的实验室安全知识手册,生成题库,直接刷题
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烨鹰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值