BUUCTF hgame2018_flag_server

最新推荐文章于 2022-08-06 17:21:49 发布
最新推荐文章于 2022-08-06 17:21:49 发布
阅读量451 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45441024/article/details/110287192
版权
本文详细介绍了如何分析BUUCTF hgame2018_flag_server中的漏洞,重点在于利用scanf的溢出漏洞来绕过长度检查。通过IDA查看函数,发现一处关键判断,需要构造payload来改变栈上的v11值,最终成功实现溢出。
摘要由CSDN通过智能技术生成

BUUCTF hgame2018_flag_server

下载附件之后永远都是先check一下
在这里插入图片描述
紧接着我们将其拖入IDA中查看一下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
   
  unsigned int v3; // eax@13
  int result; // eax@20
  int v5; // ecx@20
  int v6; // [sp+8h] [bp-60h]@6
  int v7; // [sp+Ch] [bp-5Ch]@13
  int i; // [sp+10h] [bp-58h]@1
  int v9; // [sp+14h] [bp-54h]@13
  char s1; // [sp+18h] [bp-50h]@12
  int v11; // [sp+58h] [bp-10h]@1
  int v12; // [sp+5Ch] [bp-Ch]@1

  v12 = *MK_FP(__GS__, 20);
  init();
  v11 = 0;
  printf("loading");
最低0.47元/天 解锁文章
三哥sange
关注
专栏目录
hgame-2018 CTFwp(杭电信安)week3
苟有恒,必有三更眠,五更起。
03-04 1459
送分的sqli这题没有任何过滤什么的,真的是很简单了。 1 and 1=-1 union select 1,schema_name from information_schema.schemata查看库名,得:1 information_schema 1 test 1 week3_sqliiii2?id=1 and 1=-1 union select 1,table_name f
[BUUCTF-pwn]——hgame2018_flag_server
Y_peak的博客
04-03 403
[BUUCTF-pwn]——hgame2018_flag_server 保护开启了 NX和canary 看下反汇编,只要v10非0就可以得到flag, 也就是v6 = v8,但是显然v8是一个随机数, 并且没有找到可以修改的地方。 仔细观察上面的代码,一旦v5为负数,我们就可以无限输入了,并且s1距离v10为0x40 = 64, 我们只需要输入0x40个字符就可以开始修改v10了 exploit from pwn import * p = remote("node3.buuoj.cn",28128) p
BUUCTF(pwn)hgame2018_flag_server(简单的栈溢出)
半岛铁盒的博客
04-05 358
这一题主要就分析清楚程序的执行流程就可以做出来了; v10=1就可以得出答案; 由于v5=-1;输入长度可以很大,造成溢出,点进去s1 溢出覆盖到v10 满足条件 from pwn import* p = remote("node3.buuoj.cn",26244) p.sendlineafter("your username length: ",'-1') payload='a'*0x40+p32(1) p.sendlineafter("whats your username?",payload.
hgame2018_flag_server
z1r0的博客
03-01 373
hgame2018_flag_server 查看保护 v10为1就可以cat flag。 这题的漏洞点出在了read_n这里,当a2为-1时,可以输入很长的一个数值。 输入的数据和要覆盖的数据差了0x40。 攻击思路:用-1输入长数据,放0x40的无用数据第0x41这里放入1即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if deb
hgame-2018 CTFwp(杭电信安)week2
苟有恒,必有三更眠,五更起。
03-04 787
草莓社区-1 描述 flag在../flag.php中 知识点:LFI URL http://118.25.18.223:10011/ 基准分数 100 当前分数 100 完成人数 118 提示很清楚,简单的本地包含: payload: http://118.25.18.223:10011/show_maopian.php?mao=../flag.ph
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
hgame_week3_re_wp
令则
03-01 350
hgame week re hgame week3 的re, 链接: https://pan.baidu.com/s/1jdYHLzhz3ygEtW0NPgqQsw 密码: w03a 文章目录hgame week rehiddenollvm hidden 首先搜索字符串找到输出正误的函数,然后查看调用找到check函数: 程序逻辑比较清晰,就是在encode函数中加密,然后查看是否和两个值...
hgame-2018 CTFwp(杭电信安)week1
苟有恒,必有三更眠,五更起。
03-04 3096
原题链接 由于开放时间短,不知道什么时候结束。我会将题目的大致内容以图片形式down下来。 web1 Are you from Europe? URL http://123.206.203.108:10001/European.html 一看题,就感觉想是用burp抓包做,来自欧洲,就想到改语言,accept-langue字段。 但是,我试了en,gk等等值,并没有什么卵用。而且发现
HGAME 2017 or 2018 PWN levels
qq_42192672的博客
11-12 934
这个算是做之前的复现吧,感谢Veritas501 WEEK1 1.flag server 拖进IDA看一下 流程倒着看,要有flag-----v8=1-----v5=v6-----s1=admin,我们可以把s1覆盖掉-----username长度不能大于63,不能等于0-----之后还要猜出随机数v6,看一下怎么覆盖 这些变量都在一起,美滋滋 exp from pwn...
HGAME 2018 Web Week2 Random?
柠檬木有枝
10-21 585
题目描述 提示 vim 改代码,vim 会生成 swp 文件以防止出错是恢复,直接 dowm 下 swp 文件恢复源码,这里比较坑的一点是完整的文件名是.random.php.swp。 恢复过后 random.php 源码如下 要求传入一串对象的序列化内容,而且这个对象的两个变量会被赋予随机值,要求这两个变量的值相等方能getflag。 起初考虑了一下觉得是反序列化漏洞,但是却不存在魔术方法...
CTF-RE-わかります(hgame2018)
SuperGate的博客
01-27 2265
Hgame week1里面应该说是最难的一个题。 主函数点进去之后会发现一个函数来判断输入的是不是flag。点进去内容如下: 发现ptr数组存的是输入字符串转化为ascii码之后每个字符的前4位,v7则是后4位,这里的位是二进制位。 然后分别将两个dword_6021xx数组找出来,点进生成v8v9的函数就可以把flag对应的每个字符的高低位算出来了。 其中v9生成函数比较容易求出v9,v...
命令行解析:flag
c359719435的专栏
12-12 1932
一般使用在写命令行程序(工具、server)时,对命令参数进行解析是常见的需求。Go的命令行参数解析通过flag包实现,先看下面这个例子,假设我们实现了一个server,启动这个server的时候需要指定监听的tcp地址(例如:127.0.0.1:1314)、配置文件、监听的http地址(例如:127.0.0.1:6666)。启动命令如下: ./server -tcpAddr 127.0.0.1
BUUCTFpwn】解题记录(4-6页持续更新中)
Assassin
08-06 2167
一起继续刷BUUCTF把~
WUST_2021校赛re-AskforU
Todog的博客
05-03 597
进入程序,刚刚做出来,先按照我做出的顺序来把 发现无法f5直接看汇编 花指令,我们直接nop掉。为了平衡栈 箭头指向的地方全部nop 同样,还有另外2处,全部nop掉,然后创建函数可以f5看逻辑了 int __cdecl main(int argc, const char **argv, const char **envp) { const char *Str1; // eax const char *Str2; // [esp+14h] [ebp-E4h] int i.
Hgame第二周reserver(maze)
Hu4
03-09 571
拿到题目 拖进UE里看到 ELF文件·· 懒得开ubuntu了 直接拖进IDAX64 来到main函数 F5 一顿分析 int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax@4 __int64 v4; // rdx@4 char v5; // [...
HCTF2018 pwn题复现
weixin_30585437的博客
11-14 414
相关文件位置 https://gitee.com/hac425/blog_data/tree/master/hctf2018 the_end 程序功能为,首先 打印出 libc 的地址, 然后可以允许任意地址写 5 字节。 解法一 在调用 exit 函数时, 最终在 ld.so 里面的 _dl_fini 函数会使用 0x7ffff7de7b2e <_dl_fini+126>: ...
HGAME-WEEK1-WRITE-UP
郁离歌丶的博客
03-07 1460
HGAME-WEEK1WEB1、Are you from Europe?解法一:查看源码,然后看到抽到SSR概率太低了吧,直接控制台执行var SSR=100000000;然后疯狂氪金。var money=100000000;抽几次奖拿到flag。解法二:审查元素,发现以下代码:eval(function(p,a,c,k,e,d){e=function(c){return(c&lt;a?"":e(...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值