BugkuCTF练习平台pwn3(read_note)的writeup

最新推荐文章于 2020-12-20 11:55:58 发布
最新推荐文章于 2020-12-20 11:55:58 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: pwn学习 文章标签: 信息安全 python 堆栈 aslr
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xkj2010yj/article/details/104683822
版权
本文详细介绍了BugkuCTF平台pwn3(read_note)挑战的解决方案,涉及栈溢出漏洞、如何绕过NX、Canary、PIE和ASLR等保护机制,以及exploit编写过程。通过四次执行,逐步泄露信息,最终获取shell。
摘要由CSDN通过智能技术生成

在Bugku的pwn题中,这道题分值最高,也是难度最大的一道。难点在于,第一要读懂题目找出漏洞,第二是要绕过各种保护机制,第三是exp的编写调试。看一眼程序的保护机制,发现除了RELRO所有保护全开,还是有点头疼的,毕竟我刚开始学pwn没几天,还没有做过PIE和Canary的题目,所以调试还是花了不少时间的。

首先分析程序,重要部分如下所示。一开始会让你输入一个路径,不存在的话就会报错退出,然后打印出文件内容;以上均可以忽略,没有任何用处。然后分别输入note的长度和内容,输入内容的长度取决于之前的note长度;如果实际输入的长度不是624,则再输入一遍,此时输入内容的长度变为0x270(624)。可以发现,v4的长度为0x258(600),而输入的长度可以任意控制,因此存在栈溢出。

  puts("write some note:");
  puts("  please input the note len:");
  *(_DWORD *)nbytes = 0;
  __isoc99_scanf("%d", nbytes);
  puts("please input the note:");
  read(0, &v4, *(unsigned int *)nbytes);
  puts("the note is: ");
  puts(&v4);
  if ( strlen(&v4) != 624 )
  {
   
    puts("error: the note len must be  624");
    puts("  so please input note(len is 624)");
    read(0, &v4, 0x270uLL);
  }
  return __readfsqword(0x28u) ^ v5
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BugkuCTF-PWN题pwn3-read_note超详细讲解
am_03的博客
08-30 2591
知识点 puts()的特性 , puts()会一直输出某地址的数据,直到遇到 \x00 Canary最低位为\x00(截断符) \x 和 0x 的区别: 区别不大,都是把数按16进制输出。 1、0x 表示整型数值 (十六进制) char c = 0x42; 表示的是一个数值(字母B的ASCII码66),可以认为等价于: int c = 0x42; 2、\x42用于字符表达,或者字符串表达 char c = ‘\x42’; 亦等价于: char c = 0x42; char* s = “\x41\x42
read_note
whu_xxs的博客
03-15 535
基本原理 单比特量子态的一般表达式为: ∣ψ>=eiγ(cos⁡θ2∣0>+eiφsin⁡θ2∣1>)\left|\psi\right>=e^{i\gamma}\left(\cos\frac{\theta}{2}\left|0\right>+e^{i\varphi}\sin\frac{\theta}{2}\left|1\right>\right)∣ψ⟩=eiγ...
bugku pwn3
doudoudedi
10-11 742
这道题不算太难多次返回main函数就可以了,第一次就leak出canary然后修改最低位就可以返回main函数第二次我们leak出程序的基址再次返回main函数第三次函数我们泄露出libc最后一处返回main函数我们就可以getshell了 exp: from pwn import * from LibcSearcher import * #p=process('./read_note') p=r...
Bugku平台pwn writeup
a370793934的专栏
11-28 761
Pwn1 nc 114.116.54.89 10001 连上cat flag: flag{6979d853add353c9} Pwn2 #!/usr/bin/env python3 # -*- coding:utf-8 -*- from pwn import * context.log_level='debug' p = process("./pwn2") #p = re...
bugku 里面的五个pwn题wp
qq_36495104的博客
05-08 2139
pwn1 没给二进制文件,直接nc过去就能拿shell,查看flag,flag{6979d853add353c9} pwn2 查看保护,发现什么保护都没开启 ida反编译查看 明显栈溢出,还注意到有后门函数 只需要劫持函数的返回地址到get_shell函数,就可以用拿到flag。使用gdb调试发现,在0x38个字符后就会覆盖返回地址,所以编写脚本拿flag。 exp #pwn2.py from pwn import * #sh=process('./pwn2') sh=remote('11
一些bugku的题目wp
weixin_43847235的博客
11-14 425
题目来源 bugku WEB 成绩单 传送门 手注 类sql注入题目。 直接查询可以查询到id=3. 1’ order by 1# 1’ order by 2# 到id=5时无返回数据,可以得知有四个字段。 爆当前数据库: -1' union select 1,2,3,database() # 令id=-1是因为界面只显示一个查询结果,联合查询看不到后面我们要查询的数据,所以使id=-1即不存...
BugkuCTF练习平台pwn5(human)的writeup
只影的博客
03-04 923
这道题的思路相对简单,但是比较有代表性。 首先查看防护机制,发现只打开了NX。用ida打开题目,发现中文无法识别为字符串。这里需要用命令行打开ida,新建bat并编辑内容为D:\IDA_Pro_v7.0\ida64.exe -dCULTURE=all human即可。 漏洞有两处,第一处比较明显,是格式化字符串漏洞,如下所示。 memset(&s, 0, 0x20uLL); put...
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
buuctf中的一些pwn题总结(不断更新)
PLpa的博客
08-19 4489
前言: 本文记录一些buuctf中不是很典型,但是仍然值得记录的pwn题,以便于查看。 0x00:stkof——unlink 查看保护 查看IDA伪代码 增 自定义size,使用malloc分配。 删 free之后直接置空,难以利用。 改 重点来到改中,这里可以随意输入大小,然后根据输入的大小来为堆块中填入数据。这样就造成了堆溢出漏洞。 解题思路 由于此题存在堆溢出漏洞,我们又掌控着heap地址的存在位置,这样我们很容易就想到unlink漏洞来控制堆块。 由于程序本身的原因,我们先malloc一个堆
pwn学习-bugku
qq_45653588的博客
12-20 779
文章目录 0x00 pwn1 第一题很简单,nc连接后直接就有执行权限。 ls获取文件列表,cat flag就拿到了flag。 0x01 pwn2 第二题,下载文件,checksec查看文件保护和文件类型。 将文件拖入ida,发现了get_shell_函数 F5查看main函数代码,发现s申请了0x30个字节,而read函数,最大能读取0X100个字符,就造成了栈溢出,我们只要将返回地址覆盖为get_shell_的地址就可以得到flag。 查看get_shell_函数,可以直接输出flag,只要将m
bugku中pwn2的write up
darui_csdn的博客
09-06 361
bugku中pwn2的write up**最后效果如下:** 作为一个初出茅庐的菜鸟,做几个简单的pwn题练一下,正好学一下基础知识。 首先来看这道题,checksec一下,我们发现,没有打开什么保护。 运行一下,看看需要在哪里插入payload。 注意这里需要先赋予运行权限,笔者作为新手犯了几次错误。 把程序放进IDA中看一下套路流程。 我们在read函数这里可以使程序溢出。也看到ebp...
ctf pwn 个人经验记录
jmp esp
05-22 8872
前言记录一下自己在做pwn的过程当中学到的一些东西,以前不知道的东西等等,碰到的坑也会记录在 这里,主要目的是帮助自己记录一下经验。其实每一道题基本上能学到的新东西是有限的,记录下来避免什么时候想不起来。顺序比较乱,基本上根据我做题的顺序定的,比较随意。pwnother place(not from ctf) 多用gdb调试,有思路可以先写出来调试一下看看效果再说 遇见pie考虑写malloc_h
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2288
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
ctf pwn read溢出
最新发布
06-06
CTF(Capture the Flag)中的PWN(Practical Web exploitation,通常指payload writing)是指渗透测试或漏洞利用中的技术挑战,特别是关于控制流劫持(Control Flow Hijacking)的子领域,如read溢出。Read溢出通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值