- 博客(6)
- 收藏
- 关注
RSS订阅原创 CTFSHOW-PWN入门-栈溢出(35-42)
发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x80487BA。发现hint函数中存在system函数,useful函数存在sh,根据题目的提示得知或许sh可以替代bin/sh,找到sh的地址为0x400872。ctfshow函数中的,v1大小为14,而read函数读取大小为50,所以read函数存在栈溢出,使用cyclic计算栈偏移量为22。ctfshow函数中的read函数存在栈溢出,cyclic计算栈偏移量为18。
2024-10-09 16:16:24
945
原创 CTFSHOW-PWN入门-前置基础(29-34)
观察源代码发现printf函数输出了main函数的地址,我们用输出的地址减去main函数的地址就得到了偏移量,然后再用其他函数的地址加上偏移量,就能知道函数在内存中的地址了。进而我们可以利用puts函数输出got表中puts函数的地址,利用LibcSearcher模块得到puts函数在libc中的偏移,然后就能得到system函数和/bin/sh的地址了,最终拿到shell,得到flag。本题代码和上题一样,但是开启了fortify=1,仅仅在编译时检查,所以还是输入4个参数,得到flag。
2024-08-03 10:53:40
1855
1
原创 CTFSHOW-PWN入门-前置基础(21-28)
使用IDA反编译,看到读入的buf为132个长度,而read()函数限制我们读入的长度为256个长度,所以ctfshow()函数存在栈溢出。使用objdump查看plt表中的函数,我们看到plt表中有puts函数也有write函数,这里我们使用puts函数来输出函数的内存地址。先使用checksec查看,FullRELRO表示.got不可写.got.plt也不可写。.got的地址为0x600ff0,.got.plt的地址为0x601000。连接靶机后,在pwnme后加上输入的字符,得到flag。
2024-08-02 21:27:17
1193
原创 CTFSHOW-PWN入门-前置基础(13-20)
利用搜索引擎查询之后发现,>和>>的区别是>>是在文件末尾追加字符串,而>是清空后新增内容,因此执行fake函数可以查看到flag,而执行real函数始终只显示flag is here。我们使用nc连接,输入9就直接出flag了,但是别着急,我们再重开容器,输入一个不等与9的数,发现没有flag,为什么呢?先使用nc连接,发现选项3是cat /ctfshow_flag,根据提示不要一直等,可能那样永远也等不到flag,使用IDA静态分析。ld -s -o flag flag.o,生成flag可执行文件。
2024-08-02 08:08:01
1065
原创 CTFSHOW-PWN入门-前置基础(5-12)
mov eax, [esi] 将esi所指向的地址的值赋值给eax。mov eax, [ecx] 将ecx所指向的地址的值赋值给eax。mov ecx, msg 将msg的地址赋值给ecx。mov esi, msg 将msg的地址赋值给esi。mov ecx, msg 将msg的地址赋值给ecx。mov ecx, msg 将msg的地址赋值给ecx。mov ecx, msg 将msg的地址赋值给ecx。mov edx, ebx 将ebx的值赋值给edx。mov eax, 11 将11赋值给eax。
2024-08-01 21:42:24
473
1
原创 CTFSHOW-PWN入门-Test_your_nc
根据第10行代码得知,变量s1的值为CTFshowPWN,第13行代码输入变量s2的值,第14行代码比较s1和s2的值,相等就执行execve_func函数。system为后门函数,同时也看到了cat /ctfshow_flag,选择6即可得到flag。nc连上之后,根据提示,输入cat /ctfshow_flag即可得到flag。题目提示系统会在3秒后关闭,但实际上不会,shell一直在。输入CTFshowPWN,即可拿到shell,找到flag。先cd到根目录,然后ls,发现ctfshow_flag。
2024-08-01 21:37:44
353
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人