pwn2_sctf_2016

最新推荐文章于 2023-04-18 19:24:54 发布
原创 最新推荐文章于 2023-04-18 19:24:54 发布 · 875 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #CTF #WriteUp #python #网络安全

本文解析了一次pwn竞赛中的挑战,涉及栈溢出漏洞利用,通过调整输入长度绕过检查,利用栈溢出实现Canary绕过,最终利用ret2libc技术获取shell。详细步骤包括设置payload和 libc地址计算,展示了如何完成整个攻击过程。

pwn2_sctf_2016

使用checksec查看:在这里插入图片描述
开启了栈不可执行和Canary。

先放进IDA中分析:
在这里插入图片描述

  • 主函数给出了vuln()函数,直接跟进。

vuln()
在这里插入图片描述

  • get_n((int)&nptr, 4u);:获取数据长度,用户可控。
  • if ( v2 > 32 ):若长度超过32,退出程序。
  • get_n((int)&nptr, v2); return printf("You said: %s\n", &nptr);:获取用户的输入并输出。

题目思路

  • 判断长度可用-1进行绕过。
  • 没有Canary,不限长度后可以利用栈溢出。
  • 使用ret2libc的方式getshell。

步骤解析

无需

完整exp

from pwn import *

#start
r = remote("node4.buuoj.cn",27834
最低0.47元/天 解锁文章
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1187
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF pwn2_sctf_2016
最新发布
2401_88087539的博客
02-24 453
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF Pwn pwn2_sctf_2016
MrTreebook的博客
03-13 434
BUUCTF Pwn pwn2_sctf_20161.checksec2.IDA32vuln函数漏洞利用3.exp 1.checksec 没有canary,方便溢出 没有PIE,构造ROP会方便很多 2.IDA32 vuln函数 int vuln() { char nptr[32]; // [esp+1Ch] [ebp-2Ch] BYREF int v2; // [esp+3Ch] [ebp-Ch] printf("How many bytes do you want me to rea
CTFpwn2_sctf_2016
凉水的博客
07-16 1115
pwn2_sctf_2016
BUUCTF pwn2_sctf2016
红叶的博客
11-01 641
本题难点:绕过字符串大小限制以及是否掌握了ret2libc。
BUUCTF pwn——pwn2_sctf_2016
CNS-Enterprise BCC-1701-J
04-18 491
BUUCTF 做题练习
[PWN] BUUCTF pwn2_sctf_2016(整数溢出+泄露libc)
空城惜梦的博客
06-05 1004
[PWN] BUUCTF pwn2_sctf_2016解题分析漏洞利用payload分析payload1payload2 解题分析 按照惯例先checksec,开了nx保护和部分RELRO 接着运行文件,观察程序的运行逻辑,读入一个长度len然后把输入的字符,再打印输入的Len个字符 32位IDA打开文件,main函数调用了vuln() 发现对输入的长度len做出了限制,len不能大于32 当len>32后,程序将结束,这就导致无法直接溢出 进入get_n函数,发现get_n会接收a2个长度
buuctf pwn2_sctf_2016
amber_o0k的博客
12-09 327
还是旧的libcsearcher好用,提供的库有能正确获取shell的。 旧版的libcsearcher找到的库,2号能用 新版的libc只能找到这些,没有一个能用的
[BUUCTF-pwn]——pwn2_sctf_2016
Y_peak的博客
02-12 791
[BUUCTF-pwn]——pwn2_sctf_2016 题目地址: https://buuoj.cn/challenges#pwn2_sctf_2016 老规矩还是先checksec一下, 在IDA中看看, 这个get_n(a, b)的作用就是读入 b 个字符。将其合成的字符串赋值给a。 最常用的方法,也是我经常使用的方法就是利用 libc库 计算偏移。然后循环利用函数。只有printf函数可以打印, 找到需要用的地址。 思路 利用printf泄露printf的实际地址, 通过计算偏移,以此
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2690
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
buuctf pwn2_sctf_2016
carol2358的博客
04-22 318
32的libc rop 64位是7f(8位),32位是f7(4位) exp: from pwn import * from LibcSearcher import * local_file = './pwn2_sctf_2016' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.s...
[BUUCFT]PWN——pwn2_sctf_2016
BangSen1的博客
04-03 615
pwn2_sctf_2016 例行检查,32位,开启了NX保护。 运行一下 用IDA打开。main函数调用了vuln函数 接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,这边可以输入负数来达到溢出的效果(整数溢出) 我们可以通过,输入负数,绕过长度限制,造成溢出,再利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址,最后溢出覆盖返回地址去执行system(‘/bin/sh’) f
pwn2_sctf_2016【BUUCTF
qq_41696518的博客
09-01 851
pwn2_sctf_2016【BUUCTF
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值