CTF|入门题目when_did_you_born解题思路以个人总结

最新推荐文章于 2020-12-23 10:17:55 发布

原创

最新推荐文章于 2020-12-23 10:17:55 发布 · 856 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#python #编程语言

本文介绍了CTF入门题目'when_did_you_born'的解题思路，分析了文件类型和执行流程，强调了栈溢出利用和gets()函数的安全问题。通过理解大端序和小端序的概念，利用缓冲区溢出修改变量v5的值为1926，成功获取flag。

CTF|入门题目when_did_you_born解题思路以个人总结

解题思路

拿到题目我们放入ubuntu里面通过file born（此处born是文件名）
来查看文件信息在这里插入图片描述
得到信息：
ELF：文件elf格式
64-bit：64位文件
LSB：文件小端序（什么是小端序个人总结会写）
executable：顾名思义，可执行的文件

接下我们运行下文件./born 并过一遍文件流程
在这里插入图片描述
比较简单，输入生日birth 输入名字name 输出文字

将文件拖入反编译工具IDA F5 查看伪代码
在这里插入图片描述
得到伪代码后需要特别关注v4、v5两个变量的空间的大小
代码中间有个gets()函数，没有对用户输入的v4做限制，很可能被利用来栈溢出
同时，我们也得到了得到flag的方法：
函数希望v5的值为1926这样就可以cat flag，但是第一次输入的时候又不能输入1926，所以我们的思路是：通过输入v4后造成gets函数的栈溢出，将第一次v5的值覆盖成1926就可以得到flag了
总体思路比较简单

双击v4进入几个变量在栈中的位置‘

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

一个不融化的雪人

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

[CTF-PWN]攻防世界新手村-when_did_you_born[wp]

murongxuege的博客

09-29

706

事件起因(无语) 手残博主因在27日从根地址误删了自己两年半配置和使用的kali虚拟机。。。在一步步恢复环境配置的时候，从头到尾刷一遍题，总结思路。题目分析开启场景后，服务端会开启对应的端口，并在端口上部署和附件相同的ELF二进制可执行文件，我们要做的就是下载附件并在本地进行反汇编，反编译等操作分析程序漏洞，从而利用漏洞获取题目的flag。从描述中可以看出当前程序是要进行年龄的输入操作的，有输入操作，还是在新手村，那么大概率是gets()等C函数输入漏洞，进一步猜测是普通的内存地址覆盖的题。 che

python3的pwn用法——when_did_you_born题解

Little_Small_Joze的博客

03-11

1835

检测截图 file when_did_you_born checksec when_did_you_born 我承认看到金丝雀+NX有那么一点点不开心，但是不影响。反编译程序根据上一步的file查看到它是64-bits的ELF文件，所以64-bits的IDA打开它，反编译找到主函数F5查看源代码。 __int64 __fastcall main(int a1, char **a2, char **a3) { __int64 result; // rax char v4[8]; // [rs

参与评论您还未登录，请先登录后发表或查看评论

攻防世界pwn新手练习（when_did_you_born）

BurYiA的博客

09-16

665

when_did_you_born ok 多余的话就不继续累赘了昂，直接上手程序同上次一样开了NX(堆栈不可执行)和CANNARY(栈保护)

when_did_you_born 栈溢出简单利用

zyh18851473527的博客

08-05

643

直接放到IDA里看下：显而易见只要v5=1926，就可以看flag。但按照前面的逻辑不可以等于所以就涉及到了溢出。gets函数溢出，这道题关键v5一开始不为1926，后面必须是1926，所以通过栈可以知道，用v4覆盖v5 下面利用缓冲区溢出，先输入v4字符串覆盖空间，然后再给v5赋值1926就好了，试试看，从ebp的偏移可以看出来v4距离v5需要覆盖8个字节这样就得到flag啦 ...

pwn when_did_you_born

doudoudedi

06-08

601

今天被一道被一道web给虐暴了自闭中~~~~~ 所以我做到pwn来缓缓用ida打开只要v5=1926 就可以看flag 但按照前面的逻辑不可以等于所以就涉及到了溢出 gets()这个很普遍了吧直接算出偏移为8 然后就上exp咯 from pwn import * p=remote('111.198.29.45',56377) payload='a'*8+p64(1926) p.recvunt...

攻防世界-pwn when_did_you_born（栈覆盖）

菜的只能随便写写博客

08-10

1515

0x01 拿到文件之后，先检查文件的基本信息文件信息 64bit elf可执行文件无PIE保护 0x02 执行文件文件之中有两个输入，第一个输入有回显 0x03 IDA静态分析可以看出获取flag需要用到v5的值，首先需要v5不等于1926，进入else这个块之中，然后又需要v5等于1926才能获取flag，就产生了矛盾。结合程序有两个输入，可以考...

攻防世界新手区pwn

ca1m4n的博客

11-03

877

攻防世界新手pwnget_shellexp get_shell 首先checksec一下 64位只开启了栈可执行保护 ida打开看主函数，好大一个system(/bin/sh) 然后puts和binsh地址差就是偏移量 exp rom pwn import * m=remote('220.249.52.133',xxxxx) binsh = 0x400574 payload='a'*(0x3a-0x18) +p64(binsh) m.sendline(payload) m.interactive()

攻防世界pwn入门题（一）

qq_43774856的博客

12-23

937

get_shell 直接连接目标主机，输入ls /,cat flag就得到flag when_did_you_born 先检查一下文件的基本信息发现是64位可执行文件，并且没有PIE保护运行一下文件拖进ida看看 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax char v4; // [rsp+0h] [rbp-20h] unsigned int v5; // [r

sctf-when_did_you_born

just do IT

07-09

802

IDA ：思路：输入v5 (不等于1926)，，通过v4 覆盖到v5 使其等于1926. 可以看出偏移为2 from pwn import * #sh = process('./when_did_you_born') sh = remote('111.198.29.45',52538) sh.recv() sh.sendline('1925') payload = 'AAaaaaaa'...

when_did_you_born [XCTF-PWN]CTF writeup系列3

重新启程

12-19

508

题目地址：when_did_you_born 先检查一下保护机制 root@mypwn:/ctf/work/python# checksec 24937e95ca4744818feebe82ab96902d [*] '/ctf/work/python/24937e95ca4744818feebe82ab96902d' Arch: amd64-64-little ...

CGCTF pwn When_did_you_born

qq_39596232的博客

08-23

948

题目描述：只要知道你的年龄就能获得flag，但菜鸡发现无论如何输入都不正确，怎么办？解题内容： 1、首先附件拿到手，我们先file一下，查看文件类型： tucker@ubuntu:~/pwn$ file when_did_you_born when_did_you_born: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), d...

when_did_you_born(xctf)

weixin_43868725的博客

05-06

256

0x0 程序保护和流程保护：流程：分析主要程序逻辑可知，要想获得flag必须让v5等于1926但是第一次输入时v5不能等于1925。但是我们可以通过gets(&v4)将v5的值覆盖成1926。 0x1 利用过程 v4变量距离rsp的偏移为0x0，v5变量距离rsp的变量为0x8，所以当v4=‘a’*8+p64(1926)时就可以获得flag。 0x2 exp from pwn i...

攻防世界when_did_you_born

Deeeelete的博客

11-12

276

题目：when_did_you_born 拖进pe查看文件详情 checksec查看无PIE，堆栈不可执行，栈保护运行跑一遍逻辑进64位IDA调试 f5反编译main函数得到源码 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { __int64 result; // rax@4 __int64 v4; // rdx@9 char v5; // [sp+0h] [bp-20h]@5 unsig

[PWN](攻防世界)when_did_you_born

ljh15937的博客

09-17

252

分析程序漏洞通过 checksec 获取程序的基本信息 64位小端序开启了Canary，使用了栈不可执行技术使用 IDA Pro 对程序进行静态分析需要在第二次输入名字时覆盖第一次输入的年龄使用 GDB 动态调试程序可以发现第二次输入的名字就在第一次输入的年龄的前面，可以轻松将其覆盖成 1926 利用程序 from pwn import * context(arch = 'amd64') context(log_level = 'DEBUG') contex

when_did_you_born--writeup

ATFWUS的博客

03-01

697

文件下载地址：链接：https://pan.baidu.com/s/1eT_oVeEKPts8Lw2P0nDEnw 提取码：1axx 0x01.分析 checksec: 64位程序，开启了堆栈保护和栈不可执行。查看源码：理清一下流程，先要输入v5，第一次不能输入1926，否则会退出，然后第二次输入名字，然后如果v5等于1926就直接得到flag，第二次输入的时候使用了g...

day-5 xctf-when_did_you_born

a525024162806525的博客

09-25

340

xctf-when_did_you_born 题目传送门：https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5051 checksec文件：没啥，ida打开：第一个判断v5应该不等于1926，第二次判断应该等于1926，看到v4，...

cgctf when_did_you_born 栈溢出简单利用

ditto的博客

12-22

2644

拿到题目，先checksec下，看下防护措施：没有开启PIE。直接放到IDA里看下：有些变量名为了方便看，我已经修改过了。图中箭头处即是溢出点。分析下第一次输入overflowme，如果等于1926就会退出，但是想要拿到flag，就需要overflowme的值为1926，那就很明显了，第一次输入的时候随便输个数只要不是1926就行，第二次输入v4 这个数组的时候，利用缓冲区溢出，将o...

攻防世界_pwn_when_did_you_born(萌新版)

TedLau的博客

02-24

301

首发于鄙人博客：传送门 0x00 前言省略file checksec，这个题的意思就是让我们输入的第二个值覆盖并改变我们输入的第一个值。 0x10 步骤 0x11 main函数在main函数中我们可以发现题目要求我们输入Birth，若我们输入的值为1926，那么程序便会直接退出，若我们输入的不是1926，那么就会进入else中，而在else中，如果我们想cat flag，那么...

攻防世界 when_did_you_born

09-28

320

1.题目 2.IDA反汇编C程序 3.程序流程分析首先输入Birth，如果Birth==1926直接退出；否则，输入Name，这时，判断Birth是否==1926.等于则get flag。很明显，输入名字就是专门为我们提供溢出点的。两个变量的位置如下图： 0x20 - 0x18 = 0x8 也就是说name和birth之间间距8个单元。exp如下 from pwn import * #io = process('./when_did_you_born') io = remo

[SWPUCTF 2021 新生赛]Do_you_know_http 解题思路及知识点总结

最新发布

04-18

### 关于 SWPUCTF 2021 新生赛 Do_you_know_http 题目解析 #### 题目背景 `Do_you_know_http` 是 SWPUCTF 2021 新生赛中的一个 web 方向题目，主要考察选手对 HTTP 协议的理解以及如何通过修改请求头来完成特定的任务。此题的核心在于理解并利用 User-Agent 字段的特性。 --- #### 解题思路该题目要求参赛者访问目标站点 `hello.php` 并获取隐藏的信息。然而，服务器端会对客户端发出的 HTTP 请求进行验证，只有当请求头中的 User-Agent 值满足特定条件时才会返回正确的响应数据[^3]。为了成功解题，可以按照以下逻辑分析问题： 1. **了解 User-Agent 的作用** - User-Agent 是 HTTP 请求头部的一个字段，用于告知服务器当前用户的设备环境、浏览器类型及其版本号等信息。 - 此处需要将默认的 User-Agent 修改为指定值（如 WLLM），从而触发后台逻辑判断[^3]。 2. **工具使用** - 使用 Burp Suite 或其他抓包工具捕获原始请求，并将其转发至 Repeater 模块以便进一步编辑。 - 在 Repeater 中定位到请求头部分，找到现有的 User-Agent 参数并将之替换为目标字符串 “WLLM”。 3. **测试与提交** - 发送调整后的请求给服务端观察反馈；如果一切正常，则会收到预期的结果页面或者 flag 提示。 - 将最终获得的数据作为答案输入答题框即可完成挑战[^3]。 --- #### 相关知识点总结 ##### 1. HTTP 请求结构概述 HTTP 协议由多个组成部分构成，其中包括但不限于以下几个方面： - 方法(Method): 如 GET, POST 等表示操作类型的指令集； - URL 地址资源路径说明位置关系； - 版本号(Http Version)声明所遵循的标准协议层次级别； - 头部信息(Request Headers)，即附加属性集合用来传递额外元数据比如身份认证凭据、缓存控制策略等等[^2]。 ##### 2. 自定义 Header 实践意义在实际开发过程中，开发者经常借助自定义 header 来实现某些功能需求，例如跨域资源共享(CORS)设置、API 密钥管理或是像本案例里提到的身份标识确认机制——User-Agent 替代方案设计[^3]。 ##### 3. 安全隐患探讨尽管更改 user-agent 可能看似无害甚至有益于兼容性调试工作，但从安全性角度来看却存在潜在风险。攻击者可能借此伪装成合法应用程序发起恶意活动，因此建议网站管理员加强对这类动态参数的有效校验措施以防止滥用行为发生[^2]。 --- ```python import requests url = 'http://example.com/hello.php' headers = { 'User-Agent': 'WLLM' # 设置特殊的 User-Agent 值 } response = requests.get(url, headers=headers) if response.status_code == 200: print(response.text) else: print(f'Request failed with status code {response.status_code}') ``` 以上脚本展示了如何通过 Python 编程语言调用 Requests 库模拟发送带有定制化 header 的网络请求过程[^3]。 --- ####