2. 程式人生 > >pwnable.kr 3.bof writeup

pwnable.kr 3.bof writeup

阿新 發佈:2018-12-26

基本緩衝區溢位的利用。
拿到題目
在這裡插入圖片描述
訪問下http://pwnable.kr/bin/bof.c得到原始碼

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
void func(int key){
	char overflowme[32];
	printf("overflow me : ");
	gets(overflowme);	// smash me!
	if(key == 0xcafebabe){
		system("/bin/sh");
	}
	else{
		printf("Nah..\n");
	}
}
int main(int argc, char* argv[]){
	func(0xdeadbeef);
	return 0;
}

一個基本的棧溢位。將key的值覆蓋為0xcafebabe即可得到shell。
訪問http://pwnable.kr/bin/bof 得到可執行檔案。
用ida反彙編檢視char陣列的首地址和key的地址的距離。
在這裡插入圖片描述
可以看到陣列s的首地址是EBP-0x2c,畫下此時的堆疊圖
在這裡插入圖片描述
EBP-0xc處是canary保護(stack protector),canary的值如果被改變就會報錯。
在這裡插入圖片描述
canary保護即是圖中的
在這裡插入圖片描述
因為canary的關係,陣列的首地址發生了改變,如果不反彙編就無法知道其到key地址的距離。
從堆疊圖可以清晰的看到,陣列的首地址到key的首地址的距離是52是位元組,只需用52個位元組填充,再加上0xcafebabe即可。
由於0xcafebabe轉化為字元後不是可見字元,無法通過鍵盤打入,可以藉助pwntools來編寫利用程式碼。利用程式碼如下:
在這裡插入圖片描述


p32函式將0xcafebabe轉化為\xbe\xba\xfe\xca,也可以直接寫成\xbe\xba\xfe\xca
interactive函式是開啟人機互動模式,取得shell許可權後,使用此函式。
執行此指令碼後即可得到shell
在這裡插入圖片描述
使用命令cat flag得到flag
在這裡插入圖片描述

相關推薦

pwnable.kr 3.bof writeup

基本緩衝區溢位的利用。 拿到題目 訪問下http://pwnable.kr/bin/bof.c得到原始碼 #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int

pwnable.kr 4.flag writeup

沒涉及到pwn,就是一道逆向題目。 拿到題目 訪問 http://pwnable.kr/bin/flag 下載檔案。。 下載得到flag檔案,無後綴,記事本開啟,發現是elf檔案,改字尾為elf。用IDA開啟檢視彙編程式碼。 發現加了殼,開啟字串視窗看看有沒有資訊,(shift 加上f1

pwnable.kr 2.collision writeup

拿到題目 先連上去。 ls檢視目錄得到 cat 檢視下col.c的原始碼 #include <stdio.h> #include <string.h> unsigned long hashcode = 0x21DD09EC; unsigned long ch

pwnable.kr 1.fd writeup

拿到題目 先連上去 ls檢視下目錄 檔案目錄下有 fd,fd.c ,flag檔案。 用cat 檢視下fd.c原始檔得到如下原始碼:。 #include <stdio.h> #include <stdlib.h> #include <string.h&g

pwnable.kr bof之write up

car stdio.h ble str 不同 -1 [] 得到 imp 這一題與前兩題不同,用到了靜態調試工具ida 首先題中給出了源碼: 1 #include <stdio.h> 2 #include <string.h> 3 #

pwnable.kr-echo1-Writeup

blog inux cnblogs span style symbol bin sym utf-8 pwnable的echo1,一個棧溢出的漏洞,同樣以後再補上分析過程和思路,先放exp 1 #!/usr/bin/env python 2 # -*- coding:

pwnable.kr --- bof題解

題目如下: 我們下載完題目中給的兩個檔案,然後開啟bof.c檔案,我們可以看到原始碼: #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key)

pwnable.kr入門pwn系列教程(3)

題目不多講,直接貼程式碼,如果不會這些個過程看前面教程 #include <stdio.h> #include <string.h> #include <stdlib.h> void func(int key){ char overfl

pwnable.kr】 flag

github down 代碼 ring lag 程序 load 沒有 mob pwnable從入門到放棄 第四題 Download : http://pwnable.kr/bin/flag 下載下來的二進制文件,對著它一臉懵逼,題目中說是逆向題,這我哪會啊。。。 用i

pwnable.kr】leg

輸入 read %d ssh http com fcn dump only pwnable從入門到放棄第八題。 Download : http://pwnable.kr/bin/leg.cDownload : http://pwnable.kr/bin/leg.asm s

pwnable.kr】cmd1

strstr blog pre += 其中 函數 /tmp har cmd 最近的pwnable都是linux操作系統層面的。 ssh [email protected]/* */ -p2222 (pw:guest) 首先還是下載源代碼: #includ

pwnable.kr】cmd2

函數 environ 自動 memset 上一個 ima lin ret 保持 這道題是上一個cmd1的升級版 ssh [email protected]/* */ -p2222 (pw:mommy now I get what PATH environmen

pwnable.kr】 codemap

hunk see seed heap while malloc cati 根據 ont pwnable新的一題。 download: http://pwnable.kr/bin/codemap.exe ssh [email protected]/* */ -p

pwnable.kr lotto之write up

write char tail 技術 match ima style string sign 源代碼 : #include <stdio.h> #include <stdlib.h> #include <string.h> #

pwnable.kr cmd1之write up

變量 雙引號 inux ron argv enter nbsp cnblogs linux通配符 看一下源代碼: 1 #include <stdio.h> 2 #include <string.h> 3 4 int filter(char

Pwnable.kr WP

近期,開始將以前做的CTF的題目,全部整理一遍,寫個WP,也是為了督促自己,還需要學的東西還有很多。 Pwnable.kr fd  我們首先看到這道題的C原始碼: 需要得到flag,則需要執行 system("/bin/cat flag"); 則 必須 buf =

18.9.17 pwnable.kr----collision

同樣的操作,找到c的原始碼 用(int*)強制轉換,然後賦給給ip,ip的錢五個值的和等於res 剛開始我們要輸入20個位元組(強制轉換成int型後,正好分成了五組) 執行check_password之後返回的值要等與0x21DD09EC 上指令碼(參考了大佬的)

pwnable kr 之 random

(gdb) disass main Dump of assembler code for function main: 0x00000000004005f4 <+0>: push %rbp 0x00000000004005f5 <+1>

pwnable.kr-leg-mistake-shellshock

leg #include <stdio.h> #include <fcntl.h> int key1(){ asm("mov r3, pc\n"); } int key2(){ asm( "push {r6}\n" "add r6, pc,

pwnable.kr】 leg

  本關主要涉及了一些arm彙編的知識。 閱讀leg.c原始碼發現,本關呼叫scanf從標準輸入讀取key後,判斷是否和key1 key2 key3 三個函式的返回值的和相等。如果相等,則輸出flag。但是ARM彙編的函式返回值和暫存器R0有關,並且key函式中涉及到了