[BUUCTF]-PWN:wustctf2020_number_game解析(补码,整数漏洞)

最新推荐文章于 2024-08-15 18:19:19 发布
最新推荐文章于 2024-08-15 18:19:19 发布
阅读量231 收藏 5
点赞数 5
分类专栏: PWN 文章标签: 前端 javascript 数据库 网络安全 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79326813/article/details/136421497
版权
文章描述了一种在ida环境下,通过利用32位整数的边界条件和补码性质,实现输入一个特定数值(-2147483648)绕过if判断并获取shell的方法。作者通过详细解释test和jmpifsign指令的工作原理,展示了如何通过这个技巧进行安全漏洞利用。
摘要由CSDN通过智能技术生成

查看保护

查看ida

大致意思就是输入一个数绕过if

完整exp:

from pwn import*
context(log_level='debug')
#p=process('./numbergame')
p=remote('node5.buuoj.cn',29174)

p.sendline(b'-2147483648')
p.interactive()

这里输入-2147483648

因为32位int的大小范围为最小-2,147,483,648,十六进制为0x80000000

最大为2,147,483,647,十六进制为0x7FFFFFFF

最好看汇编,能清楚一点

这里让我们输入一个数,然后对它进行自身的test指令(二进制每一位都进行and操作,and操作:两个数的二进制,当一个数与另一个数进行and操作时,如果另一个数对应位是1,那这一个数的对应位保留原本的数,如果另一个数对应位为0,则这个数的对应位为0。test并不会改变寄存器的值,但会影响标志位),下面的js指令的全称是jmp if sign,如果sign位为1就会跳转,如果test的结果中符号位,也就是二进制的最高位为1就会跳转(正数与0的最高位为0,负数为1)

简单地来说就是判断它是否为负数,是就会跳转,接着进行

跳转后,会对数进行neg操作,就是补码。然后再进行test,js。判断是不是负数,是就可以getshell了。

大多数负数进行补码后都会为正数

但是在32位中,最小值-2,147,483,648(十六进制为0x80000000),补码后依旧为0x80000000,也就是它本身,所以可以绕过。具体为什么这样可以自己用二进制表示看看。

补码,正数和0的补码为本身,负数的补码为其二进制按位取反再加1。

clxhzg
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wustctf2020_number_game
z1r0的博客
02-02 611
wustctf2020_number_game 查看保护 这里的话想要执行shell就必需得过32位下的int取值范围,-2147483648 2147483647,比-2147483648小就可以了,因为负数的话,计算它的补码也就是原码取反+1然后存放到内存中,而负数的值超过int范围会使得补码的符号位溢出。 所以-2147483648小于等于这个即可。 ...
BUUCTF-pwn(13)
njh18790816639的博客
01-17 607
wustctf2020_number_game 此时运用我们的计算机底层的知识,可知,计算机底层储存形式为补码! -2147483648的补码形式为0x80000000,它取反加一之后仍然是0x80000000,因此这边输入-2147483648 护网杯_2018_gettingstart 此时又要用到我们的数学知识! 转换浮点数工具 from pwn import * context(log_level='debug',os='linux',arch='amd64') binary = './2
mrctf2020_shellcode_revenge|wustctf2020_name_your_cat|2018_gettingStart|SUCTF_2018_stack|wustctf2020
weixin_46521144的博客
04-05 390
这五道题都异常简单。。。也不知道为啥 wustctf2020_number_game 这题大概是csapp第二章学好了直接连就可以了。 v1=Tmin=-2147483648即可。因为32位有符号整数下Tmin是1000_0000_0000_0000,取反码加上1还是Tmin 2018_gettingStart 好吧,这道题还是CSAPP第二章知识直接运用。有一个简单的溢出覆盖,其实是考察浮点的位表示,写个c程序跑一下就出来了 #include<stdio.h> int .
BUUCTF pwn wp 101 - 105
fa1c4的blog
03-03 345
wustctf2020_number_game ciscn_2019_final_2 wustctf2020_easyfast 做过了 https://blog.csdn.net/qq_33976344/article/details/120132888 starctf_2019_babyshell wustctf2020_name_your_dog
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
Apache Struts CVE-2017-5638的漏洞利用 用法 测试单个URL。 python struts-pwn.py --url 'http://example.com/struts2-showcase/index.action' -c 'id' 测试网址列表。 python struts-pwn.py --list 'urls.txt' ...
Wi-PWN:具有材料设计WebUI的ESP8266解除验证:antenna_bars:
01-28
无线网络ESP8266的Deauther具有简洁的Web界面 :sparkles: 支持在上进行或一次通过| | | 快速响应的Material Design UI,带有可选的暗模式集成的(完全定制) WiFi客户端模式-在WiFi网络上访问Wi-PWN 信息页面,其中...
BUUCTFpwn】解题记录(4-6页持续更新中)
Assassin
08-06 1583
一起继续刷BUUCTF把~
WUST-CTF2020(武汉科技大学第一届"WUST-CTF"网络安全竞赛)WP
weixin_45461609的博客
03-30 3584
WUST-CTF2020Webcheck inadmin(不会web勉强做出)PWNgetshellgetshell2number gameCrypto大数运算B@se情书babyrsa佛说:只能四天MISC比赛规则Space ClubWelcomegirlfriend爬ShopRECr0ssFunlevel1level2level3 Web check in 修改maxlength,删除按钮的d...
buuctf node和本体互换修改free_got为system 整数溢出 32位house of force 数组越界改ret
carol2358的博客
08-18 503
文章目录npuctf_2020_easyheapwustctf2020_number_game npuctf_2020_easyheap 这题和之前的hitcontraining_heapcreator一样…… 让node和本体互换就行了 exp: from pwn import * from LibcSearcher import * local_file = './npuctf_2020_easyheap' local_libc = '/root/glibc-all-in-one/libs/2.
[WUSTCTF2020]颜值成绩查询
SopRomeo的博客
05-15 2937
输入1看看 明显sql注入题目,我测试了下,最多只能输到4,然后我用了下别的sql语句都不行 我试试异或1^1^1 可以查询到,插入sql语句,(这题其实过滤了空格,因为我之前做过类似的题目我就没测试啥了) 1^(ascii(substr((select(database())),1,1))>200)^1 大于200就查询不到了,明显的布尔盲注 不多说了,详情参看极客大挑战finalsql 注意一点 flag在value里不是在flag字段里 我就直接放exp吧 import requests.
BUUCTF-PWN刷题记录-10
weixin_44145820的博客
04-19 853
目录wustctf2020_number_game(neg操作原理)zctf2016_note2(强制转换溢出,unlink)wustctf2020_name_your_cat wustctf2020_number_game(neg操作原理) 需要输入一个数,变为负数之后还是负数 这题就设计计组知识了,neg的操作为按位取反+1,而0x80000000取反加一之后仍然是0x80000000,所以...
Wust CTF 2020 黄金体验镇魂曲 writeup
qq_42436176的博客
03-30 1654
前言 这是我第一次打CTF, 比赛之前可以说是几乎啥都不懂, 靠着点平常开发的老底, 感谢dalao出的题都很萌新, 这才取得不错的成绩 Misc 比赛规则 比赛采用CTF标准赛制,选手需要在题目环境中找到类似 wctf2020{y0u_kn0w_th3_rule5} 的字符串并将其在题目相应的地方提交得分 这题flag就是wctf2020{y0u_kn0w_th3_rule5} Space C...
WUST-CTF2020-WP
夏日 の blog
03-29 5320
目录WEBcheckinadminCV Makereasywebtrain yourself to be godlyMISCSpace ClubWelcomeAlison likes jojoShopgirlfriend小结 WEB checkin 打开页面显示Who’s the author?,回到题目发现作者是52HeRtz,输入52HeRtz发现有截断,f12选中输入框把maxlength改...
JAVA-WEB资源配置
最新发布
caryeko的专栏
08-15 157
用JAVA进行编写WEB项目时,我们一般需要对WEB进行统一配置,例如制定拦截路径、页面解析器、跨域配置、fastjson报文解析、文件上传大小配置等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值