【攻防世界pwn-int_overflow】

最新推荐文章于 2022-06-01 18:17:14 发布
最新推荐文章于 2022-06-01 18:17:14 发布
阅读量291 收藏 1
点赞数
分类专栏: 攻防世界pwn新手区 文章标签: 安全 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_silly_coder/article/details/124775842
版权
本文介绍了在攻防世界中的pwn-int_overflow挑战。通过分析,发现程序存在栈溢出漏洞,但由于输入长度限制,需利用整数溢出来绕过。通过输入特定长度的字符串,控制返回地址,最终成功触发cat flag函数,完成攻击。在实践中,通过调整字符串长度,找到有效输入范围,避免长度错误提示。
摘要由CSDN通过智能技术生成

下载文件后首先检查保护,发现不存在canary,可以进行栈溢出。

将文件拖入ida32位进行查看,发现是一个简单的登录。

首先在login()中输入账号和密码,发现passwd存在buf中,可输入长度有0x199,然后传入check_passwd()函数中。

然后在check_passwd中将0x199长度的buf复制给dest,但是dest距离ebp只有0x14,我们也在文件中发现了cat flag的函数,所以思路就很清晰了,在输入密码时,输入一个长字符串,在check_passwd函数中将这个长字符串复制给dest,从而实现栈溢出,控制返回地址。

但是问题在于,程序对于输入的passwd长度进行了限制,长度只能在3--8之间,这对我们输入长

最低0.47元/天 解锁文章
a_silly_coder
关注
专栏目录
攻防世界 int_overflow
09-28 763
1.题目 2.IDA反汇编C程序 3.流程分析 首先,选择login或者退出,选择login,则输入名字和密码,然后校验密码长度,长度小于等于3或者大于8等密码错误,否则成功。 但是看到这里,会有疑问,成功了之后呢?flag呢?在IDA的function view查找,发现一个函数what_is_this。一个存在于原函数但是我们程序流程里面没有调用过的函数。于是思路立马清晰了。我们需要通过栈溢出来覆盖返回地址,将函数what_is_this的地址覆盖到返回地址上。 接..
攻防世界pwn——int_overflow
qq_62076255的博客
09-28 274
攻防世界pwn——int_overflow
攻防世界-pwn新手区-int_overflow
CHAWUCIREN1的博客
08-10 278
看题目就知道是整形溢出 运行一下 检查一下保护机制 丢入32位ida里面 发现一个函数 可以通过覆盖跳转到这个函数就可以拿到flag system_addr = 0x804868B check_passwd处有一个判定,输入的数字要在3和8之间否则就直接退出 在这里需要说明一下,这个unsigned int就是无符号的整型,我们要知道,在计算机中,所有的数据指令都是以二进制的形式存在的,010101这样,那么正负数怎么存在呢,这里就有一个符号位,一般是在一段数据的第一个位置 比如260的十六进制
攻防世界-int_overflow
BengDouLove的博客
03-16 371
输入1进入登陆系统,这个函数下没有漏洞好像 login函数里也看起来很正常,buf和s大小设置都很合理,似乎不会造成溢出 到了login函数最后有检查passwd的函数,题目说的intoverflow就体现在这里了,我也没有自己琢磨出来,看的别人的writeup v3是一个无符号整数,最大值是八个比特都用上即256,但是只要再多1就会溢出,v3会变成从0开始的数,可能是由于程序之前没有对s输入...
pwn int_overflow
weixin_45677731的博客
03-15 193
32位程序,拖进ida看一下 首先,我们要输入1进入login() 输入username后再输入passwd,注意这里passwd允许我们输入的长度为0x199 再点进check_passwd 这里用v3来保存我们输入的passwd的长度,但是,这个v3是unsigned int8型的,8个字节,只能存储不超过256的数,如果超过会重新从1开始计算,这样的话,对于1个字符和257个字符,v3...
攻防世界_pwn int_overflow(萌新版)
TedLau的博客
02-24 492
首发于鄙人博客:传送门 0x00 前言 重刷攻防世界,本人纯萌新,在本次刷题过程中,不能再想之前那样,做过就忘,我打算将我的思路尽可能的写成文章发在网站。 0x10 步骤 file与checksec步骤已省略 根据反汇编的意思,便可以知道buf的长度比dest的长度长,所以在strcpy的时候会发生溢出现象。 而如果我们的s的长度在3和8之间,那么我们便无法使得s...
攻防世界PWN int_overflow
Rt1Text的博客
03-27 624
checksec (老规矩) 32位 canary/NX保护 ida操作 if (v4 == 1) 满足这个条件,login 跟进去 s 字段写入0x19u 看看是否存在溢出 0x28,看来不存在 buf 段 0x199u check_passwd函数 v3 无符号整型 8字节 满足if条件即可 success 将s放到dest中 dest 的长度为0x14 让s的长度够大,把what_is_this()/有flag的地址覆盖到返...
攻防世界 pwn 新手练习区 int_overflow
ChaoYue_miku的博客
07-07 1083
题目描述:菜鸡感觉这题似乎没有办法溢出,真的么? ** 0、使用checksec检查保护,尝试打开文件 ** 开启了NX保护和部分RELRO,而且是一个32位文件 chmod +x filename 是获取执行权限的命令 执行文件发现有两处输入:用户名和密码 题目提示已经很明显了,整数溢出 ** 1、使用IDA 32 Pro打开文件 ** 查看main函数 输入1之后会执行login()函数,我们跟进查看login()函数 两个read()函数都不存在栈溢出,之后还有一个check_passwd()函
adworld攻防世界-pwn-新手区-wp
令则
03-05 1170
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
攻防世界base除4_攻防世界pwn新手训练
weixin_36310597的博客
12-24 589
小白刚开始接触pwn,做点新手训练了解一下pwn是干啥的。一开始啥漏洞都不知道,很多都是看别人的wp才知道要干嘛,比如才知道原来printf函数也是有漏洞的。 把这些题的思路和做法记录下来,不然我这鱼的记忆肯定过几天就又忘了get_shell题目描述:运行就能拿到shell呢,真的如题,nc连接,连接直接就是shell,直接cat flag就可以了。CGfsb题目描述:菜鸡面对着pringf发愁,...
PWN-整型溢出-攻防世界-PWN-int_overflow
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 2054
目录 整型溢出漏洞是什么 攻防世界-PWN-int_overflow exp 整型溢出漏洞是什么 整型是一个特定的变量类型,在32位的系统中,一个整数一般占32位,而在64位的系统中一个整数占64位,(下面主要介绍32位整型溢出)为了表示正负(有符号),需要最高位来决定数值的,下面列举一些常见的整型的数值范围 在c语言中有这样的规定: 对于unsigned整型的溢出,溢出之后的数会和2^(8*字节)作模运算,例如一个unsigned char 溢出了,就会把溢出的数值与256求模 .
攻防世界pwn int_overflow writeup
PLpa的博客
07-07 1864
这是一道整数溢出题 我们知道,整数溢出本身不一定会对程序造成很大的伤害,但是他会造成其他形式的溢出,从而也十分的危险。 拿到题目,我们首先查看一下源代码的保护情况: 从上图可以看出,这是一个32位的程序,并且只开了堆栈不可执行的保护。 我们使用IDA查看一下源码: 我们进入这个check_passwd函数: 当v3>3u且v3<8u时,我们可以进入下面的else中。 else中把...
[攻防世界]int_overflow~巨细讲解
逆向萌新的博客
06-01 421
[攻防世界]int_overflow巨细
[攻防世界 pwn]——int_overflow
Y_peak的博客
02-19 216
[攻防世界 pwn]——int_overflow 题目地址: https://adworld.xctf.org.cn/ 题目: checksec一下,开启了NX 在IDA中看看, 发现了后面函数和可以gets函数, 不过可惜这个gets函数无法栈溢出。不过我们看到在check_passwd函数中有strcpy函数, dest是可以栈溢出的, 不过前题是我们可以绕过检查。 看了下 , 判断的v3是储存在al这个8位寄存器中, 也就是一个字节。当然也可以从_int8看出来是一个字节 0~255。所
攻防世界 - pwn - int_overflow
qq726232111的博客
03-16 239
A、流程分析 3 < 密码长度 <=8 ,打印success, 并执行strcpy()函数 B、利用分析 密码长度使用AL -> 8位 判断 , strlen()返回eax 则可以使用大量数据填充,使低8位保证在4-8即可,用于构造payload strcpy(ebp-14h,[ebp+8]) , ebp+8存储为输入密码...
攻防世界-wp-PWN-新手区-8-int_overflow
Scorpio_m7
03-10 275
题目描述: 菜鸡感觉这题似乎没有办法溢出,真的么? 题目场景 111.200.241.244:44057 题目附件: 51ed19eacdea43e3bd67217d08eb8a0e 题目思路: 整数分为有符号和无符号两种类型,有符号数以最高位作为其符号位,即正整数最高位为1,负数为0,无符号数取值范围为非负数。unsigned short int类型占用2字节,取值范围0~65535。 解题过程: 对于一个2字节的Unsigned short int型变量,它的有效数据长度为两个字节,当它的数据长度超过
攻防世界 新手区 int_overflow
winterze的博客
04-04 354
攻防世界 新手区 整数溢出 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/int_overflow' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0...
攻防世界pwn-forgot
最新发布
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值