stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15

最新推荐文章于 2022-04-09 15:06:29 发布
最新推荐文章于 2022-04-09 15:06:29 发布
阅读量1.3k 收藏
点赞数 4
分类专栏: XCTF-PWN CTF 文章标签: 攻防世界 xctf ctf pwn rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103669719
版权

题目地址:stack2

这是高手进阶区的第四题了,速度挺快啊,朋友!加油!

废话不说,看看题目先

没有什么特别的内容,那就看看保护机制

root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d 
[*] '/ctf/work/python/stack2/fcca8ceb507544d1bd9c4a7925907a1d'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

开了Canary,其他就没什么了,估计是需要绕过Canary做栈溢出。

先打开ida做下反编译

可以看到,没什么疑问,就是两个函数main和hackhere。

我这里已经把main函数做好了变量重命名:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int nIndexAdd; // eax
  unsigned int nTemp; // [esp+18h] [ebp-90h]
  unsigned int nChoice; // [esp+1Ch] [ebp-8Ch]
  int nNumber; // [esp+20h] [ebp-88h]
  unsigned int nCountNumber; // [esp+24h] [ebp-84h]
  int nSum; // [esp+28h] [ebp-80h]
  unsigned int i; // [esp+2Ch] [ebp-7Ch]
  unsigned int k; // [esp+30h] [ebp-78h]
  unsigned int l; // [esp+34h] [ebp-74h]
  char arrNumbers[100]; // [esp+38h] [ebp-70h]
  unsigned int v14; // [esp+9Ch] [ebp-Ch]

  v14 = __readgsdword(0x14u);
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
  nSum = 0;
  puts("***********************************************************");
  puts("*                      An easy calc                       *");
  puts("*Give me your numbers and I will return to you an average *");
  puts("*(0 <= x < 256)                                           *");
  p
最低0.47元/天 解锁文章
3riC5r
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dice_game [XCTF-PWN][高手]CTF writeup攻防世界题解系列12
重新启程
12-23 1712
题目地址:dice_game 从这篇开始就正式高手,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
攻防世界 stack2
10-07 493
1.题目 2.IDA分析 3.分析 本地存在明显的数组越界漏洞,选择3修改数据时,没有检查是否越界,直接操作指针行修改。所以我们只要利用这个漏洞构造system的调用即可(注意,function的hackhere方法不可用,调用会提示不存在bash。。。) 所以这道题目最难在于addr_buf与addr_ret之间的距离。一开始看ida的栈信息,以为是74h,结果溢出失败。 这种情况很明显是编译器做了什么处理,所以只能动态调试。 在show data方法里面下断点,位置:0x80
[BUUCTF-pwn]——[第六章 CTF之PWN章]stack
Y_peak的博客
03-12 698
[BUUCTF-pwn]——[第六章 CTF之PWN章]stack 题目地址: https://buuoj.cn/challenges#[%E7%AC%AC%E5%85%AD%E7%AB%A0%20CTF%E4%B9%8BPWN%E7%AB%A0]stack 思路 一个简单的栈溢出, 注意栈平衡就好 exploit from pwn import * p = remote('node3.buuoj.cn',25385) shell = 0x0000000000400537 ret = 0x0000000
buuoj [第六章 CTF之PWN章]stack
yongbaoii的博客
01-20 1019
ret2text 习惯性查一下保护,啥也不是。 很明显的栈溢出。 很明显的shellcode 直接十八个字节再加上返回地址就有了。 exp from pwn import* r = remote('node3.buuoj.cn',27516) #r = process('./stack') context.log_level = "debug" #gdb.attach(r) system_addr = 0x400537 payload = 'a' * 18 + p64(0x40054e) + p64(
数组越界(DAY 30)
学恒的博客
04-09 886
文章目录1:引例1:2:数组越界原因:错误2:总结: 1:引例1: 推荐文章1 推荐文章2 2:数组越界原因: 可以看到,我们reverse的a+6 超出了定义的数组的长度5 ,就出现了一个相对来说很大的数字,32767 这是多少? 2的15次方等于32768 32767就等于2^15 -1 为什么减去1? 在计算机组成原理中,二制数的范围就是-2的15次方到 +2的十五次方-1。因为中间有一个0。从这里我们又可以知道,为什么是15次方? 看来在该编译器中,数组的产长度是 4 个4位
redis-stack-server 7.2.0 安装包合集
最新发布
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
Kosta-java-full-stack-02-15-2-30
02-16
【标题】"Kosta-java-full-stack-02-15-2-30" 暗示这是一个关于Java全栈开发的学习资源,可能是某个课程或教程的一部分,日期可能表示发布或更新的时间,即2月15日的第2到第30个小时。这可能是一个连续的系列,涵盖...
Z-Stack-Sample-Applications.zip_z-stack
09-23
TI的Z-Stack Sample Applications是针对物联网(IoT)领域中的无线通信协议栈Z-Stack的一系列示例应用。Z-Stack是由Texas Instruments(TI)开发的,它是一个全面的、经过验证的、用于2.4 GHz IEEE 802.15.4网络的软件...
fullstack-ppm-tool:使用 React 和 SpringBoot 构建的个人项目管理工具
05-29
fullstack-ppm-工具 使用 React 和 SpringBoot 构建个人项目管理工具。 用户注册和登录功能。 使用 JWT 令牌的用户 OAuth2 身份验证。 围绕项目管理的所有 CRUD 操作。
day14-ElasticStack学习之Elasticsearch.zip
01-29
总之,"ElasticStack学习之Elasticsearch"课程涵盖了Elasticsearch的各个方面,从基础概念到高级特性,旨在帮助开发者充分利用这个强大的搜索引擎。通过理论与实践的结合,学员们不仅能理解Elasticsearch的工作...
MTK-stack-and-stack-management-.rar_Stack_history
09-24
"MTK-stack-and-stack-management-.rar_Stack_history"这个压缩包文件似乎着重于介绍MTK(MediaTek)芯片平台上的屏幕栈历史管理,特别是从空闲屏幕(Idle Screen)过渡到主菜单(Main Menu)屏幕,以及如何回退到...
stack-in-card:将多张卡分组为一张无边界的卡
05-02
和horizontal-stack-in-card替代品 它允许将多张卡分组为一张没有边界的卡。 默认情况下,它将垂直堆叠所有内容。 选项 如果堆栈中的卡定义了--keep-background CSS样式,则不会替换背景。 例如,这对于很有用。 您...
vertical-stack-in-card::triangular_ruler:家庭助理卡
05-12
custom:vertical-stack-in-card 牌 列表 必需的 卡清单 标题 细绳 可选的 卡标题 水平的 布尔值 可选的 默认值: false 样式 目的 可选的 向子卡添加自定义CSS指令 安装 通过将vertical-stack-in-card.js到...
elk-stack-mongo-node-docker
05-13
elk-stack-mongo-node-docker
Z-Stack 3.0.2-.7z.zip_Z-STACK 3.0.2_Z-STACK-3.0.2_z-stack 3_z-st
07-15
Z-Stack 3.0.2 是一个专为物联网(IoT)设计的网络协议栈,它由Zigbee联盟开发并广泛应用于智能家居、智能能源、工业自动化等领域。Zigbee是一种低功耗、低成本、自组织的无线通信技术,支持多跳网络,能构建大规模...
XCTF note-service2
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 857
查程序保护机制 开启了PIE和CANARRY 没有开启NX,堆栈具有可执行权限 IDA64载入程序,查看main函数 重点分析sub_E30(); 经过分析得知sub_C56()是一个输出提示信息的函数,sub_B91()是获取用户输入值的函数 sub_DC1();sub_DD4();这两个函数的功能未完成 仅实现了sub_CA5();sub_DE7();这两个函数,这两个函数实现了添加和删...
note-service2(xctf)
weixin_43868725的博客
08-08 528
0x0 程序保护和流程 保护: 流程: main() real_main() 选择1可以新建一个note,选择2和3没有实现,选择4可以删除note,选择5可以退出程序。但是在选择1的时候没有对数组的边界行考虑。 0x1 利用过程 1.虽然这个程序也存在UAF漏洞但是由于输出和修改功能没有实现所以能利用的角度基本没有,但是数组越界可以任意地址写。 2.可以发现相对于数组的低地址处有**.got.plt表,并且.got.plt表是有读写权限的。所以可以修改.got.plt**表 可以得到偏移就是
python栈溢出_栈基础 & 栈溢出 & 栈溢出
weixin_39584549的博客
12-08 846
author : shavchentitle : stack-ooverflow exploit栈基础内存四代码(.text):这个域存储着被装入执行的二制机器代码,处理器会到这个域取指令执行。数据(.data):用于存储全局变量和静态变量等。堆:动态地分配和回收内存,程可以在堆动态地请求一定大小的内存,并在用完后归还给堆。地址由高到低生长栈:用于动态地存储函数之间的调用关系...
pwn学习-攻防世界(二)
qq_45653588的博客
01-18 425
文章目录0X00 pwn-1000x01 monkey0x02 stack20x03 pwn-2000x04 welpwn 0X00 pwn-100 下载文件,只开启了NX保护。 反编译一下,main函数调用了sub_40068E()函数,然后sub_40068E()函数调用了sub_40063D函数,第一个参数为v1,第二个参数为200. int sub_40068E() { char v1; // [rsp+0h] [rbp-40h] sub_40063D((__int64)&v1,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值