stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15

最新推荐文章于 2023-05-16 20:16:56 发布
最新推荐文章于 2023-05-16 20:16:56 发布
阅读量1.3k 收藏
点赞数 4
分类专栏: XCTF-PWN CTF 文章标签: 攻防世界 xctf ctf pwn rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103669719
版权

题目地址:stack2

这是高手进阶区的第四题了,速度挺快啊,朋友!加油!

废话不说,看看题目先

没有什么特别的内容,那就看看保护机制

root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d 
[*] '/ctf/work/python/stack2/fcca8ceb507544d1bd9c4a7925907a1d'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

开了Canary,其他就没什么了,估计是需要绕过Canary做栈溢出。

先打开ida做下反编译

可以看到,没什么疑问,就是两个函数main和hackhere。

我这里已经把main函数做好了变量重命名:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int nIndexAdd; // eax
  unsigned int nTemp; // [esp+18h] [ebp-90h]
  unsigned int nChoice; // [esp+1Ch] [ebp-8Ch]
  int nNumber; // [esp+20h] [ebp-88h]
  unsigned int nCountNumber; // [esp+24h] [ebp-84h]
  int nSum; // [esp+28h] [ebp-80h]
  unsigned int i; // [esp+2Ch] [ebp-7Ch]
  unsigned int k; // [esp+30h] [ebp-78h]
  unsigned int l; // [esp+34h] [ebp-74h]
  char arrNumbers[100]; // [esp+38h] [ebp-70h]
  unsigned int v14; // [esp+9Ch] [ebp-Ch]

  v14 = __readgsdword(0x14u);
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
  nSum = 0;
  puts("***********************************************************");
  puts("*                      An easy calc                       *");
  puts("*Give me your numbers and I will return to you an average *");
  puts("*(0 <= x < 256)                                           *");
  p
最低0.47元/天 解锁文章
3riC5r
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界PWNstack2)
BurYiA的博客
01-26 876
stack2 哈,我又回来了 这个题呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问题 这个时对数据行...
攻防世界 PWN 高手 stack2 (write up)
qq_44768749的博客
08-18 414
攻防世界 PWN 高手 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2 该题利用未对数组边界行检查,从而可以实现栈溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
pwn之stack2
醉等佳人归
09-07 373
1.题目 1.保护机制 开了canary和nx 2.题目 简单来说就是一个计算器,支持以下功能: 2.思路 重点1:问题出在第三个功能上,第三个功能是支持修改数组中的元素的,但函数没有行index判断,导致我们通过这个偏移写任意数据到任意偏移地址,即可以覆盖函数返回地址 重点2:程序中给了一个后门函数,但是运行后发现没有/bin/bash,所以我们要自己调用system,参数的话直接使用/bin/bash中的sh即可 from pwn import * context(arch="i386",os=
xctf pwn高手题之stack2
neuisf的博客
01-25 308
程序读取一个数字n,然后根据数字n读取数字到缓冲,在执行需修改操作时为判断是否越界,而是根据用户输入的数字行修改,造成堆栈地址内容修改。只需修改返回值即可。此题提供了hackhere函数输出flag,本地执行正常,远程出错,提示找不到/bin/bash。此处,技巧是执行system(’sh’)代替system(’/bin/sh’)。 exp: from pwn import * p=remot...
stack2(xctf)
weixin_43868725的博客
05-26 711
0x0 程序保护和流程 保护: 流程: 当选择change number时没有对数组边界行检查所以可以任意地址写。又在函数列表中发现一个hackhere() 0x1 利用过程 我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。 v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。 远程发现没有bash。 换成system(
redis-stack-server 7.2.0 安装包合集
最新发布
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
Kosta-java-full-stack-02-15-2-30
02-16
【标题】"Kosta-java-full-stack-02-15-2-30" 暗示这是一个关于Java全栈开发的学习资源,可能是某个课程或教程的一部分,日期可能表示发布或更新的时间,即2月15日的第2到第30个小时。这可能是一个连续的系列,涵盖...
Z-Stack-Sample-Applications.zip_z-stack
09-23
TI的Z-Stack Sample Applications是针对物联网(IoT)领域中的无线通信协议栈Z-Stack的一系列示例应用。Z-Stack是由Texas Instruments(TI)开发的,它是一个全面的、经过验证的、用于2.4 GHz IEEE 802.15.4网络的软件...
fullstack-ppm-tool:使用 React 和 SpringBoot 构建的个人项目管理工具
05-29
fullstack-ppm-工具 使用 React 和 SpringBoot 构建个人项目管理工具。 用户注册和登录功能。 使用 JWT 令牌的用户 OAuth2 身份验证。 围绕项目管理的所有 CRUD 操作。
day14-ElasticStack学习之Elasticsearch.zip
01-29
总之,"ElasticStack学习之Elasticsearch"课程涵盖了Elasticsearch的各个方面,从基础概念到高级特性,旨在帮助开发者充分利用这个强大的搜索引擎。通过理论与实践的结合,学员们不仅能理解Elasticsearch的工作...
攻防世界-pwn stack2(ROP)
菜的只能随便写写博客
10-28 1930
0x01 文件分析 32位elf 无PIE   0x02 运行分析  程序的功能主要有四个,在输入前面两个初始化的变量值之后,就可以看到后面的几个功能。   0x03 IDA分析 //IDA 静态分析得出的代码: int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax uns...
pwn做题笔记13-stack2(以字节形式构造栈帧内容)
qq_40923256的博客
05-16 155
以字节形式构造栈帧内容,以及利用plt表和程序字符串构造返回地址(简单的ROP)
stack专题2
约定的博客
01-14 124
85 Maximal Rectangle 问题:找到矩形内连续的都是1,这个矩形的面积。首先考虑到的是暴力搜索,不断枚举起始节点的x,y坐标,节点节点的x,y坐标。计算矩形面积的几个方法:1 一个一个元素遍历;2 利用矩阵长*宽;3 利用上一步计算的矩形的值。这个需要4层循环,慢。 学习:讨论里面有一种动态规划的解法。虽然看了,也知道怎么回事,但是还想不明白作者是如何相出这种DP想法的。我应该
[XCTF]stack2(你的疑问可以在这里找到答案)
qq_62539372的博客
07-10 238
前面的必要流程就不多说啦 这道题开了栈溢出保护 运行一下似乎找不到可以利用的点 那就看看这里吧 v13这个数组 在第三个选项change的时候没有限制 so 我们可以在main函数结束的时候改变返回地址 hackhere函数里有个system('/bin/bash')不同于system('/bin/sh')打通之后会出现没有bash所以我们不能直接利用hackhere这个函数的地址当作main函数的返回地址!我们可以把plt表的system函数的地址当作返回地址,传参'sh'思路有啦 我们接下来就要考虑在哪
xctf-pwn-“stack2 & pwn1 & welpwn”
njh18790816639的博客
07-30 187
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
9.pwn入门新手练习攻防世界stack2 低位读取内存
qiudalaojiao的博客
02-22 1398
参考文章 https://blog.csdn.net/qq_43681242/article/details/104077461 exp #!/usr/bin/env python #coding:utf-8 from pwn import * #p = process('./stack2') p = remote('111.198.29.45',58596) system_addr = 0x...
XCTF-pwn-stack2 - Writeup
菜小狗.的博客
11-28 545
偶尔在学习的段慢慢发现的步 抽空写点笔记记录一下子 这次做的题目还是栈溢出漏洞的题目但是并没用用到payload,简单用了下ROP 题目描述 除了一个名称 stack2 题目描述是:暂无 下载附件运行一下看看流程 保护开启了nx 和canary 流程大概是提供了4个选项的功能:加数、改数还有求平均数啥的。 然后丢到iad里看一下这部分的流程简单分析一下漏洞点。 在这里看还是蛮正常的,...
CG-CTF Stack Overflow
weixin_43464124的博客
05-11 810
为了上800分也是够了… 题目地址:pwn 看了几篇wp,觉得写得总是差那么一丢丢意思 首先检查溢出点 通过双击A可以看到,A这个数组的大小为40 但其可以接受64个字符的大小 所以这是第一个溢出点 然后往下看 虽然明面上显示的是输入s是有限制的 限制为n 但是当我们双击n的时候会发现 n就在A的下面 因此我们可以通过A来溢出到n 在函数列表中我们可以看到有一个函数 名字叫做pwnme 这部明...
XCTF 4th-QCTF-2018 pwn stack2 writeup
qq_39596232的博客
08-30 858
题目描述: 暂无 分析思路: 1、首先拿到ELF文件,我们首先查看一下详细信息: tucker@ubuntu:~/pwn$ file stack2 stack2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-, for GNU/Linux...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值