stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15

最新推荐文章于 2024-05-21 21:20:30 发布
最新推荐文章于 2024-05-21 21:20:30 发布
阅读量1.5k 收藏
点赞数 4
分类专栏: XCTF-PWN CTF 文章标签: 攻防世界 xctf ctf pwn rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/103669719
版权
本文介绍了攻防世界CTF平台的stack2题目,涉及Canary保护机制的绕过。通过ida反编译分析,找到溢出点,并利用未做边界检查的数组实现栈溢出,将eip覆盖为特定函数地址。在调试过程中,确定了栈布局并构造ROP链,最终成功执行目标函数。此题考察了数组越界、Canary调试和ROP技术。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目地址:stack2

这是高手进阶区的第四题了,速度挺快啊,朋友!加油!

废话不说,看看题目先

没有什么特别的内容,那就看看保护机制

root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d 
[*] '/ctf/work/python/stack2/fcca8ceb507544d1bd9c4a7925907a1d'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

开了Canary,其他就没什么了,估计是需要绕过Canary做栈溢出。

先打开ida做下反编译

可以看到,没什么疑问,就是两个函数main和hackhere。

我这里已经把main函数做好了变量重命名:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int nIndexAdd; // eax
  unsigned int nTemp; // [esp+18h] [ebp-90h]
  unsigned int nChoice; // [esp+1Ch] [ebp-8Ch]
  int nNumber; // [esp+20h] [ebp-88h]
  unsigned int nCountNumber; // [esp+24h] [ebp-84h]
  int nSum; // [esp+28h] [ebp-80h]
  unsigned int i; // [esp+2Ch] [ebp-7Ch]
  unsigned int k; // [esp+30h] [ebp-78h]
  unsigned int l; // [esp+34h] [ebp-74h]
  char arrNumbers[100]; // [esp+38h] [ebp-70h]
  unsigned int v14; // [esp+9Ch] [ebp-Ch]

  v14 = __readgsdword(0x14u);
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
  nSum = 0;
  puts("***********************************************************");
  puts("*                      An easy calc                       *");
  puts("*Give me your numbers and I will return to you an average *");
  puts("*(0 <= x < 256)                                           *");
  p
最低0.47元/天 解锁文章
攻防世界PWN进阶stack2
BurYiA的博客
01-26 1029
stack2 哈,我又回来了 这个题呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问题 这个时对数据进行...
攻防世界 PWN 高手进阶 stack2 (write up)
qq_44768749的博客
08-18 591
攻防世界 PWN 高手进阶 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2 该题利用未对数组边界进行检查,从而可以实现栈溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
pwnstack2
醉等佳人归
09-07 439
1.题目 1.保护机制 开了canary和nx 2.题目 简单来说就是一个计算器,支持以下功能: 2.思路 重点1:问题出在第三个功能上,第三个功能是支持修改数组中的元素的,但函数没有进行index判断,导致我们通过这个偏移写任意数据到任意偏移地址,即可以覆盖函数返回地址 重点2:程序中给了一个后门函数,但是运行后发现没有/bin/bash,所以我们要自己调用system,参数的话直接使用/bin/bash中的sh即可 from pwn import * context(arch="i386",os=
xctf pwn高手进阶题之stack2
neuisf的博客
01-25 359
程序读取一个数字n,然后根据数字n读取数字到缓冲,在执行需修改操作时为判断是否越界,而是根据用户输入的数字进行修改,造成堆栈地址内容修改。只需修改返回值即可。此题提供了hackhere函数输出flag,本地执行正常,远程出错,提示找不到/bin/bash。此处,技巧是执行system(’sh’)代替system(’/bin/sh’)。 exp: from pwn import * p=remot...
stack2(xctf)
weixin_43868725的博客
05-26 768
0x0 程序保护和流程 保护: 流程: 当选择change number时没有对数组边界进行检查所以可以任意地址写。又在函数列表中发现一个hackhere() 0x1 利用过程 我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。 v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。 远程发现没有bash。 换成system(
pwn1 babystack [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列19
重新启程
12-25 1776
题目地址:pwn1 babystack 已经到了高手进阶的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
pwn100 [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列16
重新启程
12-23 1390
题目地址:pwn100 本题已经是高手进阶的第五题了,难度也在不断加大。需要补充的知识点也越来越多了。 废话不说,看看题目 没什么建议和描述,那就先下载附件,看看保护机制 root@mypwn:/ctf/work/python/pwn-100# checksec d0b5f9b486bb480c9035839ec896252e [*] '/ctf/work/python/pwn-10...
shell [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列25
重新启程
12-27 868
题目地址:shell 这个题目是高手进阶的第14题,这一题我没有按照顺序来,耍脾气来!呵呵 看看保护机制 [*] '/ctf/work/python/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled ...
dice_game [XCTF-PWN][高手进阶]CTF writeup攻防世界题解系列12
重新启程
12-23 1915
题目地址:dice_game 从这篇开始就正式进入高手进阶,一些简单的知识点我这里就不会再重复赘述了,请有需要的同学看前面的章节。 废话不多,看看题目 题目没什么提示,只是知道这个题目的来源是:XCTF 4th-QCTF-2018 下载附件,看看情况,照例做下保护机制检查 root@mypwn:/ctf/work/python/dice_game# checksec dice_g...
攻防世界-pwn stack2(ROP)
菜的只能随便写写博客
10-28 2042
0x01 文件分析 32位elf 无PIE   0x02 运行分析  程序的功能主要有四个,在输入前面两个初始化的变量值之后,就可以看到后面的几个功能。   0x03 IDA分析 //IDA 静态分析得出的代码: int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax uns...
pwn做题笔记13-stack2(以字节形式构造栈帧内容)
qq_40923256的博客
05-16 238
以字节形式构造栈帧内容,以及利用plt表和程序字符串构造返回地址(简单的ROP
stack专题2
约定的博客
01-14 154
85 Maximal Rectangle 问题:找到矩形内连续的都是1,这个矩形的面积。首先考虑到的是暴力搜索,不断枚举起始节点的x,y坐标,节点节点的x,y坐标。计算矩形面积的几个方法:1 一个一个元素遍历;2 利用矩阵长*宽;3 利用上一步计算的矩形的值。这个需要4层循环,慢。 学习:讨论里面有一种动态规划的解法。虽然看了,也知道怎么回事,但是还想不明白作者是如何相出这种DP想法的。我应该
[XCTF]stack2(你的疑问可以在这里找到答案)
qq_62539372的博客
07-10 331
前面的必要流程就不多说啦 这道题开了栈溢出保护 运行一下似乎找不到可以利用的点 那就看看这里吧 v13这个数组 在第三个选项change的时候没有限制 so 我们可以在main函数结束的时候改变返回地址 hackhere函数里有个system('/bin/bash')不同于system('/bin/sh')打通之后会出现没有bash所以我们不能直接利用hackhere这个函数的地址当作main函数的返回地址!我们可以把plt表的system函数的地址当作返回地址,传参'sh'思路有啦 我们接下来就要考虑在哪
XCTF pwn stack2
zwb2603096342的博客
05-21 627
XCTF pwn stack2的个人wp,利用数组边界没有检查的漏洞,进行地址覆盖,达到目的
xctf-pwn-stack2 & pwn1 & welpwn
njh18790816639的博客
07-30 238
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
9.pwn入门新手练习攻防世界stack2 低位读取内存
qiudalaojiao的博客
02-22 1446
参考文章 https://blog.csdn.net/qq_43681242/article/details/104077461 exp #!/usr/bin/env python #coding:utf-8 from pwn import * #p = process('./stack2') p = remote('111.198.29.45',58596) system_addr = 0x...
XCTF-pwn-stack2 - Writeup
菜小狗.的博客
11-28 632
偶尔在学习的阶段慢慢发现的进步 抽空写点笔记记录一下子 这次做的题目还是栈溢出漏洞的题目但是并没用用到payload,简单用了下ROP 题目描述 除了一个名称 stack2 题目描述是:暂无 下载附件运行一下看看流程 保护开启了nx 和canary 流程大概是提供了4个选项的功能:加数、改数还有求平均数啥的。 然后丢到iad里看一下这部分的流程简单分析一下漏洞点。 在这里看还是蛮正常的,...
攻防世界-stack2-Writeup
SkYe's Blog
05-13 607
stack2 题目来源: XCTF 4th-QCTF-2018 [collapse title=“展开查看详情” status=“false”] 考点:数字下标溢出 保护情况: Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 漏洞函数: puts("which numb
CG-CTF Stack Overflow
weixin_43464124的博客
05-11 865
为了上800分也是够了… 题目地址:pwn 看了几篇wp,觉得写得总是差那么一丢丢意思 首先检查溢出点 通过双击A可以看到,A这个数组的大小为40 但其可以接受64个字符的大小 所以这是第一个溢出点 然后往下看 虽然明面上显示的是输入s是有限制的 限制为n 但是当我们双击n的时候会发现 n就在A的下面 因此我们可以通过A来溢出到n 在函数列表中我们可以看到有一个函数 名字叫做pwnme 这部明...
攻防世界pwn stack2
最新发布
12-14
攻防世界中,PWN题目通常涉及到二进制漏洞的利用,而stack2是其中一种常见的栈溢出题目。以下是对stack2的一些介绍: ### 什么是Stack2Stack2是一种栈溢出漏洞的利用题目。栈溢出是指程序在向栈上写入数据时,超出了栈的边界,导致覆盖了栈上的其他数据,包括返回地址。通过精心构造的输入,可以控制程序的执行流程,执行恶意代码。 ### Stack2的常见特点 1. **缓冲溢出**:程序中存在一个缓冲,用户的输入可以超过缓冲的长度。 2. **可控的返回地址**:通过覆盖返回地址,可以控制程序跳转到任意地址执行。 3. **防护机制**:现代系统通常会开启一些防护机制,如NX(不可执行栈)、ASLR(地址空间布局随机化)等,增加了利用难度。 ### 常见的利用方法 1. **覆盖返回地址**:通过输入超长的数据,覆盖栈上的返回地址,使其指向我们想要的地址。 2. **ROP(Return-Oriented Programming)**:利用程序中已有的代码片段(gadgets),组合成我们需要的操作,绕过NX保护。 3. **泄露内存地址**:通过泄露某些内存地址的信息,绕过ASLR。 ### 示例 假设我们有一个简单的C程序: ```c #include <stdio.h> #include <string.h> void vuln() { char buffer[64]; printf("Input: "); gets(buffer); printf("You entered: %s\n", buffer); } int main() { vuln(); return 0; } ``` 在这个程序中,`gets`函数没有进行边界检查,存在栈溢出漏洞。我们可以通过输入超过64个字符的数据,覆盖返回地址,控制程序执行流程。 ### 利用步骤 1. **确定溢出点**:通过调试工具(如gdb)确定输入多少数据可以覆盖返回地址。 2. **构造payload**:根据溢出点,构造包含恶意代码的payload。 3. **执行payload**:将payload输入程序,控制程序执行恶意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值