CTF逆向-Dig the way Interesting Pointer-通过栈溢出方式覆盖变量以达到修改执行流程的目的

最新推荐文章于 2023-05-29 02:12:41 发布
最新推荐文章于 2023-05-29 02:12:41 发布
阅读量1.5k 收藏 4
点赞数 2
分类专栏: CTF-逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37157335/article/details/124483643
版权

CTF逆向-Dig the way Interesting Pointer-通过栈溢出方式覆盖变量以达到修改执行流程的目的

来源:https://buuoj.cn/

内容:dig the way(to get the key)!

附件:链接:https://pan.baidu.com/s/1ohai-S1epbYp2O-hzH8CRQ?pwd=rhz5 提取码:rhz5

答案:8cda1bdb68a72a392a3968a71bdb8cda

总体思路

发现流程正常执行的话无法获得flag

尝试通过栈溢出的方法修改正常的流程

推导出在该流程下能够使得flag输出的条件,并通过栈溢出满足该条件

详细步骤

  • 查看文件内容

    • image-20220428210124532

  • 发现有三个方法是明显要被轮流调用的,点进去查看每个方法

    • func0 是交换下标为 a2和a3的值,随后返回1

      • int __cdecl func0(int a1, int a2, int a3)
{
  int v4; // [esp+Ch] [ebp-4h]

  v4 = *(_DWORD *)(4 * a2 + a1);
  *(_DWORD *)(a1 + 4 * a2) = *(_DWORD *)(4 * a3 + a1);
  *(_DWORD *)(a1 + 4 * a3) = v4;
  return 1;
}

    • **func1 **是返回 |a[x]+a[y]| - |a[x]| - |a[y]| + 2

      • unsigned int __cdecl func1(int a1, int a2, int a3)
{
  return abs32(*(_DWORD *)(4 * a2 + a1) + *(_DWORD *)(4 * a3 + a1))
       - abs32(*(_DWORD *)(4 * a3 + a1))
       - abs32(*(_DWORD *)(4 * a2 + a1))
       + 2;
}

    • func2 是返回 |a[x]| + |a[y]| - |a[x]+a[y]| + 2

      • unsigned int __cdecl func2(int a1, int a2, int a3)
{
  return abs32(*(_DWORD *)(4 * a3 + a1))
       - abs32(*(_DWORD *)(4 * a3 + a1) + *(_DWORD *)(4 * a2 + a1))
       + abs32(*(_DWORD *)(4 * a2 + a1))
       + 2;
}

  • 整理得到流程

    • image-20220428204459919

  • 发现只有当v_temp[3] == 0的时候,才会调用get_key输出flag。

  • 根据绝对值的性质,发现只有v_funcs[1]可以返回0,且当a=1,b=-1的时候,|a|+|b|-|a+b| + 2 = 0

  • 再观察计算流程,发现会逐个执行v_funcs方法。故可以是通过func0交换掉func1和func2的执行顺序,使得func1成为最后被调用的

  • while ( i <= 2 )
{
    v5 = i + 1;
    v_temp[v5] = ((int (__cdecl *)(_DWORD *, _DWORD, _DWORD))v_funcs[i])(v_temp, v_temp[4], v_temp[5]);
    v_temp[4] = ++i;
    v_temp[5] = i + 1;
}

  • 模拟流程

    • i=0

      • v_temp[1] = v_funcs[0](v_temp,v_temp[4],v_temp[5]) = 1
      • v_temp[4] = 1 , v_temp[5] = 2

    • i=1

      • v_temp[2] = v_funcs[2](v_temp,1,2) = |1| + |v_temp[2]| - |1+v_temp[2]| + 2

        • 如果 v_temp[2] > 0 则 原式 = 1 + v_temp[2] - 1 - v_temp[2] + 2 = 2
        • 如果 v_temp[2] > -1 && v_temp[2] < 0 , 无v_temp[2]符合,不成立
        • 覆盖 v_temp[2] < -1 则 原式 = 1 - v_temp[2] + v_temp[2] - 1 + 2 = 2
        • 故该式恒等于 2 ,即 v_temp[2] = 2

      • v_temp[4] = 2 , v_temp[5] = 3

    • i=2

      • v_temp[3] = v_funcs[1](v_temp,2,3)

        = |v_temp[2] + v_temp[3]| - |v_temp[2]| - |v_temp[3]| + 2

        = |2 + v_temp[3]| - 2 - |v_temp[3]| + 2

        = |2 + v_temp[3]| - |v_temp[3]|

        当v_temp[3]>0时,原式恒等于2

        当v_temp[3]>-2 && v_temp[3]<0时,原式 = 2 + 2 * v_temp[3] ,即 v_temp[3] = -1时原式为0

        当v_temp[3]<-2时,原式=-2 - v_temp[3] + v_temp[3] = -2 不满足

      综上所述,使得v_temp[3]=-1即可

  • 最终,即v_temp[3] = -1 ,v_temp[4] = 7 ,v_temp[5] = 8,生成data的脚本如下

    • import struct
single_word_len = 4
data = b''
data += b'a'*20  # 以字符a填充满v_input

# 以字符a填充 v_temp[0] v_temp[1] v_temp[2]
data += b'a'*3*single_word_len

data += struct.pack('<i', -1) # 覆盖v_temp[3] = -1
data += struct.pack('<i', 7)  # 覆盖v_temp[4] v_func[0] 等效于 v_input[7]
data += struct.pack('<i', 8)  # 覆盖v_temp[5] v_func[1] 等效于 v_input[8]
with open('data', 'wb') as f:
    f.write(data)  # 保存数据到文件

  • 运行得到flag 8cda1bdb68a72a392a3968a71bdb8cda

其他文档

更多CTF逆向题通用性做法和常用工具下载参考该博文内容:CTF逆向Reverse题的玩法

相关逆向CTF题

serfend
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
栈溢出攻击c语言_从0开始CTFPWN(四)ROP绕过栈可执行保护与GOT表劫持
weixin_30219823的博客
01-04 755
本文为看雪论优秀文章看雪论坛作者ID:dxbaicai一、教程说明1.1 历史回顾第一节我们介绍了基础环境准备:从0开始CTF-PWN(一)——基础环境准备第二节我们介绍了栈溢出的入门:从0开始CTF-PWN(二)从PWN的HelloWorld-栈溢出开始第三节我们介绍了自行构造shellcode:从0开始CTF-PWN(三)没有system怎么办?构造你的shellcode1.2 本节...
BUUCTF Dig the way
寻梦&之璐
04-07 2522
文章目录题目类型查壳拖进ida整体逻辑文件读取函数fseek函数ftell函数fread函数(补充)分析三个funcfunc0func1func2解决方法分析 题目类型 这道题是一道栈溢出的题目,有点意思。 查壳 无壳 拖进ida int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax@2 int v4; // ebx@6 size_t v5; // eax@8 int v6
[BUU]Dig the way
m0_46296905的博客
05-04 409
题目:[BUU]Dig the way 32位 main 贴上主函数。 int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax int v4; // ebx size_t v5; // eax int v6; // ebx char Str[20]; // [esp+1Ch] [ebp-48h] BYREF int v8[3]; // [esp+30h] [ebp-3
栈溢出实验
混子
04-11 1509
前言 由于不想做点鼠标的猴子,于是就自己尝试一下利用,结果拐弯就是一坑,这不是在踩坑的路上,就是在坑里摸爬滚打,太艰难了,幸亏有卓佬和晨佬指点,不然还在坑里 # 栈溢出原理 程序内存栈是从高地址往低地址分配内存的,正因如此,当程序在栈中,某个变量写入的字节超过了这个变量本身所申请的字节数时,会改变其他相邻变量的值,轻则可以使程序崩溃,重则可以使攻击者控制程序执行流程
栈溢出实践
IDoubleTong的博客
02-21 380
实验代码 实验环境为Win10,编译工具为VS2017(Release)。 #define _CRT_SECURE_NO_WARNINGS #include &amp;amp;amp;lt;Windows.h&amp;amp;amp;gt; #include &amp;amp;amp;lt;stdio.h&amp;amp;amp;gt; #include &amp;amp;amp;lt;string.h&amp;amp;amp;gt; #def
CTF逆向-简单虚拟机指令类题目分析
11-26
CTF逆向-简单虚拟机指令类题目分析CTF逆向-简单虚拟机指令类题目分析
ctf-all-in-one
最新发布
01-30
ctf-all-in-one
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息... 使用场景: ... 其他说明: ...
CTF 逆向练习-Transform
06-10
该资源配合博客使用,博客我还没写。 有空我会在哔哩哔哩录制教程。
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
栈溢出
zev的博客
09-11 566
文章目录原理环境实验设计实验结果与分析代码 原理 栈溢出指的是程序向栈中某个变量中写入的字节数超过了这个变量本身所申请的字节数,因而导致栈中与其相邻的变量的值被改变。缓冲区是内存的一部分空间,用来缓冲输入输出的数据,缓冲区增长方向是从低到高的,与栈相反,所以如果写入的数据大小没有被良好地控制,超过缓冲区大小,就会覆盖栈的内容,轻则可以使得程序崩溃,重则可以使得攻击者控制程序执行流程。 环境 Ubu...
简单栈溢出覆盖的思考
weixin_44222568的博客
09-15 547
1.main函数F5反编译: 两个函数,第二个是system()函数,执行括号中的shell命令,此处就是重复输hello world.(注:system()会调用fork()产生子进程, 由子进程来调用/bin/sh-c string 来执行参数string 字符串所代表的命令, 此命令执行完后随即返回原调用的进程. 比如,在代码程序内部想获取当前目录下的文件名,很简单,可以这样:system(“ls”);) 2.进入 vulnerable_function: 第一行,给buf缓冲区变量申请0x88字
逆向分析-栈栈溢出原理与实践(控制执行流程
weixin_57421069的博客
10-28 411
0day安全:软件漏洞分析技术,栈溢出原理与实践,执行简单的跳转
DigApis_CTF 2019 Online Web WP
resdust的博客
07-18 430
190718DiaApis训练营北邮线上赛
ctf-DNS信息收集
panwanpeng的专栏
05-29 369
该工具的主要重点是分析通过互联网访问的数据之间的真实世界关系,其中包括足迹互联网基础设施和收集有关拥有该网络的人员和组织的数据。通过使用OSINT(开源情报)技术,通过查询whois记录,社交网络,DNS记录,不同的在线API,提取元数据和搜索引擎来搜索这些数据之间的连接。该工具将提供广泛的图形布局结果,允许对数据进行聚类,使关系准确和即时。(4)指定地区端口: city:beijing port:80。(3) 端口查询: port:80 3389。3、使用dig命令 传参 any。
BUUCTF-Dig the way
Power Security的博客
07-10 237
这里写目录标题算法分析解题思路 算法分析 查看整个程序流, v14 = func0; //交换两个变量的值 v15 = func1; //结果可为正可为负,当第三个参数的指向的值为 //0xffffffff时,返回结果为0 v16 = func2; //恒为正数 v8 = 0; v9 = 1; v10 = 2; v11 = 3; v12 = 3; v13 = 4; v19 = fopen("data", "rb"); if ( !v19 )
CTF-安恒19年一月月赛部分writeup
weixin_34117211的博客
01-27 1717
CTF-安恒19年一月月赛部分writeup MISC1-赢战2019 是一道图片隐写题 linux下可以正常打开图片,首先到binwalk分析一下。 里面有东西,foremost分离一下 有一张二维码,扫一下看看 好吧 不是flag,继续分析图片,在winhex没有发现异常,那么上神器StegSolve分析一下 第一次翻了一遍图层没发现,眼瞎第二次才看见 ...
CTF-安恒18年十二月月赛部分writeup
weixin_34255055的博客
12-22 727
CTF-安恒十二月月赛部分writeup 这次题目都比较简单蛤,连我这菜鸡都能做几道。 WEB1-ezweb2 打开网站,啥也没有,审计源代码,还是啥都没有,也没什么功能菜单,扫了一下目录,扫到了admin.php,但是提示:你不是管理员。好吧,抓个包看看 解一下码--: 将user改为admin,发现直接跳转到了admin.php页面。 这个框试了一下是可以执行命...
CTF-安恒19年二月月赛部分writeup
weixin_33968104的博客
02-26 1661
CTF-安恒19年二月月赛部分writeup MISC1-来玩个游戏吧 题目: 第一关,一眼可以看出是盲文,之前做过类似题目 拿到在线网站解一下 ??41402abc4b2a76b9719d911017c592,那么就奇怪了,这个??是什么东西,数一下加上??正好32位,应该是个MD5了,索性直接百度一下, 第一关答案出来了,试过了MD5值不对,hell...
变量覆盖漏洞分析:从BUUCTF-Web-Mark loves cat挑战看PHP安全
此外,还介绍了如何利用变量覆盖漏洞,并通过一个具体的CTF(Capture The Flag)挑战实例来展示如何通过分析网站源代码和利用.git泄露来获取敏感信息。" 在PHP编程中,变量覆盖漏洞是一个重要的安全问题,它发生在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值