攻防世界-pwn forgot(栈内变量覆盖)

最新推荐文章于 2022-09-08 22:58:59 发布
最新推荐文章于 2022-09-08 22:58:59 发布
阅读量758 收藏
点赞数 2
分类专栏: ctf_pwn 文章标签: 栈覆盖
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinying001/article/details/102573772
版权

在这里插入图片描述

0x01 文件检查

在这里插入图片描述

  • 32位elf
  • 无栈保护
  • 无地址随机化

0x02 程序运行分析

在这里插入图片描述
 发现有两个输入的地方,并且第一个地方有回显。

0x03 IDA分析

在这里插入图片描述
在这里插入图片描述
 如图,阅读程序结构后,发现第二个输入点(41行)可以进行栈溢出,第88行是调用的栈里面的函数地址,所以,如果将栈里面的*(&v3 + --v14)这个地址的内容变成我们需要的函数地址,就可以了。
在这里插入图片描述
在这里插入图片描述
 搜索字符串,发现有关于flag的字符串,并跳转到引用该字符串的函数,发现函数直接可以获取flag,所以,这就是一个栈内部的变量覆盖。
在这里插入图片描述
 关注这个循环里面的内容,里面相当于正则表达式的判断,但是你仔细分析里switch中的函数时,可以发现没有判断大写字符的地方,我们可以注入大写字符,来达到不改变v14的值的效果。

0x04 思路分析

 可以确定的是栈上面的变量覆盖,但是覆盖地址的时候需要注意*(&v3 + --v14)这个式子,我们需要把函数地址放到这个地址上面(&v3是栈上面的地址,其计算是按照字节来计算而不是位,所以做的时候要注意计算的答案)。由于v14的初始值为1,并且里面正则判断的时候没有关于大写字符的判断,我们就可以直接写入大写字符覆盖v2,并将v3覆盖为我们需要的函数的地址,就可以拿到flag。

0x05 exp

from pwn import *
p = process('./forgot')
p.recv()
p.sendline('ShadowQ')
p.recv()
p.sendline('A'*32+p32(0x080486cc)))
p.interactive()

自己创建的网络安全公众号,欢迎各位朋友们关注!

在这里插入图片描述

影子019
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CTF PWN之精确覆盖变量数据
m0_59598029的博客
07-30 193
刚开始接触pwn的朋友在做pwn练习时可能会有这样的疑问,怎么做到精确覆盖变量数据呢?我们做pwn练习之前需要先知道:命令行参数C语言的main函数拥有两个参数,为int类型的argc参数,以及char**类型argv参数。其中argc参数的值表示命令行参数的个数,而argv则指向一个字符串数组,该数组存储了具体的命令行参数的内容。这里就用今天的实验,给大家介绍一下!看下面的例子 打印命令行参数信息的示例代码(位于/home/test/2目录下):​注意程序本身的名字为命令行的第一个参数。
CTF-PWN练习之返回地址覆盖
ChuMeng1999的博客
01-05 804
目录预备知识一、相关实验二、函数调用约定三、基本的缓冲区溢出攻击模型实验目的实验环境实验步骤一源码审计实验步骤二使用gdb调试程序实验步骤三发起溢出攻击 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《CTF-PWN练习》、《CTF-PWN练习之精确覆盖变量数据》、《CTF PWN练习之函数指针改写》等试验。 二、函数调用约定 函数调用约定描述了函数传递参数的方式和协同工作的技术细节,不同的函数调用约定原理基本相同,但在细节上是有差别的,包括函数参数的传递方式、参数的入顺序、函数返回时由谁来平
PWN入门(3)覆盖上的变量
Ba1_Ma0的博客
09-08 572
有什么不会或者是错误的地方的可以私信我,看到必回。
CTF | PWN练习之精确覆盖变量数据
qq_42646885的博客
07-27 1424
预备知识: 1、命令行参数 C语言的main函数拥有两个参数,为int类型的argc参数,以及char**类型argv参数。其中argc参数的值表示命令行参数的个数,而argv则指向一个字符串数组,该数组存储了具体的命令行参数的内容。程序本身的名字为命令行的第一个参数。 2、xargs命令 Linux的xargs命令可以将输入数据当做命令行参数传给指定的程序。 3、字节序 字节顺序,又...
[攻防世界]forgot
逆向萌新的博客
06-21 221
[攻防世界]forgot详解
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
mqtt-pwn:MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式服务
05-02
MQTT-PWN MQTT是一种机器对机器的连接协议,被设计为一种极其轻量级的发布/订阅消息传递,并已被全球数百万个IoT设备广泛使用。 MQTT-PWN打算成为IoT Broker渗透测试和安全评估操作的一站式商店,因为它结合了枚举...
攻防世界pwn题:forgot.doc
07-13
本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、溢出攻击、return-to-libc攻击、get_flag函数、...
攻防世界pwn题:forgot
m0_62396648的博客
06-05 497
该文件是32位的,canary和PIE保护机制没开。总览:该函数就是:v5初值为1,对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数。同时,发现文件里面已经含有cat flag的函数: 函数snprintf介绍: printf("cat %s", "./flag")是将cat ./flag输出到屏幕上。 snprintf(s, 0x32, "cat %s", "./flag")是最多将后
攻防世界PWN)forgot
苗_的博客
10-12 257
感觉有些wp写的不是特别详细,当时我看的时候有的地方也是看不太懂... 先拖进ida中看一下: 找到溢出点,因为我们分配给了v2 32byte的内存,但是scanf不限制长度,所以这里可以溢出。 第88行就是决定程序走向的语句了。 初步思路就是上的变量覆盖,在v2这里溢出,覆盖掉v3,然后让程序走到sub_80486CC: 既然我们要覆盖v3,那么根据(&v3+ --v14)我们需要让v14的值不变,因为v14 = 1则--v14 = 0,这样程序就会顺利的走到v3. 观察
攻防世界--进阶区--forgot
Rt1Text的博客
06-19 281
32位/只有NX保护输入的地方,是溢出点__isoc99_scanf("%s", v2);fgets(s, 32, stdin);fgets函数对输入的数据有限制,所以不会造成溢出 可以拿到flag的函数地址 main函数的内容还挺多的,1张没截完第二张是一个for循环额...........最后一行的代码不是很好看,查了查,可以看看它的汇编应该是调用v3[--v5]的一个函数[esp+78h]就是v5的位置要是可以控制v5也就可以调用函数了在for循环内v5的值一直在发生改变,所以不能让v5进入循环让v
攻防世界PWN刷题-forgot
m0_53932372的博客
12-30 2269
forgot 这题,可有意思了。 大晚上的,有点迷。看了几个wp,一个比一个离谱(太简单了)。 后来自己试了试,还真是······ 思路:本题出现了指针变量并且进行了调用,所以可以利用溢出漏洞将该地址覆盖为后门函数的地址,让程序正常执行就可以拿到flag。 坑:一定要注意啊对v5的判定。 v5初值为1,进过下面的判断等操作后,其值被改变,而v5的值决定了程序调用那个指针所指的位置。 exp一定要注意,输入的v2的第一个字符,决定了v5的值。 当输入a的时候,经过判定,v5会变成2,则调用第2-1=1,也
C表达式((void (*)(void))0();
雾里看花
11-17 1714
C表达式((void (*)(void))0();通过一步步来讲解: 没有参数和不返回值void f(void)定义一个指针没有参数和返回值void (*p)(void)定义一个仅有类型的指针(void(*))(void)定义一个强转类型(类型定义在括号内,跟着一个值)(void (*)(void))0到目前为止我们定义了一个由0强转成一个指向函数且返回值。这个转换时一个指针到函数的类型。(yo
攻防世界(Pwn) forgot---溢出;(方法二)
半岛铁盒的博客
03-02 317
攻防世界(Pwn) forgot溢出;(方法一) 里面对问题描述的更详细一点 返回目标函数 0x80486CC 方法二(爆破流) 因为最终返回的是 v3[0]-v3[9] 之中的一个函数, v3[--v5] v5的值随着for循环 会发生改变 v2输入是溢出点 v2,v3两组数据在上是相邻的, v2的长度大于 20h之后就会覆盖v3的返回值了 干脆把v3[0]-v3[9]函数全部改为目标函数的地址就可以了:0x80486CC 此时无论v5等于什么,我们都会得到目标 fla
PWN练习之精确覆盖变量数据
WateranFire的博客
09-05 1269
做合天上这一节时,有一个汇编上关于main函数参数的问题。 一般在进入函数后,首先执行push ebp;mov ebp,esp; 此时EBP指向的区域数据内容是这样的(从上到下由低位向高位) 原EBP        (EBP指向此处) 返回地址 argc argv   所以此后提到argc时,用[EBP+8]表示,提到argv
pwn 练习笔记 覆盖内存地址
SsMing的博客
09-02 1393
目录   覆盖内存地址  protostar stack2 protostar format3 ssh copy文件报错 覆盖内存地址 根据ctfwiki学习 小于机器字长的数字,因为之前覆盖的方法把地址放在最前面,所以覆盖后,最小值也是4,如果是小于4的数字 可以把地址放在后面 覆盖大数字,构造通用函数如下: def fmt(prev, word, index):   ...
攻防世界pwn-forgot
最新发布
08-10
- *2* *3* [攻防世界PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值