攻防世界forgot

最新推荐文章于 2022-06-21 14:26:19 发布
最新推荐文章于 2022-06-21 14:26:19 发布
阅读量119 收藏
点赞数
文章标签: python switch linux ubuntu pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25044201/article/details/112283278
版权

在这里插入图片描述
在这里插入图片描述
我们用ida来看一下

int __cdecl main()
{
  size_t v0; // ebx
  char v2[32]; // [esp+10h] [ebp-74h]
  int (*v3)(); // [esp+30h] [ebp-54h]
  int (*v4)(); // [esp+34h] [ebp-50h]
  int (*v5)(); // [esp+38h] [ebp-4Ch]
  int (*v6)(); // [esp+3Ch] [ebp-48h]
  int (*v7)(); // [esp+40h] [ebp-44h]
  int (*v8)(); // [esp+44h] [ebp-40h]
  int (*v9)(); // [esp+48h] [ebp-3Ch]
  int (*v10)(); // [esp+4Ch] [ebp-38h]
  int (*v11)(); // [esp+50h] [ebp-34h]
  int (*v12)(); // [esp+54h] [ebp-30h]
  char s; // [esp+58h] [ebp-2Ch]
  int v14; // [esp+78h] [ebp-Ch]
  size_t i; // [esp+7Ch] [ebp-8h]

  v14 = 1;
  v3 = sub_8048604;
  v4 = sub_8048618;
  v5 = sub_804862C;
  v6 = sub_8048640;
  v7 = sub_8048654;
  v8 = sub_8048668;
  v9 = sub_804867C;
  v10 = sub_8048690;
  v11 = sub_80486A4;
  v12 = sub_80486B8;
  puts("What is your name?");
  printf("> ");
  fflush(stdout);
  fgets(&s, 32, stdin);
  sub_80485DD((int)&s);
  fflush(stdout);
  printf("I should give you a pointer perhaps. Here: %x\n\n", sub_8048654);
  fflush(stdout);
  puts("Enter the string to be validate");
  printf("> ");
  fflush(stdout);
  __isoc99_scanf("%s", v2);
  for ( i = 0; ; ++i )
  {
    v0 = i;
    if ( v0 >= strlen(v2) )
      break;
    switch ( v14 )
    {
      case 1:
        if ( sub_8048702(v2[i]) )
          v14 = 2;
        break;
      case 2:
        if ( v2[i] == 64 )
          v14 = 3;
        break;
      case 3:
        if ( sub_804874C(v2[i]) )
          v14 = 4;
        break;
      case 4:
        if ( v2[i] == 46 )
          v14 = 5;
        break;
      case 5:
        if ( sub_8048784(v2[i]) )
          v14 = 6;
        break;
      case 6:
        if ( sub_8048784(v2[i]) )
          v14 = 7;
        break;
      case 7:
        if ( sub_8048784(v2[i]) )
          v14 = 8;
        break;
      case 8:
        if ( sub_8048784(v2[i]) )
          v14 = 9;
        break;
      case 9:
        v14 = 10;
        break;
      default:
        continue;
    }
  }
  (*(&v3 + --v14))();
  return fflush(stdout);
}

刚从新手区出来看这个题蒙蒙的,除了string那个题长的题就是这个题了。
当然shift+F12看了看字符串发现
在这里插入图片描述
在这里插入图片描述
有个后门函数,所以实质就是修改返回地址到这个入门函数就能得到flag
然后我们看看有没有gets函数啥的
发现
在这里插入图片描述
在这里插入图片描述

只有这两个才能输入,但是都造不成栈溢出的情况
发现最后一句
在这里插入图片描述
这是个指针函数,会直接运行该函数。刚开始我没看懂+ --是啥意思,原来是v3的地址加上(v14-1)。所以我们想把(&v3 + --v14)这个地址变成0x80486CC直接获得flag。当然关键是前边的switch语句,v14最大为10,当然改它不现实,只能改v3 我们发现
在这里插入图片描述
在这里插入图片描述
输入v2正好能覆盖了v3,所以我们就能改v3为0x80486CC,使v14始终为1
在这里插入图片描述
前提是不为这些所以我们输入A
在这里插入图片描述
ok

小李建
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界 forgot
10-04 1262
1.题目 2.IDA分析 3.流程分析 流程:输入名字,邮箱,邮箱校验完,执行v3+--v14处的代码。v3原本指向sub_8048604的,我们发现sub_80486CC才是我们需要运行的函数。 思路:①为了避免v14影响结果,输入字符避免进入case判断。②通过输入邮箱进行栈溢出覆盖v3的内容,使它指向sub_80486CC。exp如下: from pwn import * #io = process('./level2') io = remote('220.249.52...
forgotpassword
03-14
标题"forgotpassword"提示我们这里可能涉及到一个关于如何在Python环境下实现忘记密码重置流程的项目。...通过对`forgotpassword-master`项目的研究,我们可以深入理解这一过程,并提升在Python Web开发中的技能。
[攻防世界]forgot
逆向萌新的博客
06-21 222
[攻防世界]forgot详解
攻防世界PWN)forgot
苗_的博客
10-12 258
感觉有些wp写的不是特别详细,当时我看的时候有的地方也是看不太懂... 先拖进ida中看一下: 找到溢出点,因为我们分配给了v2 32byte的内存,但是scanf不限制长度,所以这里可以溢出。 第88行就是决定程序走向的语句了。 初步思路就是栈上的变量覆盖,在v2这里溢出,覆盖掉v3,然后让程序走到sub_80486CC: 既然我们要覆盖v3,那么根据(&v3+ --v14)我们需要让v14的值不变,因为v14 = 1则--v14 = 0,这样程序就会顺利的走到v3. 观察
攻防世界)(pwn)forgot
PLpa的博客
07-21 2365
这题我也是想了好久啊,实在是没找到什么办法,后来还是把题目给摸透了根据经验一个个试出来的方法!!! 拿到题目下载附件查看保护: 只开了NX,嗯。。。 进入IDA,————惊了,这个是啥子意思??? 一大堆奇奇怪怪的东西,实在是看不懂,我们只能看看几个关键的输入点: 第一个输入name: 没有什么东西,进行看string v2 : 我们看到距离32的地方,有个0x54的函数指针: 找...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
uart.rar_forgot279
07-14
UART(通用异步接收发送器)是嵌入式系统中常用的一种串行通信接口,用于设备间的通信。TMS320C6748是一款高性能的数字信号处理器(DSP),由Texas Instruments(TI)公司生产,常用于音频、视频等应用。...
forgot pwn 入门题
02-11
pwn 入门题
Forgot Password.webarchive
12-24
Forgot Password.webarchive
攻防世界--进阶区--forgot
Rt1Text的博客
06-19 281
32位/只有NX保护输入的地方,是溢出点__isoc99_scanf("%s", v2);fgets(s, 32, stdin);fgets函数对输入的数据有限制,所以不会造成溢出 可以拿到flag的函数地址 main函数的内容还挺多的,1张没截完第二张是一个for循环额...........最后一行的代码不是很好看,查了查,可以看看它的汇编应该是调用v3[--v5]的一个函数[esp+78h]就是v5的位置要是可以控制v5也就可以调用函数了在for循环内v5的值一直在发生改变,所以不能让v5进入循环让v
攻防世界pwn题:forgot
m0_62396648的博客
06-05 497
该文件是32位的,canary和PIE保护机制没开。总览:该函数就是:v5初值为1,对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数。同时,发现文件里面已经含有cat flag的函数: 函数snprintf介绍: printf("cat %s", "./flag")是将cat ./flag输出到屏幕上。 snprintf(s, 0x32, "cat %s", "./flag")是最多将后
攻防世界-pwn forgot(栈内变量覆盖)
菜的只能随便写写博客
10-17 758
0x01 文件检查 32位elf 无栈保护 无地址随机化   0x02 程序运行分析  发现有两个输入的地方,并且第一个地方有回显。   0x03 IDA分析  如图,阅读程序结构后,发现第二个输入点(41行)可以进行栈溢出,第88行是调用的栈里面的函数地址,所以,如果将栈里面的*(&v3 + --v14)这个地址的内容变成我们需要的函数地址,就可以了。  搜索字符串,发...
攻防世界forgot——让人眼花目眩的一道题(详细菜鸡向)
weixin_48066554的博客
02-10 1490
攻防世界forgot——让人眼花目眩的一道题 今天做了一道攻防世界的进阶题,看起来复杂的一匹,但是实际上也就这吧 (随手关掉刚刚百度到的wp [doge]),做完后最直观的感受就是自己的代码阅读能力还有待提高。话不多说,先check个sec: 只开了NX(栈不可执行),四舍五入等于没开保护,直接上伪代码 反汇编伪代码如下: int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] BYREF _DWOR
攻防世界PWN刷题-forgot
m0_53932372的博客
12-30 2271
forgot 这题,可有意思了。 大晚上的,有点迷。看了几个wp,一个比一个离谱(太简单了)。 后来自己试了试,还真是······ 思路:本题出现了指针变量并且进行了调用,所以可以利用栈溢出漏洞将该地址覆盖为后门函数的地址,让程序正常执行就可以拿到flag。 坑:一定要注意啊对v5的判定。 v5初值为1,进过下面的判断等操作后,其值被改变,而v5的值决定了程序调用那个指针所指的位置。 exp一定要注意,输入的v2的第一个字符,决定了v5的值。 当输入a的时候,经过判定,v5会变成2,则调用第2-1=1,也
攻防世界(Pwn) forgot---栈溢出;(方法二)
半岛铁盒的博客
03-02 322
攻防世界(Pwn) forgot—栈溢出;(方法一) 里面对问题描述的更详细一点 返回目标函数 0x80486CC 方法二(爆破流) 因为最终返回的是 v3[0]-v3[9] 之中的一个函数, v3[--v5] v5的值随着for循环 会发生改变 v2输入是溢出点 v2,v3两组数据在栈上是相邻的, v2的长度大于 20h之后就会覆盖v3的返回值了 干脆把v3[0]-v3[9]函数全部改为目标函数的地址就可以了:0x80486CC 此时无论v5等于什么,我们都会得到目标 fla
C表达式((void (*)(void))0();
雾里看花
11-17 1715
C表达式((void (*)(void))0();通过一步步来讲解: 没有参数和不返回值void f(void)定义一个指针没有参数和返回值void (*p)(void)定义一个仅有类型的指针(void(*))(void)定义一个强转类型(类型定义在括号内,跟着一个值)(void (*)(void))0到目前为止我们定义了一个由0强转成一个指向函数且返回值。这个转换时一个指针到函数的类型。(yo
攻防世界(Pwn) forgot---栈溢出;(方法一)
半岛铁盒的博客
03-02 684
介绍 这道题表面看起来有点复杂,其实很简单,有两种方法可以来做这一道题; 方法一 文件运行流程是: 1.先输入名字 2. 输入一串字符串 3.for循环验证字符串v5的值改变;4.返回v3[–5]函数; 1.溢出点 scanf函数 2.漏洞利用 最终返回的是 v3[--v5] 的一个函数, v5的值是在for循环之中改变的;v5的初始值是1; 把函数返回的目的地改为   0x80486CC就可以了; 只要修改 v3[0]-v3[9] 其中一个就可以了,这里选择修改v3[0] v3[--
攻防世界》forgot栈空间题
csdn546229768的博客
11-16 2977
哈哈哈,讲下这题的思路,拿到题目又是一大堆的字符串显示在控制台上,本想着又是一道逻辑题,披着逆向算法的外套,害,没办法继续分析 前面输入name用了fgets函数但是限制输入长度了,所以直接忽略,然后就是输入一个数对其进行简单的小算法了,我显示分析了一波算法,然后根据出题人的提示说这个,但是我好像还是摸不清题目的漏洞在哪里,就一直摸摸摸,先是简单的看了下全局伪代码,加上程序运行状况,发现你输入的数就算是通过了9层判断条件好像也是一样的打印一些字符串 这十个函数里面都是一样的没什么区别 然后出题人那个提示
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值