Xman pwn int_overflow writeup

最新推荐文章于 2021-07-07 23:33:26 发布
最新推荐文章于 2021-07-07 23:33:26 发布
阅读量563 收藏
点赞数
分类专栏: CTF pwn 文章标签: Xman pwn writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39596232/article/details/100062009
版权
本文分析了Xman pwn题目中int_overflow的漏洞利用过程。通过查看程序开启的NX保护和IDA分析,发现了一个由于strcpy函数导致的栈溢出。通过构造特定长度的password,可以绕过长度检查并覆盖EIP。利用存在的一段system("/bin/sh")代码,成功获取shell,从而得到flag。
摘要由CSDN通过智能技术生成

题目描述:

菜鸡感觉这题似乎没有办法溢出,真的么?

分析思路:

1、首先查看一下文件的详细信息,以及相关的安全机制:

tucker@ubuntu:~/pwn$ file int_overflow
int_overflow: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked,
interpreter /lib/ld-, for GNU/Linux 2.6.32,
BuildID[sha1]=aaef797b1ad6698f0c629966a879b42e92de3787, not stripped
tucker@ubuntu:~/pwn$ checksec int_overflow
[*] '/home/tucker/pwn/int_overflow'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

我们发现程序开启了NX,即栈不可执行,因此我们只能通过栈跳转到现有的代码。

2、打开IDA看一下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp+Ch] [ebp-Ch]

  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  puts("------
最低0.47元/天 解锁文章
tuck3r
关注
专栏目录
Xman pwn guess_num writeup
qq_39596232的博客
08-24 935
题目描述: 菜鸡在玩一个猜数字的游戏,但他无论如何都银不了,你能帮助他么 分析思路: 1、首先查看一下文件详细信息: tucker@ubuntu:~/pwn$ file guess_num guess_num: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter ...
攻防世界pwn——int_overflow
qq_62076255的博客
09-28 272
攻防世界pwn——int_overflow
date类型数据年月拼接_PWN——那些年坑过我们的数据类型
weixin_26976635的博客
01-18 148
文章来源:安全客原文链接:PWN--那些年坑过我们的数据类型 - 安全客,安全资讯平台引言老铁们我来填坑啦!本人安全客上一篇内核pwn的坑还记得吧?就是关于无符号整型使用不当的漏洞利用,最后传进去的长度值为啥是0xffffffffffff0000|0x100,不着急,我们从基础开始介绍,这篇文章的要点包括:陌生的数据类型:文档+汇编整数溢出漏洞无符号整型使用不当漏洞数据类型是个很基础又很细节的东西...
简单的整数溢出
KKABqN
03-25 3343
文章目录0x01为什么会存在整数溢出0x02 整数溢出原理0x03 整数溢出例子分解一、截断二、有(无)符号数之间的转换三、有(无)符号的四则运算0x03 实战0x04 附录0x05 尾记 0x01为什么会存在整数溢出 回答这个问题前,我们需要了解下整数在计算机的存储方式。在计算机中,因为二值逻辑,只有开和关(通电、断电)来表示两种状态,这刚好与"0"、"1"相对应,因此在存储单元都是以0和1来.........
攻防世界-wp-PWN-新手区-8-int_overflow
Scorpio_m7
03-10 272
题目描述: 菜鸡感觉这题似乎没有办法溢出,真的么? 题目场景 111.200.241.244:44057 题目附件: 51ed19eacdea43e3bd67217d08eb8a0e 题目思路: 整数分为有符号和无符号两种类型,有符号数以最高位作为其符号位,即正整数最高位为1,负数为0,无符号数取值范围为非负数。unsigned short int类型占用2字节,取值范围0~65535。 解题过程: 对于一个2字节的Unsigned short int型变量,它的有效数据长度为两个字节,当它的数据长度超过
int_overflow [XCTF-PWN]CTF writeup系列9
重新启程
12-20 968
题目地址:int_overflow 先看看题目内容: 这道题目的名字已经把漏洞说明白了,就是整数溢出漏洞 那我们就照例下载文件,检查保护机制 root@mypwn:/ctf/work/python# checksec abd631bc00e445608f5f2af2cb0c151a [*] '/ctf/work/python/abd631bc00e445608f5f2af2cb0c...
ASIS-CTF-Finals-2017 pwn Mary_Morton Writeup
qq_39596232的博客
09-03 638
题目描述: ASIS-CTF-Finals-2017 非常简单的热身pwn 分析思路: 1、首先查看文件的安全信息: tucker@ubuntu:~/xman/pwn$ file Mary_Morton Mary_Morton: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interp...
Xman pwn level0 writeup
qq_39596232的博客
08-23 1605
题目描述: 菜鸡了解了什么是溢出,他相信自己能得到shell 解题思路: 1、拿到文件,首先查看一下文件类型: tucker@ubuntu:~/pwn$ file level0 level0: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, fo...
Unicode-XMan.rar_beta
09-24
**Unicode-XMan.rar_beta** 是一个压缩包,包含 **Unicode XMan Version 1.0 Beta (20090910)** 的资源,主要用于查看和理解Unicode字符。这个工具是一个早期的测试版本,发布于2009年9月10日,旨在帮助用户探索...
int_overflow--writeup
ATFWUS的博客
03-02 622
文件下载地址: 链接:https://pan.baidu.com/s/1RiL_dBXGdIRsz76Nw0Mj2w 提取码:s8sy 目录 0x01.分析 checksec: 看下源码: 理清一下流程: 寻找一下漏洞: 利用漏洞攻击: 0x02.exp 0x01.分析 checksec: 32位程序,开启了NX。 看下源码: 理清一下流程:...
攻防世界 pwn 新手练习区 int_overflow
ChaoYue_miku的博客
07-07 1078
题目描述:菜鸡感觉这题似乎没有办法溢出,真的么? ** 0、使用checksec检查保护,尝试打开文件 ** 开启了NX保护和部分RELRO,而且是一个32位文件 chmod +x filename 是获取执行权限的命令 执行文件发现有两处输入:用户名和密码 题目提示已经很明显了,整数溢出 ** 1、使用IDA 32 Pro打开文件 ** 查看main函数 输入1之后会执行login()函数,我们跟进查看login()函数 两个read()函数都不存在栈溢出,之后还有一个check_passwd()函
Pwn with File结构体(二)
weixin_30340353的博客
08-03 159
前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 最新版的 libc 中会对 vtable 检查,所以之前的攻击方式,告一段落。下面介绍一种,通过修改 _IO_FILE 实现任意地址读和任意地址写的方式。 正文 _IO_FILE 通过这些指针,来读写数据。 如果我们修改了它们,然后通过一些文件读写函数时,我们...
Pwn_1 快速入门 bluewhale
weixin_30323961的博客
02-02 185
装东西 sudo apt-get install nasm,gcc,gdb,binuntils,hexedit sudo apt-get install libc6-dev-i386 pip install pwntools Qira使用 chmod 777 ./pwn1 qira -s ./pwn1 动态分析 GDB 基本命令 run disas function na...
180123 逆向-Xman结营赛(xkey、若隐若现)
whklhhhh的博客
01-24 572
1625-5 王子昂 总结《2018年1月23日》 【连续第480天总结】 A. 结营赛xkey、若隐若现 B. xkey 在被DecodeMe绕的晕头转向以后无奈换了一个题目做,简单明了地把onclick摆在脸上、调用JNI方法真是让我感动的不行 一安装就因为模拟器的API版本过低,报错了╮(╯_╰)╭只好Patch掉MiniApi再重打包 上来能看到反调AntiDebug和签
攻防世界(pwn)echo_back writeup
xidoo1234的博客
04-10 631
直入主题
红帽杯pwn1+Xman level3 wp
weixin_44031198的博客
11-24 261
1 ROP 这两道题的核心思想是ROP,ROP(返回导向编程),通俗的说,就是溢出后使用返回函数跳转到目标。一般来说,ROP应用在不能直接shellcode的情况下(NX开启时shellcode不能写入内存),具体了解ROP见wiki。 2 pwn1分析 检查程序:开启NX保护,不能写shellcode;32位linux 看代码:发现一个scanf,输入写在内存,考虑通过scanf控制...
xman_2019_nooocall(pwn里基于时间的盲注)
seaaseesa的博客
04-30 704
xman_2019_nooocall 首先,检查一下程序的保护机制 沙箱机制禁用了所有的系统调用 然后,我们用IDA分析一下,我们可以输入并执行16字节shellcode。然后问题在于系统调用全部被禁用。 程序一开始的时候使用了fopen打开了flag,并且将flag读取到了内存里。然后,当执行shellcode的时候,我们发现,栈里有FILE结构体的地址。 FILE...
XMAN := xman -prj ${PRJ_NAME}详细解释解释上述makefile
最新发布
04-28
这是一个 Makefile 中的变量赋值语句,它将 xman 变量的值设置为 `${PRJ_NAME}` 变量的值,并在变量名称前添加了 `-prj` 前缀。这个 Makefile 似乎是为了某个工程项目(即 `${PRJ_NAME}`)而编写的,XMAN 变量可能用于指定编译或构建过程中的某些操作或参数。更具体的解释需要了解这个 Makefile 的上下文和项目背景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值