攻防世界PWN进阶区(stack2)

最新推荐文章于 2023-05-30 22:43:42 发布
最新推荐文章于 2023-05-30 22:43:42 发布
阅读量875 收藏 3
点赞数
分类专栏: pwn 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43681242/article/details/104077461
版权
stack2哈,我又回来了这个题呢,基本rop,但有几个点比较难弄…比如:偏移不好求,环境中没有/bin/bash等…言归正传,我们先看一下基本信息32位程序,有NX,有Canary。运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA通过观察main函数伪代码我们可以发现上图这个位置有点小问题这个时对数据进行...
摘要由CSDN通过智能技术生成

stack2

哈,我又回来了
在借助了诸多wp后终于把这道题弄明白了,记录一下
在这里插入图片描述
32位程序,有NX,有Canary。
在这里插入图片描述
运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA
在这里插入图片描述
通过观察main函数伪代码我们可以发现上图这个位置有点小问题
这个时对数据进行修改的部分的代码,但可以发现他并没有对v5这个变量进行审查。这代表着什么呢,这代表着我们可以修改数组以及数组后面的任何数据。
ok,接下来来思考如何利用这个点
在左侧的函数栏里我们可以发现一个有意思的函数名“hackhere”,点进去后可以发现里面有我们需要的system(“/bin/sh”),那么思路就很清晰了,我们只要找到一个可以利用的函数,将它的返回值改成我们需要去的地方就行了

纵观全文可以发现能利用的也就main函数了,利用位置也就是上面我们发现有小问题的哪儿。
可以发现那一处是更改数组中元素的值,那么,如果要更改返回位置的话我们就要去计算main函数返回位置距离数组的偏移是多少了。

整个题的难点在我看来就是这儿了,不知道其他师傅怎么弄的,我是费了好半天功夫了(感谢那些写wp的师傅们,辛苦了)…
以下借助faceless师傅的思路和过程

因为程序在一开始会给数组赋初值,并且这个过程是我们可以参与的。
考虑到一般的数组赋值会从首位开始,我们可以猜想,如果我们知道我们写入程序的第一个数据的存储位置是否我们就知道了数组的首地址?

那么首先,我们来求这个地址

程序一开始会给数组赋值,我们来看一下这一块的伪代码和汇编
在这里插入图片描述

在这里插入图片描述

最低0.47元/天 解锁文章
布医_
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
攻防世界 stack2
10-07 492
1.题目 2.IDA分析 3.分析 本地存在明显的数组越界漏洞,选择3修改数据时,没有检查是否越界,直接操作指针进行修改。所以我们只要利用这个漏洞构造system的调用即可(注意,function的hackhere方法不可用,调用会提示不存在bash。。。) 所以这道题目最难在于addr_buf与addr_ret之间的距离。一开始看ida的栈信息,以为是74h,结果溢出失败。 这种情况很明显是编译器做了什么处理,所以只能动态调试。 在show data方法里面下断点,位置:0x80
攻防世界pwn——stack2
qq_62076255的博客
12-18 580
攻防世界pwn——stack2做题记录
攻防世界pwn题--stack2
L0g1c的博客
10-31 497
查看保护机制 (有栈不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
攻防世界 pwnstack writeup
m0_73605862的博客
05-30 843
Step5:shift+F12查看字符串发现/bin/sh,进入发现后门函数,查看地址(ctr+x)发现为:0x400762。Step6:编写exp,输入后,ls查看文件,然后发现有一个叫flag的文件,cat查看文件,得到flag。【来源】(攻防世界)https://adworld.xctf.org.cn/challenges/list。Step4:进入vuln()函数查看一下,发现有一个buf,查看发现从0xA0到0x08。Step3:发现main函数,f5查看伪代码(如果键被占用,fn+f5)。
攻防世界pwn-stack2学习记录
Hotspurs的博客
11-18 1343
pwn新手一枚,做这题时苦苦没找出来题解上说的0x84偏移,经过多次尝试,终于找到了正确的方式,遂以记录。 首先分析漏洞点: 当选择3.change number时,程序没有对输入的v5进行检测,遂可以产生溢出 之后看到程序给了getflag 开启动态调试,此时在v13[v5] = v7;处下断点。 如图所示输入 转到汇编指令,查看这个地址(edx存的就是输入9,看看他把9...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
pwn07.ret2syscall例题
11-11
ret2syscall例题
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
入门pwn题目ret2text
03-26
入门pwn题目ret2text
2019.7.26 攻防世界Stack2 以及gdb 和IDA算偏移
DSR446的博客
08-19 2459
我们很明显这里有一个数组越界的漏洞我们可以利用。 [这个博客写的很详细]https://blog.csdn.net/qq_41071646/article/details/86600053 下面我就只介绍一下怎么算的偏移。 ...
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3409
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
攻防世界stack2逻辑漏洞题
csdn546229768的博客
11-16 3674
到了进阶题目越来越好玩了,发现解出来一道题有解数学那味了 嗯,拿到题目一看逻辑题,做题刚打完比赛(第一次)被逆向和pwn的逻辑题给整怕了,这次遇到这种题目,我选择硬刚! 首先读懂题目的内在逻辑,并关注常见的pwn漏洞,首先一步步分析 这里有个循环100次接收输入,全局的看了下都是在对buf操作,先标志一手,但是这里无法产生溢出,那么看下面 首先看到for里面初始化j = v5 ,那么这个j也就是我们可控的标记一下,然后就是死循环,每次循环后调用一次printf select1就是显示所有值、select
攻防世界-web -高手进阶-PHP2
wyj_1216 House
07-09 9969
题目 writeup 首先发现源码泄露 /index.phps 查看源代码 即: <?php if("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "admin") { e...
攻防世界 二(进阶篇)
sjt670994562的博客
06-06 1545
re-for-50-plz-50 该题比较简单,直接ida分析就可以,虽然不能出伪代码,但单看汇编就行 首先看到一串字符串,估计进行转码 看到异或 尝试python转码,得到flag The_Maya_Society 这几天来比较让我头秃的题目,脑洞题吧,可以取巧的那种,真的头秃还是实力不行,首先扔到ida静态分析,看到一个取时间的函数 所以跟时间肯定有关系,经搜索找到关键函数,打开观察...
攻防世界misc 高手进阶 (慢慢更
weixin_43928140的博客
05-29 5276
菜鸡生活某一天 0x 01 Excaliflag 毕竟第一题嘛 肯定不难得 只要你想得到 他就不会难的 所以这个题目直接给思路啦 神器stegSolve 加油姐妹 0x 02 签到题 base64很明显,先解密得到 ggQ@gQ1fqh0ohtjpt_sw{gfhgs#} 然后猜到有栅栏了,但是发现都没用,所以栅栏前面肯定还有,后面发现是凯撒 所以这个就自己去试一下把,先凯撒再栅栏,注意大小...
攻防世界萌新入门(1)
weixin_44319142的博客
04-07 2468
cgpwn2 首先查看一下 开心的萌新题目,只开了nx嘻嘻嘻嘻嘻嘻嘻 只有hello()函数需要看看 程序里边儿就有system函数可以直接调用哈哈哈哈 不过没有“/bin/sh”的字符串,所以要写进去,要写到bss,怎么写呢,我记得原来只用过read,这里有fgets,点进去看到name是一个全局变量,在bss 利用这个把/bin/sh写进去,然后,利用gets函数覆盖返回地址到syst...
攻防世界pwn难度1
weixin_63282980的博客
11-05 1625
攻防世界难度1的题目WP
xctf pwn高手进阶题之stack2
neuisf的博客
01-25 307
程序读取一个数字n,然后根据数字n读取数字到缓冲,在执行需修改操作时为判断是否越界,而是根据用户输入的数字进行修改,造成堆栈地址内容修改。只需修改返回值即可。此题提供了hackhere函数输出flag,本地执行正常,远程出错,提示找不到/bin/bash。此处,技巧是执行system(’sh’)代替system(’/bin/sh’)。 exp: from pwn import * p=remot...
攻防世界 pwn repeater
最新发布
09-13
攻防世界是一个CTF竞赛平台,其中包含了各种类型的题目,包括pwn和repeater题目。根据引用中提到的信息,攻防世界标记的难度可能不准确。这可能是因为题目的实际难度与标记的难度不一致,导致出现了这种情况。 至于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值