Stack2 攻防世界题目分析

最新推荐文章于 2022-12-18 23:07:11 发布
最新推荐文章于 2022-12-18 23:07:11 发布
阅读量1k 收藏
点赞数 1
分类专栏: ctf 文章标签: 安全 字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shanwei274/article/details/115821681
版权
本文详细分析了XCTF 4th-QCTF-2018中的一道栈溢出题目,探讨了开启Canary保护的32位程序的攻防策略。通过IDA查看,发现无法简单利用溢出修改返回地址,而是需要精确狙击栈帧中特定位置。在理解程序执行流程和栈布局后,利用system('sh')来获取shell。此外,文章还总结了从该题中学到的知识点和未来需要学习的技能。
摘要由CSDN通过智能技术生成

—XCTF 4th-QCTF-2018

前言,怎么说呢,这题目还是把我折磨的可以的,我一开始是没有看到后面的直接狙击的,只能说呢。

我的不经意间的粗心,破坏了你许多的温柔

1.气的我直接检查保护:

在这里插入图片描述
32位程序,开启了canary保护。

2.ida查看:

在这里插入图片描述
在这里插入图片描述
首先放的第一幅图片呢,是我一开始以为可以溢出的,也可以看见我旁边标注了一个maybeoverflow。

  • 但是是不可以的,因为首先由于这里的 i 最大上限100,可能有的人头铁就要说了,这里v7可以慢慢溢出去修改i,(和我一样)
    可是这里v13的存储位置是和i有关的,所以不可能让你能一直溢出,后面看到了canary,我又去找了找格式化漏洞,没有找到,最最最离谱的是:
    我居然想着去修改tls字段的canary数值和canary数值(有这个方法,但是这里用不了)

最后看到当我输入3的时候,那里有一个非常明显的定向狙击。

那就很简单了,去开心的写exp,确定 偏移量为74
在这里插入图片描述
那就v13[0x74]=???v13[0x75]=???

结果就是失败,为什么呢???
答案是这道题它后面会对栈帧做一定调整,也就是ebp上面一位高地址的地方并不是返回地址,我们这里可以结合着汇编代码看一下
在这里插入图片描述
在没有运行结束前,ebp下一位标的返回地址是0xffffd15c,但是我们看看ida里面的代码:

最低0.47元/天 解锁文章
二十岁的编程男神王大爷
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
攻防世界 stack2
10-07 496
1.题目 2.IDA分析 3.分析 本地存在明显的数组越界漏洞,选择3修改数据时,没有检查是否越界,直接操作指针进行修改。所以我们只要利用这个漏洞构造system的调用即可(注意,function区的hackhere方法不可用,调用会提示不存在bash。。。) 所以这道题目最难在于addr_buf与addr_ret之间的距离。一开始看ida的信息,以为是74h,结果溢出失败。 这种情况很明显是编译器做了什么处理,所以只能动态调试。 在show data方法里面下断点,位置:0x80
攻防世界PWN进阶区(stack2)
BurYiA的博客
01-26 881
stack2 哈,我又回来了 这个题呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问题 这个时对数据进行...
攻防世界pwn——stack2
最新发布
qq_62076255的博客
12-18 595
攻防世界pwn——stack2做题记录
攻防世界高手进阶区——stack2
weixin_62675330的博客
02-24 935
攻防世界高手进阶区——stack2 看题目啥都没有 一,分析文件 checksec 发现居然存在溢出保护,这是以前做题没看到过的,可能会有新的知识点。 运行文件 貌似是一个输入数字计算平均值的程序。 ida打开 unsigned int m; // [esp+34h] [ebp-74h] char v13[100]; // [esp+38h] [ebp-70h] unsigned int v14; // [esp+9Ch] [ebp-Ch] v14 = __readgs
攻防世界-stack2-Writeup
SkYe's Blog
05-13 512
stack2 题目来源: XCTF 4th-QCTF-2018 [collapse title=“展开查看详情” status=“false”] 考点:数字下标溢出 保护情况: Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 漏洞函数: puts("which numb
Apress - Pro MERN Stack, 2nd.2019.epub
06-07
Apress - Pro MERN Stack, 2nd.2019.epub Apress - Pro MERN Stack, 2nd.2019.epub
stack-2&3__数据结构_后缀表达式_Stack2_stack2_
10-03
在计算机科学中,数据结构是组织、存储和处理数据的方式,而是一种常见的线性数据结构,具有“后进先出”(LIFO)的特性。...通过分析和实践`stack-2&3.py`,我们可以深化对这些概念的理解,并提升我们的编程技能。
深入分析JAVA Vector和Stack的具体用法
08-28
深入分析JAVA Vector和Stack的具体用法 JAVA 中的 Vector 和 Stack 是两个重要的数据结构, Vector 是一个线程安全的动态数组,而 Stack 是一个继承自 Vector 的结构。本文将对 Vector 和 Stack 进行深入分析,...
基于Elastic Stack的数据探索与分析
03-02
基于Elastic Stack的数据探索与分析一文由来自Elastic的曾勇先生在QCon大会的演讲PPT
攻防世界pwn题--stack2
L0g1c的博客
10-31 511
查看保护机制 (有不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
攻防世界stack2逻辑漏洞题
csdn546229768的博客
11-16 3677
到了进阶题目越来越好玩了,发现解出来一道题有解数学那味了 嗯,拿到题目一看逻辑题,做题刚打完比赛(第一次)被逆向和pwn的逻辑题给整怕了,这次遇到这种题目,我选择硬刚! 首先读懂题目的内在逻辑,并关注常见的pwn漏洞,首先一步步分析 这里有个循环100次接收输入,全局的看了下都是在对buf操作,先标志一手,但是这里无法产生溢出,那么看下面 首先看到for里面初始化j = v5 ,那么这个j也就是我们可控的标记一下,然后就是死循环,每次循环后调用一次printf select1就是显示所有值、select
攻防世界pwn-stack2学习记录
Hotspurs的博客
11-18 1352
pwn新手一枚,做这题时苦苦没找出来题解上说的0x84偏移,经过多次尝试,终于找到了正确的方式,遂以记录。 首先分析漏洞点: 当选择3.change number时,程序没有对输入的v5进行检测,遂可以产生溢出 之后看到程序给了getflag 开启动态调试,此时在v13[v5] = v7;处下断点。 如图所示输入 转到汇编指令,查看这个地址(edx存的就是输入9,看看他把9...
攻防世界 PWN 高手进阶 stack2 (write up)
qq_44768749的博客
08-18 419
攻防世界 PWN 高手进阶 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2 该题利用未对数组边界进行检查,从而可以实现溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
攻防世界pwn高手区stack2 lea调整帧导致偏移错误
Gtooler的博客
10-14 1734
Stack2 这题废话很多,说白了就一个数组越界的漏洞可以利用,没有对下标v5做限定,所以可以利用数组越界,直接越过canary,利用留下的后门getshell 刚开始看ida以为位移是0x74所以exp如下 from pwn import * p = remote('111.200.241.244', '50928') # p = process("./stack2") # context.log_level = 'debug' hackhere = [0x9b, 0x85, 0x04, 0x08
攻防世界和jarvis oj的level2
CNXBDSa的博客
07-27 415
PS:两者题型完全一样 就不过多解释了!!!!!!!! 首先第一步是运行这个程序看程序是什么 然后使用checksec去查看这个的保护机制和位数 详情请去看大佬总结比较详细 然后放入对应的iDA中查看 ...
stack2(xctf)
weixin_43868725的博客
05-26 715
0x0 程序保护和流程 保护: 流程: 当选择change number时没有对数组边界进行检查所以可以任意地址写。又在函数列表中发现一个hackhere() 0x1 利用过程 我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。 v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。 远程发现没有bash。 换成system(
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3411
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
3.stack2
weixin_44864859的博客
07-27 392
这是一道数组越界的题目。数组存放在上,程序中给出有修改数组中数据的功能,但是没有限制范围,使得其可以修改上任意地址。 所以我只需要将main函数的返回地址修改成后门函数就可以了。 接下来就是确定偏移,这里把我卡住了。最一开始的想法是直接用返回地址减去输入地址,得到的偏移是0x9c,带入测试发现不行。看到这里有人肯定都要嘲笑我了,我真的是太蠢了,而且还觉得没什么问题捣鼓了半天,太菜了。。。 言归正传,要定偏移,首先我们需要搞清楚程序中修改数组数据的部分具体是怎么执行的。 这里可以看到程序具体要修改的
攻防世界-pwn stack2(ROP)
菜的只能随便写写博客
10-28 1937
0x01 文件分析 32位elf 无PIE   0x02 运行分析  程序的功能主要有四个,在输入前面两个初始化的变量值之后,就可以看到后面的几个功能。   0x03 IDA分析 //IDA 静态分析得出的代码: int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax uns...
Elastic Stack:数据探索与分析实践
"基于Elastic Stack的数据探索与分析是Elastic公司开发者曾勇在QCon大会上分享的关于利用Elastic Stack进行大数据分析的演讲内容。文章涵盖了Elastic公司的背景、Elastic Stack的发展以及其在数据处理中的应用实例。...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值