【pwnable.kr】horcruxes - 伏地魔的7个魂器 gets栈溢出 截断 atoi转化

最新推荐文章于 2021-03-21 22:50:50 发布
最新推荐文章于 2021-03-21 22:50:50 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: pwnable.kr pwnable.kr 文章标签: pwnable.kr horcruxes gets atoi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/think_ycx/article/details/84405387
版权

image-20181123143621965

本关信息

伏地魔吧自己分裂的灵魂藏在了7哥魂器中…这个描述666。本关要求我们找到所有的魂器然后ROP似乎就可以拿flag了。本关没有给源码,上IDA分析吧。本地运行前安装32位libseccomp库,apt-get install libseccomp-dev:i386

image-20181123235615061

init初始化abcdefg7个int值,保存在bss段,并计算sum。abcdefg的值生成时使用随机数做为种子再调用rand函数生成,因此随机不可预测。

image-20181123235704687

ropme函数输入abcdefg的值,就可以调用相应的打印函数。gets函数输入sum的值就可以进入输出flag的流程。由于gets存在栈溢出,因此可以劫持返回地址。

image-20181124000016124

利用思路很简单,劫持返回地址跳转输出abcdefg的值,就可以计算sum,之后把sum转化成字符串后输入给atoi即可。

注意有几个坑点:

  • gets函数遇到a newline character比如\x0a就会截断(遇到\x00 \t不会截断,gets可以读入),ropme函数起始地址是0x080A0009,不能直接跳转到ropme函数中执行代码。可以直接跳到ABCDEFG函数里面获取abcdefg的值。
  • atoi函数将int转化为字符串,如果数字超过int范围转化失败返回-1。

此外,由于0xa不能输入,find查看了stack中是有0x080a的值的,如果栈溢出溢出低位几个字节为打印flag的低位,再rop到该处应该也可以直接读flag。

exp

image-20181124001844848

image-20181124001909081

think_ycx
关注
专栏目录
CodeForces - 855B (线段树维护区间最大值最小值)
bjfu170203101的博客
02-22 1081
Professor Dumbledore is helping Harry destroy the Horcruxes. He went to Gaunt Shack as he suspected a Horcrux to be present there. He saw Marvolo Gaunt's Ring and identified it as a Horcrux. Although ...
置信区间的置信区间_什么是置信区间,为什么人们使用它们?
weixin_26713521的博客
09-02 2393
I’m going to try something a little different today, in which I combine two (completely unrelated) topics I love talking about, and hopefully create something that is interesting and educational. 今天,我...
horcruxes-pwnable
SkYe's Blog
10-04 791
前言 这题考的是ROP系统攻击。百度百科是这样介绍的: 简介:ROP全称为Return-oriented Programming(面向返回的编程)。是一种基于代码复用的攻击技术,攻击者从已有的库或可执行文件中提取指令片段,构建恶意代码。 内在特征:1. ROP控制流中,call和ret指令不操纵函数,而是用于将函数里面的短指令序列的执行流串起来,但在正常的程序中,call和ret分别代表函数的开...
pwnable.kr horcruxes
r250414958的博客
04-11 354
看题目,好像是和ROP利用技术有相关的题目,上去看看先 告诉我们要链接端口9032执行,我们先把文件下下来看看,由于没有提供源码,我们直接用IDA看 函数也不长,直接看伪代码 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // ST1C_4 setvbuf(stdout, 0, 2...
PWN horcruxes [pwnable.kr]CTF writeup题解系列15
重新启程
01-06 863
题目内容: 先连接上去看看题目文件,看起来已经说了是一道rop的题目 root@mypwn:/ctf/work/pwnable.kr# ssh horcruxes@pwnable.kr -p2222 horcruxes@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ ...
栈溢出pwnable.kr login
jiuweideqixu的博客
08-28 296
Can you get authentication from this server? Download : http://pwnable.kr/bin/login Running at : nc pwnable.kr 9003 反编译main函数 通过main函数的第21行我们知道,解码之后的字符串也被存放在了input指向的内存单元中。同时我们知道,input在bss段。 反编译Base64Decode函数 反编译auth函数 通过查看auth函数,我们发现很难通过.
ROP攻击:Challenge 0x14: Horcruxes
jiuweideqixu的博客
08-14 347
Voldemort concealed his splitted soul inside 7 horcruxes. Find all horcruxes, and ROP it! author: jiwon choi ssh horcruxes@pwnable.kr -p2222 (pw:guest) 登录进去之后发现,只有二进制可执行文件,没有源文件。所以为了加快分析,需要借助ida的反编译功能。 反编译之后,可以看到各个函数的结构如下: int A() { return prin.
pwnable.kr之flag
river
05-02 2610
flag   下载下来是upx 压缩过的文件,用upx –d 解压一下,变为flag_upacked_upx文件,然后再IDA中看。   对flag_upacked_upx用strings 看一下,提取:)特征。(因为这个是pwnable.kr的flag的特征。。。又作弊了) 发现是正确的。。 flag: UPX...? sounds like a deli
horcrux:将您的文件分割成加密的片段,这样您就无需记住密码了
04-05
例如,如果我有3个,我可能想要5个horcruxes来恢复该文件。该horcrux文件将按以下方式创建: diary_1_of_5.horcrux diary_2_of_5.horcrux ... 现在,您只需要在各种USB或在线位置上散布房屋周围的杂物,并希望您能...
全面剖析Pwnable.kr unlink
Bill
08-10 2116
   最近一直在学习堆方面的知识,unlink是CTF中考察堆方面知识的重点.于是就拿一道简单的例题来剖析一下.堆方面的PWN对内存的分配和回收机制要求比较高,也是CTF中压轴题. 目录: 知识简介 漏洞分析 漏洞利用 Write Up及相关链接 知识简介: 为了节约内存,被使用之后的chunk和未使用的chunk的内存布局不相同,但是都用了相同的大小,于是free...
python_练习(小李飞刀大战伏地
qq_39128254的博客
03-21 366
查看详细信息的网址 http://www.pythontutor.com/visualize.html#mode=edit # 小李飞刀大战伏地 # 通过对象来实现 # 小李将飞刀放入刀袋中,然后带着刀带去找伏地,小李飞刀从刀带拿出飞刀飞伏地伏地受到伤害 # 需要的类: # Person # -属性 # -name 姓名 # -hp 生命值 # -kb 刀带 # -方法 # -带刀带(take_kb) #
pwnable.kr】fb
weixin_30785593的博客
06-29 163
这是pwnable.kr的签到题,记录pwn入门到放弃的第一篇。 ssh fd@pwnable.kr -p2222 (pw:guest) 题目很简单,登录上了ssh后,发现了3个文件:fd,fd.c,flag 首先下载fd.c 1 #include <stdio.h> 2 #include <stdlib.h> 3 #include <str...
pwnable.kr详细通关秘籍(二)
dfdhxb995397的博客
09-27 391
i春秋作家:W1ngs 原文来自:pwnable.kr详细通关秘籍(二) 0x00 input 首先看一下代码: 可以看到程序总共有五步,全部都满足了才可以得到flag,那我们就一步一步来看 这道题考到了很多linux下的基本操作,参数输入、管道符、进程间通信等知识,推荐大家可以先看看《深入理解计算机系统这本书》,补补基础 1、Step1(argv) if(ar...
随便说说HP7和伏地的7个魂器
yingyi_cn的专栏
12-26 2034
魂器:是指藏有一个人的部分灵魂的物体。制作魂器的过程就是你把你的灵魂分裂开,将一部分藏在身体外的某个物体中。这样,即使你的身体遭袭击或者毁坏,你也不死。因为还有一部分灵魂在世间未受损害。并且,要成功制作魂器,还必须以谋杀其他人作为前提。   伏地为了避免死亡,把自己的灵魂分成了7份。   1. 汤姆·里德尔的日记出现:第二部《哈利波特与密室》,是打开密室的关键所在。涉及人物:卢修斯·马尔福,金妮
Marvolo Gaunt's Ring ---CodeForces - 855B(思维题)
From now on...的Blogs
08-27 290
题目链接:http://codeforces.com/problemset/problem/855/B Marvolo Gaunt's Ring Professor Dumbledore is helping Harry destroy the Horcruxes. He went to Gaunt Shack as he suspected a Horcrux to be presen...
pwnable.kr】 blukat - 权限设置不当导致password可读
think_ycx的专栏
11-24 716
本关描述 这一关看着描述就挺奇怪的,scp下来之后居然把password改copy下来了,内容是cat: password: Permission denied。照理没有权限读的话是不会copy下来的。ssh上去看一下就明白了(如下图),当前用户在blukat_pwn组,因此是可以读password的。 看一下代码写的没问题,读取password和输入比较,如果比较成功就输出flag。...
pwnable.kr 1-6...
sopora的博客
04-24 199
1.fd char buf[32]; int main(int argc, char* argv[], char* envp[]){ if(argc<2){ printf("pass argv[1] a number\n"); return 0; } int fd = atoi( ...
pwnable.kr [asm]
shisuan1的博客
12-26 376
pwnable.kr [asm] #include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;stdlib.h&gt; #include &lt;sys/mman.h&gt; #include &lt;seccomp.h&gt; #include &lt;sys/prctl.h&gt; #include &lt;fcntl.h&g
导出csv文件数字会自动变科学计数法的解决方法
weixin_30319097的博客
05-27 5131
其实这个问题跟用什么语言导出csv文件没有关系。Excel显示数字时,如果数字大于12位,它会自动转化为科学计数法;如果数字大于15位,它不仅用于科学技术费表示,还会只保留高15位,其他位都变0。解决这个问题:只要把数字字段后面加上显示上看不见的字符即可,字符串前面或者结尾加上制表符"\t".php 程序可以这样判断,注意一定是"\t",不是'\t'. 转载于:https://www.cnblog...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值