stack2(xctf)

最新推荐文章于 2023-02-01 17:20:31 发布
最新推荐文章于 2023-02-01 17:20:31 发布
阅读量721 收藏
点赞数
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/106364483
版权
该博客主要介绍了如何利用程序stack2(xctf)中的数组边界漏洞,通过修改函数调用流程,实现对main函数返回地址的篡改。作者通过调试发现可以将hackhere()函数的地址写入,但由于地址计算不准确,未能直接成功。进一步调试后,确定了正确的偏移量为0x84,并发现可用system(‘sh’)替代bash来获取shell。
摘要由CSDN通过智能技术生成

0x0 程序保护和流程

保护:

在这里插入图片描述

流程:

在这里插入图片描述

当选择change number时没有对数组边界进行检查所以可以任意地址写。又在函数列表中发现一个hackhere()

在这里插入图片描述

0x1 利用过程

我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。

在这里插入图片描述

v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。

最低0.47元/天 解锁文章
whiteh4nd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 stack2
10-07 503
1.题目 2.IDA分析 3.分析 本地存在明显的数组越界漏洞,选择3修改数据时,没有检查是否越界,直接操作指针进行修改。所以我们只要利用这个漏洞构造system的调用即可(注意,function区的hackhere方法不可用,调用会提示不存在bash。。。) 所以这道题目最难在于addr_buf与addr_ret之间的距离。一开始看ida的栈信息,以为是74h,结果溢出失败。 这种情况很明显是编译器做了什么处理,所以只能动态调试。 在show data方法里面下断点,位置:0x80
XCTF-pwn-stack2 - Writeup
菜小狗.的博客
11-28 555
偶尔在学习的阶段慢慢发现的进步 抽空写点笔记记录一下子 这次做的题目还是栈溢出漏洞的题目但是并没用用到payload,简单用了下ROP 题目描述 除了一个名称 stack2 题目描述是:暂无 下载附件运行一下看看流程 保护开启了nx 和canary 流程大概是提供了4个选项的功能:加数、改数还有求平均数啥的。 然后丢到iad里看一下这部分的流程简单分析一下漏洞点。 在这里看还是蛮正常的,...
[XCTF]stack2(你的疑问可以在这里找到答案)
qq_62539372的博客
07-10 263
前面的必要流程就不多说啦 这道题开了栈溢出保护 运行一下似乎找不到可以利用的点 那就看看这里吧 v13这个数组 在第三个选项change的时候没有限制 so 我们可以在main函数结束的时候改变返回地址 hackhere函数里有个system('/bin/bash')不同于system('/bin/sh')打通之后会出现没有bash所以我们不能直接利用hackhere这个函数的地址当作main函数的返回地址!我们可以把plt表的system函数的地址当作返回地址,传参'sh'思路有啦 我们接下来就要考虑在哪
xctf-pwn-“stack2 & pwn1 & welpwn”
njh18790816639的博客
07-30 190
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
XCTF stack2 [Writeup]
最新发布
柷敔的博客
02-01 156
32bit程序劫持main函数返回地址,构造system函数,准备sh参数
stack2 [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列15
重新启程
12-23 1346
题目地址:stack2 这是高手进阶区的第四题了,速度挺快啊,朋友!加油! 废话不说,看看题目先 没有什么特别的内容,那就看看保护机制 root@mypwn:/ctf/work/python/stack2# checksec fcca8ceb507544d1bd9c4a7925907a1d [*] '/ctf/work/python/stack2/fcca8ceb507544d1b...
Stack2 攻防世界题目分析
shanwei274的博客
04-18 1030
XCTF 4th-QCTF-2018 前言,怎么说呢,这题目还是把我折磨的可以的,我一开始是没有看到后面的直接狙击的,只能说呢。 我的不经意间的粗心,破坏了你许多的温柔 1.气的我直接检查保护: 32位程序,开启了canary保护。 2.ida查看: 首先放的第一幅图片呢,是我一开始以为可以溢出的,也可以看见我旁边标注了一个maybeoverflow。 但是是不可以的,因为首先由于这里的 i 最大上限100,可能有的人头铁就要说了,这里v7可以慢慢溢出去修改i,(和我一样) 可是这里v13的存储位
pwn1 babystack [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列19
重新启程
12-25 1629
题目地址:pwn1 babystack 已经到了高手进阶区的第八题了,已经渐入佳境了。哈哈! 废话不说,看看题目先 厦门邀请赛的题目,还是2星难度,那就开工了。 管理检查一下保护机制: [*] '/ctf/work/python/pwn1/babystack' Arch: amd64-64-little RELRO: Full RELRO Stac...
get-shell [XCTF-PWN]CTF writeup系列1
重新启程
12-19 1890
因为做vulhub靶场Serial2,在最后一步用到了rop技术,所以就顺便把自己学习pwn的过程做下记录。 今天做的ctf题目是pwn新手训练场的第一题get-shell。 首先我们点击获取在线场景 然后我们就可以看到,这个题目给我们提供了一个服务器端口,我们可以通过telnet连接这个端口 我们可以看到 这个端口是可以直接连接的,这道题目,因为没有回显文件,所以就看不到什么...
3.stack2
weixin_44864859的博客
07-27 399
这是一道数组越界的题目。数组存放在栈上,程序中给出有修改数组中数据的功能,但是没有限制范围,使得其可以修改栈上任意地址。 所以我只需要将main函数的返回地址修改成后门函数就可以了。 接下来就是确定偏移,这里把我卡住了。最一开始的想法是直接用返回地址减去输入地址,得到的偏移是0x9c,带入测试发现不行。看到这里有人肯定都要嘲笑我了,我真的是太蠢了,而且还觉得没什么问题捣鼓了半天,太菜了。。。 言归正传,要定偏移,首先我们需要搞清楚程序中修改数组数据的部分具体是怎么执行的。 这里可以看到程序具体要修改的
攻防世界pwn——stack2
qq_62076255的博客
12-18 614
攻防世界pwn——stack2做题记录
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3428
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
攻防世界高手进阶区——stack2
weixin_62675330的博客
02-24 956
攻防世界高手进阶区——stack2 看题目啥都没有 一,分析文件 checksec 发现居然存在栈溢出保护,这是以前做题没看到过的,可能会有新的知识点。 运行文件 貌似是一个输入数字计算平均值的程序。 ida打开 unsigned int m; // [esp+34h] [ebp-74h] char v13[100]; // [esp+38h] [ebp-70h] unsigned int v14; // [esp+9Ch] [ebp-Ch] v14 = __readgs
攻防世界-pwn stack2(ROP)
菜的只能随便写写博客
10-28 1942
0x01 文件分析 32位elf 无PIE   0x02 运行分析  程序的功能主要有四个,在输入前面两个初始化的变量值之后,就可以看到后面的几个功能。   0x03 IDA分析 //IDA 静态分析得出的代码: int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax uns...
xctf pwn高手进阶题之stack2
neuisf的博客
01-25 311
程序读取一个数字n,然后根据数字n读取数字到缓冲区,在执行需修改操作时为判断是否越界,而是根据用户输入的数字进行修改,造成堆栈地址内容修改。只需修改返回值即可。此题提供了hackhere函数输出flag,本地执行正常,远程出错,提示找不到/bin/bash。此处,技巧是执行system(’sh’)代替system(’/bin/sh’)。 exp: from pwn import * p=remot...
数据结构栈stack(2)
MarkJava
08-06 295
栈(stack) 1、前言 栈是一个种线性结构,非常重要。遵循“先进后出”的有序列表 栈是限制线性表中元素的插入和删除只能在线性表的同一端进行的一种特殊线性表。允许插入、删除的一端,为变化的一端,称为栈顶(Bottom)。 2、栈应用场景 1)子程序的调用:在跳往子程序前,会先将下一个指令的地址存到堆栈中,直到子程序执行完后再将地址取出,以回到原来的程序中。 2)处理递归调用:和子程序的调用类似,只是除了储存下一个指令的地址外,也将参数、区域变量等数据存入堆栈中。 3)表达式的转换[中缀表达式
welpwn(xctf)
weixin_43868725的博客
06-15 243
0x0 程序保护和流程 保护: 流程: main() echo() echo函数中存在明显的栈溢出漏洞。 0x1 利用过程 使用x64的通用gadget,泄露write函数的地址。使用LibcSearcher查出相应的libc,得到system函数和/bin/sh字符串的地址就可以getshell了。但是理想是丰满的现实是骨感的,exp写完后一直报错。用GDB查看一下core。发现确实覆盖了返回地址但是后面紧接着是输入缓冲区中的数据。回过去看echo函数,发现在写入s2的时候/x00会被截断,这种截断
XCTF 4th-QCTF-2018 pwn stack2 writeup
qq_39596232的博客
08-30 878
题目描述: 暂无 分析思路: 1、首先拿到ELF文件,我们首先查看一下详细信息: tucker@ubuntu:~/pwn$ file stack2 stack2: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-, for GNU/Linux...
HART-STACK协议接口详解及应用
2. **HART-STACK设备初始化函数**:这是设备启动时必须调用的函数,用于设置设备的基本参数,初始化通信链路,确保设备能够正确地加入HART网络。 3. **HART-STACK协议栈接口函数**:这部分函数实现了HART协议的基本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值