stack2(xctf)

最新推荐文章于 2023-02-01 17:20:31 发布
最新推荐文章于 2023-02-01 17:20:31 发布
阅读量707 收藏
点赞数
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/106364483
版权

0x0 程序保护和流程

保护:

在这里插入图片描述

流程:

在这里插入图片描述

当选择change number时没有对数组边界进行检查所以可以任意地址写。又在函数列表中发现一个hackhere()

在这里插入图片描述

0x1 利用过程

我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。

在这里插入图片描述

v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。

最低0.47元/天 解锁文章
whiteh4nd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dubblesort(xctf)
weixin_43868725的博客
08-26 376
0x0 程序保护和流程 保护: 流程: main() 存在一个问题,如果输入的数字个数过大会在输入数字的时候将栈中的数据覆盖。 0x1 利用过程 1.这个问题其实跟栈溢出差不多,题目又给出了libc,所以可以通过泄露libc的基地址计算出system函数的地址和/bin/sh字符串的地址。 2.因为buf在接收字符串之前没有清空里面可能存在垃圾数据,并且read函数输入的字符串不会加’\x00’进行截断所以可以通过buf泄露栈中的数据。 在输入’aaa\n’后可以看到栈中还有很多数据,可以通过输入0x
xctf攻防世界_echo——爬坑之路(ret2dlresolve)
勤劳的小蜜蜂
05-27 937
很容易看到是栈溢出漏洞,而且给出了一个sample()的函数来读取flag,直接覆盖返回地址,在本地调试很快就弄完了。但是没想到,跟服务器连接后,死活出不来。没办法,想到上一篇文章一样的坑,看来只能拿Shell才行了。 查找了很多资料,一开始想着用write()函数泄漏,结果没这个函数。还动过使用fprintf函数的想法,但是远程太坑了。留几个学习到的点: 1、 gbd中可以使...
[XCTF]stack2(你的疑问可以在这里找到答案)
qq_62539372的博客
07-10 236
前面的必要流程就不多说啦 这道题开了栈溢出保护 运行一下似乎找不到可以利用的点 那就看看这里吧 v13这个数组 在第三个选项change的时候没有限制 so 我们可以在main函数结束的时候改变返回地址 hackhere函数里有个system('/bin/bash')不同于system('/bin/sh')打通之后会出现没有bash所以我们不能直接利用hackhere这个函数的地址当作main函数的返回地址!我们可以把plt表的system函数的地址当作返回地址,传参'sh'思路有啦 我们接下来就要考虑在哪
攻防世界高手进阶区——stack2
weixin_62675330的博客
02-24 903
攻防世界高手进阶区——stack2 看题目啥都没有 一,分析文件 checksec 发现居然存在栈溢出保护,这是以前做题没看到过的,可能会有新的知识点。 运行文件 貌似是一个输入数字计算平均值的程序。 ida打开 unsigned int m; // [esp+34h] [ebp-74h] char v13[100]; // [esp+38h] [ebp-70h] unsigned int v14; // [esp+9Ch] [ebp-Ch] v14 = __readgs
[XCTF-pwn] 19-dubblesort
weixin_52640415的博客
03-03 171
冒泡排序。 漏洞: 对排序数字个数无限制 栈结构: 8个排序数字 16 名字 canary 其它7 libc_start_main_ret 思路: 输入 0*24,-,main*7,-,main 当canary小于main时排序结果为0*24, canary, main*8, libc_start_mian_ret。可以得到libc地址,并用main覆盖返回地址。回到main函数。 第2次输入0*24,canary*5,system*2,bin_sh排序后无变化,覆盖到返回地址 完整e
Apress - Pro MERN Stack, 2nd.2019.epub
06-07
Apress - Pro MERN Stack, 2nd.2019.epub Apress - Pro MERN Stack, 2nd.2019.epub
C语言头文件 STACK
06-13
C语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 STACKC语言头文件 ...
Post Processing Stack v2
05-20
http://v.youku.com/v_show/id_XMzM0NzE5MTcwNA==.html 贴心教程, Bloom HDR灯光效果,各种Camera特效屏幕效果,动态模糊什么的
FullStack-2
03-29
FullStack-2
welpwn(xctf)
weixin_43868725的博客
06-15 233
0x0 程序保护和流程 保护: 流程: main() echo() echo函数中存在明显的栈溢出漏洞。 0x1 利用过程 使用x64的通用gadget,泄露write函数的地址。使用LibcSearcher查出相应的libc,得到system函数和/bin/sh字符串的地址就可以getshell了。但是理想是丰满的现实是骨感的,exp写完后一直报错。用GDB查看一下core。发现确实覆盖了返回地址但是后面紧接着是输入缓冲区中的数据。回过去看echo函数,发现在写入s2的时候/x00会被截断,这种截断
2019.7.26 攻防世界Stack2 以及gdb 和IDA算偏移
DSR446的博客
08-19 2453
我们很明显这里有一个数组越界的漏洞我们可以利用。 [这个博客写的很详细]https://blog.csdn.net/qq_41071646/article/details/86600053 下面我就只介绍一下怎么算的偏移。 ...
攻防世界 stack2
10-07 488
1.题目 2.IDA分析 3.分析 本地存在明显的数组越界漏洞,选择3修改数据时,没有检查是否越界,直接操作指针进行修改。所以我们只要利用这个漏洞构造system的调用即可(注意,function区的hackhere方法不可用,调用会提示不存在bash。。。) 所以这道题目最难在于addr_buf与addr_ret之间的距离。一开始看ida的栈信息,以为是74h,结果溢出失败。 这种情况很明显是编译器做了什么处理,所以只能动态调试。 在show data方法里面下断点,位置:0x80
XCTF stack2 [Writeup]
柷敔的博客
02-01 129
32bit程序劫持main函数返回地址,构造system函数,准备sh参数
xctf-pwn-“stack2 & pwn1 & welpwn”
njh18790816639的博客
07-30 181
stack2 首先探测一番,是32位,看下保护! ida静态分析一番! 还有个后门函数: 原先先要使用这个后门函数,但是发现远程服务器是没有bash的,所以这个后门函数是没有用的,误导我等! 不过还是先按正常思路来说,这第三个函数是没有检查数据的合法性的。 ...
XCTF-攻防世界-新手训练-12-maze
Alikas的博客
04-19 2560
Alikas-0x0B 题目:XCTF-攻防世界-新手训练-12-maze File一下 maze: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 2.6.32, BuildID[sha1]=eda1df76eec45447cd...
python数据分析的学习总结(一)
qq_34661106的博客
12-19 5092
本篇文章是作者对常国珍著的python数据科学的学习的干货总结。 数据链接: 链接:https://pan.baidu.com/s/1Qy9cc5-vTHkwQVDEd7x_dg  提取码:m0p9  本篇文章主要有以下四个部分: 目录 1.数理统计技术概论 2.数据挖掘技术与方法 3.预测类模型 4.描述性分析   1.数理统计技术概论 1.1 描述性分析 描述性分析就是...
Stash安装和破解
weixin_34232744的博客
11-14 1492
参考资料: http://www.unxmail.com/?p=590 上篇介绍了,Atlassian Stash v2.12.1 破解版的下载, 有同学不会安装. 我重新整理了下文档. 表述我的安装方法和环境. 先下载破解安装包.http://pan.baidu.com/s/1mgumBbE 我的安装环境. 说明下,经过我的测试. 如果系统内存低于 512M, 就不要折腾了,非常卡. 推荐 20...
pwnable.tw dubblesort 经验总结
qq_43189757的博客
10-29 800
漏洞点: read函数读取的时候不会在数据末尾加上’\x00’ , 这就导致了可以泄露栈上的libc地址 v9 没有进行边界检查, 导致输入的数据可以导致栈溢出 写exp时碰到的问题: 1.IDA 生成的伪代码变量的表示位置出现问题 canary的值 显示是存放在esp + 0x7c 或 ebp - 0x10 上, 这两种应该都是指的同一地址, 但是实际调试的时候发现结果不一样 一开始是按...
攻防世界PWN进阶区(stack2)
BurYiA的博客
01-26 873
stack2 哈,我又回来了 这个题呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问题 这个时对数据进行...
stack segment stack
最新发布
05-16
"Stack"是指计算机内存中的一种数据结构,它具有“后进先出”的特点。在程序执行过程中,程序会将需要临时存储的数据(比如函数调用时的局部变量、函数参数、返回地址等)存入栈中,当不再需要这些数据时,再从栈中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值