dubblesort(xctf)

最新推荐文章于 2022-05-15 01:03:17 发布
最新推荐文章于 2022-05-15 01:03:17 发布
阅读量376 收藏
点赞数 1
分类专栏: # xctf(pwn高手区) CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43868725/article/details/108247432
版权

0x0 程序保护和流程

保护:

protect

流程:

main()

main

存在一个问题,如果输入的数字个数过大会在输入数字的时候将栈中的数据覆盖。

0x1 利用过程

1.这个问题其实跟栈溢出差不多,题目又给出了libc,所以可以通过泄露libc的基地址计算出system函数的地址和/bin/sh字符串的地址。

2.因为buf在接收字符串之前没有清空里面可能存在垃圾数据,并且read函数输入的字符串不会加’\x00’进行截断所以可以通过buf泄露栈中的数据。

stack

在输入’aaa\n’后可以看到栈中还有很多数据,可以通过输入0x1c*'a’泄露libc中的地址。

3.利用方式需要向栈中写入数据,但是题目由开启了canary,所以需要绕过canary。查看canary存放的位置。

canary

在esp+0x7c的位置存放canary。但是并没有任何方式泄露canary的值。通过查看大佬的文章得知当我们输入+或-符号,scanf会跳过输入。通过调试发现canary是第25个数据。

canary_pos

所以此时只需要输入+或-就可以完成绕过。

4.通过上述分析可以得出利用流程,通过buf泄露的地址计算出libc的基地址,之后通过程序的逻辑问题向返回地址处写入system函数的地址完成getshell。

  • 泄露libc。
name='a'*0x1c
sh.sendafter('What your name :',name)
sh.recvuntil('a'*0x1c)
libc_base=u32(sh.recv
最低0.47元/天 解锁文章
whiteh4nd
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
stack2(xctf)
weixin_43868725的博客
05-26 708
0x0 程序保护和流程 保护: 流程: 当选择change number时没有对数组边界进行检查所以可以任意地址写。又在函数列表中发现一个hackhere() 0x1 利用过程 我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。 v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。 远程发现没有bash。 换成system(
dubblesort记录
weixin_55190422的博客
11-24 311
查看下保护与它的架构。 这题考察的知识点是如何绕过canary和ret2libc。 我们分析一下main的C代码。read函数读取的时候不会在数据末尾加上’\x00’ , 这就导致了可以泄露栈上的libc地址,v9 没有进行边界检查, 导致输入的数据可以导致栈溢出 利用printf'\0'截断的特性来输出栈上残留数据,此处为.got.plt的地址,进而泄露libc基址 通过此处改变栈上数据,篡改retaddr为system函数地址,retaddr之后的位置存放"...
dubblesort
qq_41071646的博客
07-24 521
这个题目很好玩 看起来就是一个 排序的程序 然后这个题实际上也是一个 关于排序的程序 参考链接 https://bbs.pediy.com/thread-228226.htm 这里没有想到的点就是怎么看找加载基址的 没有想到 可以通过哪里看得到 还是对pwn的地址太敏感 如果把加载地址给解决了 这个题目就很好办了 看一下程序 这里面的 排序很好看出来是冒泡排序 然...
[XCTF-pwn] 19-dubblesort
weixin_52640415的博客
03-03 171
冒泡排序。 漏洞: 对排序数字个数无限制 栈结构: 8个排序数字 16 名字 canary 其它7 libc_start_main_ret 思路: 输入 0*24,-,main*7,-,main 当canary小于main时排序结果为0*24, canary, main*8, libc_start_mian_ret。可以得到libc地址,并用main覆盖返回地址。回到main函数。 第2次输入0*24,canary*5,system*2,bin_sh排序后无变化,覆盖到返回地址 完整e
Dubble Sort Test
修也
03-17 379
#include"MyOutput.hpp" template<typename T> void swap(T *t1,T *t2){ T t = *t1; *t1 = *t2; *t2 = t; } template<typename T> void dubble_sort_optimized(T *t,int len){//effect not...
攻防世界PWN之dubblesort题解
seaaseesa的博客
11-18 1105
dubblesort 首先看一下程序的保护机制 保护全开,并且是一个32位程序 然后,我们用IDA分析一下 这里,有两个漏洞 第一个是在调用read之前,没有调用memset对buf清空,因此,buf里可能之前会有一些残留的关键数据 第二个是,输入的整数个数没有上限,可以造成数据溢出,其实也就是栈溢出。 我们在read断点,然后观察栈中的数据,发现数据还未输入时,栈里就...
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
writeup:xctf撰写
03-28
写上去xctf撰写
基于NDIS中间层驱动的网络数据过滤程序开发概括
09-30
NDIS中间层驱动程序,基于DDK中passthru框架扩展。
pwnable.tw dubblesort
weixin_30896511的博客
03-15 191
(留坑,远程没打成功) int __cdecl main(int argc, const char **argv, const char **envp) { int t_num_count; // eax int *num_stack; // edi unsigned int input_count; // esi unsigned int output_ptr; ...
pwnable.tw dubblesort 经验总结
qq_43189757的博客
10-29 801
漏洞点: read函数读取的时候不会在数据末尾加上’\x00’ , 这就导致了可以泄露栈上的libc地址 v9 没有进行边界检查, 导致输入的数据可以导致栈溢出 写exp时碰到的问题: 1.IDA 生成的伪代码变量的表示位置出现问题 canary的值 显示是存放在esp + 0x7c 或 ebp - 0x10 上, 这两种应该都是指的同一地址, 但是实际调试的时候发现结果不一样 一开始是按...
DubbleSort冒泡排序
qq_48974601的博客
09-12 93
package com.jt.pojo; import java.util.Arrays; public class DubbleSort { public static void main(String[] args) { int[] a = {5,4,3,2,1}; sort(a); System.out.println(Arrays.toString(a)); } public static int[] sort(int[]
攻防世界学习笔记2022.5.15
u014377094的博客
05-15 610
dubblesort 32位栈题,保护开的很全,有canary保护 canary处有偏移,并不是直接ebp+4 学习点: 1.使用+-号跳过scanf,防止对canary位修改 示例,如输入+,并不会对内容修改。 2. puts函数往往会存在利用,因为以0为结尾读取,所以往往拿来泄露地址。 该题采用泄露buf中的地址来获得libc基址。不过buf中为何会有关于这些的残留,暂且不知,可能是之前同等级函数调用时残留在栈中的数据? 3.关于脚本交互。 注意什么时候u32,什么时候str(),
攻防世界PWN之notebook题解
seaaseesa的博客
11-21 520
Notebook 研究了一下,做出来的人挺少,还挺有成就感 首先,检查一下程序的保护机制,发现PIE和RELRO未开启 然后,我们用IDA分析一下,看起来好复杂的样子 发现有溢出和格式化字符串漏洞 首先当然是想到利用格式化字符串漏洞来泄露canary的值 要想执行格式化字符串漏洞,得满足那个if条件 我想了好久,才反应过来,如果有传入格式化的字符串,这个条件就不可...
攻防世界PWN之250题解
seaaseesa的博客
02-05 1032
250 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 程序存在明显的栈溢出漏洞 并且glibc被静态编译到了程序中 由于没有开启PIE,且glibc被静态编译包含,那么我们有很多方式get shell,这里,我们使用的是dl_make_stack_executable使得栈变得可执行,然后在栈里布下shellcode来getshell 为了节省步骤,我们直接...
攻防世界 Pwn 进阶 第二页
yongbaoii的博客
02-18 630
00 为了形成一个体系,想将前面学过的一些东西都拉来放在一起总结总结,方便学习,方便记忆。 攻防世界 Pwn 新手 攻防世界 Pwn 进阶 第一页 01 4-ReeHY-main-100 超详细的wp1 超详细的wp2 03 format2 栈迁移的两种作用之一:栈溢出太小,进行栈迁移从而能够写入更多shellcode,进行更多操作。 栈迁移一篇搞定 有个陌生的函数。 C 库函数 void *memcpy(void *str1, const void *str2, size_t n) 从存储区 str2
攻防世界PWN之RC4题解
seaaseesa的博客
02-06 540
RC4 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,存在栈溢出漏洞 由于开启了canary,因此,我们需要泄露canary,由于低位覆盖泄露出来的信息是加密的,解密可能比较麻烦,我们另选其他方法。功能a里有一个不起眼的漏洞 后面,输出了v7的内容 然而,v6和v7仅仅在dword_6020CC = 0时被初始化,如果它们未初始化,其值会是什么? 如果v...
xctf supersqli
最新发布
09-01
对于 xctf supersqli,它是一个供参与者练习 SQL 注入技巧的 CTF(Capture The Flag)比赛题目。CTF比赛是一种网络安全竞赛,旨在测试参与者在各种安全领域的技能。在 xctf supersqli 中,参与者需要利用 SQL 注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值