攻防世界PWN进阶区(stack2)

最新推荐文章于 2025-03-04 17:16:06 发布
最新推荐文章于 2025-03-04 17:16:06 发布
阅读量1k 收藏 3
点赞数
分类专栏: pwn 攻防世界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43681242/article/details/104077461
版权
本文详细介绍了如何解决攻防世界PWN进阶区的stack2题目,通过分析32位程序的NX和Canary机制,找到程序中可以修改数组和任意数据的漏洞点。通过ida逆向工程,发现可以利用`hackhere`函数中的`system("/bin/sh")`,并通过计算main函数返回地址与数组的偏移来构造exploit。在调试过程中,确定了数组首地址并找到函数返回地址,最终编写exp完成挑战。文章还提供了exp代码和实验过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

stack2

哈,我又回来了
在借助了诸多wp后终于把这道题弄明白了,记录一下
在这里插入图片描述
32位程序,有NX,有Canary。
在这里插入图片描述
运行可以发现它可以创建一个存储数字的数组,创建好以后我们可以对其中的数据进行一些基本的操作,ok,接下来开始硬刚IDA
在这里插入图片描述
通过观察main函数伪代码我们可以发现上图这个位置有点小问题
这个时对数据进行修改的部分的代码,但可以发现他并没有对v5这个变量进行审查。这代表着什么呢,这代表着我们可以修改数组以及数组后面的任何数据。
ok,接下来来思考如何利用这个点
在左侧的函数栏里我们可以发现一个有意思的函数名“hackhere”,点进去后可以发现里面有我们需要的system(“/bin/sh”),那么思路就很清晰了,我们只要找到一个可以利用的函数,将它的返回值改成我们需要去的地方就行了

纵观全文可以发现能利用的也就main函数了,利用位置也就是上面我们发现有小问题的哪儿。
可以发现那一处是更改数组中元素的值,那么,如果要更改返回位置的话我们就要去计算main函数返回位置距离数组的偏移是多少了。

整个题的难点在我看来就是这儿了,不知道其他师傅怎么弄的,我是费了好半天功夫了(感谢那些写wp的师傅们,辛苦了)…
以下借助faceless师傅的思路和过程

因为程序在一开始会给数组赋初值,并且这个过程是我们可以参与的。
考虑到一般的数组赋值会从首位开始,我们可以猜想,如果我们知道我们写入程序的第一个数据的存储位置是否我们就知道了数组的首地址?

那么首先,我们来求这个地址

程序一开始会给数组赋值,我们来看一下这一块的伪代码和汇编
在这里插入图片描述

最低0.47元/天 解锁文章
攻防世界 PWN 高手进阶 stack2 (write up)
qq_44768749的博客
08-18 587
攻防世界 PWN 高手进阶 stack2 (write up)stack20x01 查看保护机制0x02 查看反汇编0x03 利用过程修改返回地为system地址设置system函数的参数为'sh'exp stack2 该题利用未对数组边界进行检查,从而可以实现栈溢出 0x01 查看保护机制 32位 开启NX和canary 无PIE 0x02 查看反汇编 int __cdecl main(int argc, const char **argv, const char **envp) { int
攻防世界 stack2
10-07 566
1.题目 2.IDA分析 3.分析 本地存在明显的数组越界漏洞,选择3修改数据时,没有检查是否越界,直接操作指针进行修改。所以我们只要利用这个漏洞构造system的调用即可(注意,function的hackhere方法不可用,调用会提示不存在bash。。。) 所以这道题目最难在于addr_buf与addr_ret之间的距离。一开始看ida的栈信息,以为是74h,结果溢出失败。 这种情况很明显是编译器做了什么处理,所以只能动态调试。 在show data方法里面下断点,位置:0x80
攻防世界stack2
最新发布
X_szxj的博客
03-04 814
保护重定位表:在动态链接的程序中,重定位表包含了程序在运行时需要修改的地址信息。在 0x080486d5处v13数组出现,从push开始压入栈中一个v7,作为scanf的参数,调用___isoc99_scanf函数,读取v7值并储存到var_88,add清理栈空间,恢复esp的值,将用户输入的整数(存储在。我们需要将最终的返回地址修改成‘sh’的函数地址,最终获取shell,那么就需要计算数组v13的首地址到主函数结束(return 0)的偏移量,通过动态调试,可以查看v13的首地址。
攻防世界pwn——stack2
qq_62076255的博客
12-18 778
攻防世界pwn——stack2做题记录
pwn 攻防世界 stack2
A13837377363的博客
04-04 584
当时我检查了脚本很久,确认无误,gdb调试也确实修改了返回地址,但检查汇编代码发现,最后有 lea 指令改变了esp的值。查看源码,发现对修改数组没有做限制,很自然想到一个字节一个字节修改返回地址。要修改system的参数,幸好题目不算太坏,可以找到'sh\x00'字符串。2.做不出题目的时候,可以多看看汇编指令,可能有发现。在这道题耗了很多时间,有很多陷阱,记录一下。这是esp最后的地址,相差了0x10。即使你修改了,也会像这样打不通。这是一开始记录的ebp的地址。所以修改脚本,并且打通本地。
攻防世界pwn题--stack2
L0g1c的博客
10-31 679
查看保护机制 (有栈不可执行NX,有canary保护) 用IDA分析(查看伪代码) int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax unsigned int v5; // [esp+18h] [ebp-90h] unsigned int v6; // [esp+1Ch] [ebp-8Ch] int v7; // [esp+20h] [ebp-88h] unsigned
攻防世界高手进阶——stack2
weixin_62675330的博客
02-24 1242
攻防世界高手进阶——stack2 看题目啥都没有 一,分析文件 checksec 发现居然存在栈溢出保护,这是以前做题没看到过的,可能会有新的知识点。 运行文件 貌似是一个输入数字计算平均值的程序。 ida打开 unsigned int m; // [esp+34h] [ebp-74h] char v13[100]; // [esp+38h] [ebp-70h] unsigned int v14; // [esp+9Ch] [ebp-Ch] v14 = __readgs
realloc函数UAF利用|攻防世界pwn进阶supermarket
Kni9hT's Blog
03-21 1132
文章目录思路0x00.tar解压0x01.查看保护0x02.查看程序并调试0x03.漏洞分析realloc函数详解0x04.利用思路利用过程exp编写 思路 0x00.tar解压 下载获得压缩包文件,解压之后放进ubuntu中发现还是一个tar格式压缩包。 tar -xf filename 附:linux下tar命令详解 解压得到一个libc.so.6的库和一个可执行文件 0x01.查看保护 ...
one_gadget用法|攻防世界pwn进阶babystack
Kni9hT's Blog
03-25 8742
文章目录0x00.检查保护 0x00.检查保护 devil@ubuntu:~/adworld/pwn$ checksec babystack [*] '/home/devil/adworld/pwn/babystack' Arch: amd64-64-little RELRO: Full RELRO ;无法修改got表 Stack: Canary fou...
64位程序rop链构造|攻防世界pwn进阶 pwn-100
Kni9hT's Blog
03-16 4215
文章目录前言利用思路0x01.ida调试发现sub_40063D函数可以溢出0x02.cyclic计算溢出需要填充72字节0x03.checksec看一下保护0x04.利用思路:0x05.可以用vmmap查找binary文件地址0x06.用 `ROPgadget --binary pwn100 --only "pop|ret" | grep rdi`命令寻找ROP0x07.32位程序和64位程序...
格式化字符串利器fmtstr_payload | 攻防世界 pwn进阶 实时数据监测
Kni9hT's Blog
04-21 6797
文章目录0x00.看题0x01.检查保护0x02.利用fmtstr_payload构造payload 0x00.看题 健身回来,继续刷第二题,貌似和上一题一个风格啊。连名字都差不多,偏工业实际。不过这一题学到了一个新东西,fmtstr_payload. 题目描述:小A在对某家医药工厂进行扫描的时候,发现了一个大型实时数据库系统。小A意识到实时数据库系统会采集并存储与工业流程相关的上千节点的数据...
攻防世界-stack2-Writeup
SkYe's Blog
05-13 604
stack2 题目来源: XCTF 4th-QCTF-2018 [collapse title=“展开查看详情” status=“false”] 考点:数字下标溢出 保护情况: Arch: i386-32-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x8048000) 漏洞函数: puts("which numb
Stack2 攻防世界题目分析
shanwei274的博客
04-18 1099
—XCTF 4th-QCTF-2018 前言,怎么说呢,这题目还是把我折磨的可以的,我一开始是没有看到后面的直接狙击的,只能说呢。 我的不经意间的粗心,破坏了你许多的温柔 1.气的我直接检查保护: 32位程序,开启了canary保护。 2.ida查看: 首先放的第一幅图片呢,是我一开始以为可以溢出的,也可以看见我旁边标注了一个maybeoverflow。 但是是不可以的,因为首先由于这里的 i 最大上限100,可能有的人头铁就要说了,这里v7可以慢慢溢出去修改i,(和我一样) 可是这里v13的存储位
攻防世界pwn-stack2学习记录
Hotspurs的博客
11-18 1471
pwn新手一枚,做这题时苦苦没找出来题解上说的0x84偏移,经过多次尝试,终于找到了正确的方式,遂以记录。 首先分析漏洞点: 当选择3.change number时,程序没有对输入的v5进行检测,遂可以产生溢出 之后看到程序给了getflag 开启动态调试,此时在v13[v5] = v7;处下断点。 如图所示输入 转到汇编指令,查看这个地址(edx存的就是输入9,看看他把9...
攻防世界-pwn stack2(ROP)
菜的只能随便写写博客
10-28 2027
0x01 文件分析 32位elf 无PIE   0x02 运行分析  程序的功能主要有四个,在输入前面两个初始化的变量值之后,就可以看到后面的几个功能。   0x03 IDA分析 //IDA 静态分析得出的代码: int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // eax uns...
攻防世界stack2逻辑漏洞题
csdn546229768的博客
11-16 3738
到了进阶题目越来越好玩了,发现解出来一道题有解数学那味了 嗯,拿到题目一看逻辑题,做题刚打完比赛(第一次)被逆向和pwn的逻辑题给整怕了,这次遇到这种题目,我选择硬刚! 首先读懂题目的内在逻辑,并关注常见的pwn漏洞,首先一步步分析 这里有个循环100次接收输入,全局的看了下都是在对buf操作,先标志一手,但是这里无法产生溢出,那么看下面 首先看到for里面初始化j = v5 ,那么这个j也就是我们可控的标记一下,然后就是死循环,每次循环后调用一次printf select1就是显示所有值、select
pwn stack2
weixin_45677731的博客
03-15 217
拖进32位ida 大致分析一波,这个程序就是你可以往这里面存一些数字,然后选择展示数字,增加数字等操作,这题我又学到了一个新的较为隐蔽的漏洞:数组溢出 看这里,当我们选择3,add number选项时,虽然v13数组定义的是100个,但是对v5没有任何的检测,这样一来,我们就能修改任意一个数字,包括100个开外的数据,我们可以利用这一点,改变返回地址等参数 这里的hackhere是用不了的,...
pwnstack2
醉等佳人归
09-07 436
1.题目 1.保护机制 开了canary和nx 2.题目 简单来说就是一个计算器,支持以下功能: 2.思路 重点1:问题出在第三个功能上,第三个功能是支持修改数组中的元素的,但函数没有进行index判断,导致我们通过这个偏移写任意数据到任意偏移地址,即可以覆盖函数返回地址 重点2:程序中给了一个后门函数,但是运行后发现没有/bin/bash,所以我们要自己调用system,参数的话直接使用/bin/bash中的sh即可 from pwn import * context(arch="i386",os=
攻防世界pwn stack2
12-14
攻防世界中,PWN题目通常涉及到二进制漏洞的利用,而stack2是其中一种常见的栈溢出题目。以下是对stack2的一些介绍: ### 什么是Stack2Stack2是一种栈溢出漏洞的利用题目。栈溢出是指程序在向栈上写入数据时...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值