CTF刷题记录--format2(整数溢出)

于 2024-04-01 22:36:14 发布
阅读量1.1k 收藏 8
点赞数 30
CC 4.0 BY-SA版权
文章标签: 网络安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jerryspaceman/article/details/137243283
文章讲述了作者在一次CTF挑战中遇到的题目,涉及栈溢出、整数溢出和printf函数的利用,通过查找auth函数中的攻击点,利用memcpy的特性进行整数溢出攻击,最终通过覆盖栈帧实现系统调用的执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

###上周做了两个题,结果笨人去准备csp认证去了,准备了一周结果还是考了一坨,麻了,发现可能还是不适合打算法呜呜(羡慕算法大佬),笨人还是乖乖搞CTF手艺活了(两道题的题解回头有时间发,这次先做个难度5的复健去)

format2初试:

https://adworld.xctf.org.cn/challenges/list

题目链接放在上面了,还是攻防世界的(BUUCTF难度好大,下次一定)

DIE结果我就不放图了,结果是32位linux上面的,没有壳。

但是checksec出现了canary found,这就比较有意思了,我也是第一次做这个题目。

查了下资料发现,其实是在我们ebp低四位的位置上插入了一组随机数,导致如果我们还是按照以前栈溢出攻击的时候,就算我们填满它了(污),如果这段随机数不匹配的话,程序自己会停止运行,那么我们需要泄露出来这段随机数。

这样的话,其实有点像格式化字符串的思路(但实际上并不是,,,晕)。

格式化字符串简介:

参考:https://www.freebuf.com/articles/system/317425.html

这位大佬讲的很接地气,可以直接看这位大佬的,这里就不在赘述了。

那就。。。直接来吧!

题目:

根据刚才的思路我们最想找的是printf 最好就是那种 read str之后 的printf

然后我们看看各个函数,找着找着就能发现 correct这个函数有猫腻

发现只要能够auth(v7)成立就行

现在我们找找能攻击的printf

…………………………

然后你会发现好像没啥能攻击的点()并且子函数又臭又长,如果还想着printf的话 实在难绷

但是我们发现有一个函数

memcpy 现在我们可以想到另一个东西,整数溢出(说白了就是利用unsigned /signed之间的范围差进行攻击)

整数溢出:

https://www.cnblogs.com/jopny/p/13527880.html

比较好的介绍如上

接着做题:

但是不应该攻击这里 最直接的攻击方式应该直接去auth里面去看攻击点

memcpy的作用是把input的地址拷贝a1个给v4地址上 注意无论a1是不是有符号数 在memcpy都会转成无符号数,这里就创造了一个攻击点。

v4放在了ebp-0x8的位置上 按理说上面紧跟着就是canary,如果我们放的input+读了很大的a1 就会覆盖掉栈上的东西

我们看一下auth的栈布局:

这很好,没从fs:28内存读东西,没用到canary 喜)

那这样的话,我们反而希望 从input读取的内容覆盖掉ebp 然后直接跳转到system函数就行

但是,观察到

这块v7<=12,因此我们最多读取12个字节覆盖ebp,

现在我们捋一下:输入一个字符串->base64解密(对于解密过程其实不用细看查网页就行)->v7不能大于12->进入auth进行整数溢出

观察到 auth里面

而 leave做的事情是把现在ebp指向的原来基址内容给到ebp上,说白了就是恢复ebp指向的内容。   

mov %ebp,%esp
pop %ebp

现在就很有意思了,我之前刷题少 没见过这种攻击方式,就是说 现在如果我修改了基址ebp的内容 确实不影响后面的执行,但是! 当main函数要退出的时候,他也是会retn的,而它是要跳转到ebp所指内容+4的,就是(%ebp+4)上的,那么现在就很简单了。

我们解码后的input,将ebp覆盖成input的地址,现在演示一下会发生什么

payload='a'*4+sysm+input

系统将ebp覆盖成了input地址,当main退出的时候,转到了存input的地址,先leave,将ebp搞成了aaaa,然后retn将sysm地址给了eip,这样 就攻击成功了。

(之所以选择跳转到input,是因为我们这里只能通过覆盖ebp进行攻击,而不能想过去一样随心所以的retn。)

(服了,wp研究半天)

注意 这里得先到08049284 你得先传参数啊(捂脸)

代码如下:

from pwn import *
import base64
elf=ELF("./format2")
r=remote("61.147.171.105",53358)
sys_addr=0x08049284
inputs=elf.symbols['input']
payload=b'a'*4+p32(sys_addr)+p32(inputs)
r.recvuntil("Authenticate :")
r.sendline(base64.b64encode(payload))
r.interactive()

(还是见题目少,第一次见这种针对main函数的攻击)

Jerryspaceman
关注
2021-08-30 BUUCTF题记PWN
m0_56897090的博客
08-30 657
2021-08-30 BUUCTF题记 题数量:13 题目分类:栈溢出、堆、pwn基础 文章目2021-08-30 BUUCTF题记[Black Watch 入群题]PWN0x00 题目描述0x01 分析思路0x02 EXPez_pz_hackover_20160x00 题目描述0x01 题目分析0x02 思路0x03 EXPjarvisoj_tell_me_something0x00 题目描述0x01 题目分析0x02 EXPJarvisoj_level30x00 题目描述0x01 题目思路0
跟着CTF-Wiki学pwn|格式化字符串(1)
Kni9hT's Blog
05-19 2383
文章目格式化字符串漏洞原理介绍格式化字符串函数介绍格式化字符串函数格式化字符串参数格式化字符串漏洞原理格式化字符串漏洞利用程序崩溃泄露内存泄露栈内存获取栈变量数值获取栈变量对应字符串泄露任意地址内存覆盖内存覆盖栈内存确定覆盖地址确定相对偏移进行覆盖覆盖任意地址内存覆盖小数字覆盖大数字 格式化字符串漏洞原理介绍 首先,对格式化字符串漏洞的原理进行简单介绍。 格式化字符串函数介绍 格式化字符串函数可以接受可变数量的参数,并将第一个参数作为格式化字符串,根据其来解析之后的参数。通俗来说,格式化字符串函数就是将计
CTF 两道web整数溢出题目(猫咪银行和ltshop)
weixin_30305735的博客
11-19 1168
①猫咪银行: (2018中科大hackgame) 一开始给十个CTB,而flag需要20个CTB,我们需要理财赚够20个。 理财是只能买入TDSU才可以获得收益。我们先上来直接把CTB全部换成TDSU。 上边是我们花了所有TDSU:66060买了19分钟后的收益。(因为一个账号最多存在20分钟,计算你用脚本极限也不能买20分钟,必须留一分钟用来换TDSU和买入,取出等操作) ...
从一道CTF题看整数溢出
csd_ct的专栏
06-07 1799
整数溢出漏洞是程序开发过程中危害较大的一种漏洞,经常是PWN中各大神的突破点,利用此跳板,攻入系统,进而攻陷真个系统。此类漏洞不容易发觉,也不容易引起编程人员的注意。 近期在研究“网鼎杯2020白虎组”的比赛试题中,有一道RE逆向题目-“恶龙”,涉及到整数溢出,如利用此漏洞,可快速拿到Flag。本题解题思路有多种,详见 https://blog.csdn.net/Palmer9/article/details/106117208/,这篇博客中有详细的解释。网上大多数的解法是,动...
整数溢出
每昔的博客
07-27 1183
     转自:   https://blog.csdn.net/ioio_jy/article/details/50576353         整数分为无符号整数以及有符号整数两种。其中有符号整数会在最高位用0表示正数,用1表示负数,而无符号整数则没有这种限制。另外,我们常见的整数类型有8位(单字节字符、布尔类型)、16位(短整型)、32位(长整型)等。关于整数溢出,其实它与其它类型的溢出一...
CTF PWN-攻防世界Overflow整数溢出漏洞
道阻且长,行则将至
07-29 2409
本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出。一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。
php整数溢出 ctf,经典整数溢出漏洞示例 XCTF int_overflow
weixin_42516581的博客
03-26 1541
原标题:经典整数溢出漏洞示例 XCTF int_overflow 本文为看雪论坛优秀文章看雪论坛作者ID:IS信息整数溢出原理整数分为有符号和无符号两种类型,有符号数以最高位作为其符号位,即正整数最高位为1,负数为0,无符号数取值范围为非负数,常见各类型占用字节数如下: 对于unsigned short int类型的两个变量var1、var2,假定取值var1 = 1,var2 = 65537。 ...
PWN dragon echo1 echo2 [pwnable.kr]CTF writeup题解系列16
重新启程
01-06 806
由于pwnable.kr说明了不要将题解的利用脚本直接提出来,所以我就简单说下思路,本篇包括三个题目 目 0x01 dragon 0x02 echo1 0x03 echo2 0x01 dragon 执行步骤 整数溢出漏洞:pDragon->HP 的类型是 signed byte,所以当超过127,就是负数了。这就是整数溢出漏洞 uaf漏洞: 1. malloc person...
CTF pwn 方向部分题解
kali_Ma的博客
01-12 1455
dataleak 用”\或者/都可以跳过2个\x00,但是每次用”\会拷贝4个字节到buf中,导致最后的3字节数据无法泄露,所以用/\配合垃圾数据填充来控制泄露字符串。 exp: #!python #coding:utf-8 from pwn import * import subprocess, sys, os from time import sleep sa = lambda x, y: p.sendafter(x, y) sla = lambda x, y: p.sendlineafter(x
CTF比赛 二进制 PWN方向入门:基础知识点精讲
qq_62564422的博客
02-05 2298
称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态。这些参数仍会保存在调用函数(caller)的函数状态内,之后压入栈内的数据都会作为被调用函数(callee)的函数状态来保存。再将当前的ebp 寄存器的值(也就是调用函数的基地址)压入栈内,并将 ebp 寄存器的值更新为当前栈顶的地址。p2 1:59:00 开始。
php整数溢出 ctf,CTF 两道web整数溢出题目(猫咪银行和ltshop)
weixin_39644614的博客
03-26 1347
①猫咪银行: (2018中科大hackgame) 一开始给十个CTB,而flag需要20个CTB,我们需要理财赚够20个。理财是只能买入TDSU才可以获得收益。我们先上来直接把CTB全部换成TDSU。 上边是我们花了所有TDSU:66060买了19分钟后的收益。(因为一个账号最多存在20分钟,计算你用脚本极限也不能买20分钟,必须留一分钟用来换TDSU和买入,取出等操作)还是不行,算上收益的钱12...
CTF笔记:溢出利用
PwnGuo的博客
05-19 1159
整数溢出 典型整数溢出利用 这个 v3 是一个无符号数,最大只能 255,如果超过的话就会进行 mod 255所以可以传入一个总共是 0x105 的, 这样他的得到的就是 6 是符合长度限制的,从而绕过 if 的检测dest 的大小是 0x11h,加上 ebp 的 0x4h,所以需要在前面填充 0x15h 后门程序 exp: python2 #coding=utf-8 from pwn import * p=remote('node3.buuoj.cn',29748) p.recvuntil("na
DDCTF-xpwn-格式化字符串,整数溢出,劫持函数
playmaker的博客
04-22 472
首先查看保护 放入IDA中查看主函数 int __cdecl main(int a1) { int v1; // eax char buf; // [esp+0h] [ebp-4Ch] size_t nbytes; // [esp+40h] [ebp-Ch] int *v5; // [esp+44h] [ebp-8h] v5 = &a1; setbuf(stdo...
XCTF-攻防世界CTF平台-Web类——18、favorite_number(命令注入)(php5.5.9整数溢出、preg_match正则表达式绕过)
Onlyone_1314的博客
01-15 3823
标题方法1:ls -i方法2:定义变量输出方法3:写到文件输出方法4:``和$()命令替换 打开题目地址: 提示了源代码,以及php版本是5.5.9 <?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff === $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match("/^
CTF[PWN]--栈迁移、格式化字符串漏洞、随机数撞库
2301_79880752的博客
03-11 1185
开启NX,64位,动态编译,IDA分析:两次读入,第一次读入结束给了我们read函数的地址,第二次读入可以栈溢出,但是只能覆盖一个返回地址,自然而然的想到了栈迁移,因为第一次给了我们地址,就可以通过偏移去求出第二次read读入的起始地址由于本题给了提示,用的是ubuntu 16.04,因此libc库应为libc2.23(后来才知道,由于之前做题都是打本地,导致当时做这题的时候本地脚本写的很快,但在连接远程libc时却花了大功夫)
攻防世界-PWN-Format2解题过程
aptx4869_li的博客
07-24 540
# 解题思路 ## 安全机制检查 ``` healer@kali:~/Desktop/format1$ readelf -h format1 ELF Header: Magic: 7f 45 4c 46 01 01 01 03 00 00 00 00 00 00 00 00 Class: ELF32 Data: 2's complement, little endian ...
整型溢出漏洞
热门推荐
ATFWUS的博客
03-02 2万+
0x01.整型在计算机系统中的相关知识 0x02. 上界溢出和下界溢出 上界溢出: 下界溢出: 0x03.漏洞利用 0x01.整型在计算机系统中的相关知识 在计算机中,整数类型分为无符号整数和有符号整数 两种。 有符号整数会在最高位用0表示正数,1表示负 数,而无符号整数则没有这种规则。因为计算机只认得二进制,认不得符号。 无符号的汇编代码是对内存进行加法运算. 在计算机...
CTF2
qq_41409656的博客
01-18 1313
题1:ipspoofing直接访问,查看源码都没发现什么把网页啦到最下面点击进入后发现是一个登陆界面,在登陆界面查看网页源码,发现用户名和面直接在网页登陆发提示IP不在范围内,通过Burp抓包登陆看看发现提示了一个127.0.0.1的IP,伪造一个IP看看,获得flag题2: phpinfo直接访问就是一个phpinfo()的放回信息,而且链接变成了 index.php?path=phpinfo.
CTF-Candy-master怎么使用
最新发布
03-14
好的,用户想了解CTF-Candy-master的使用方法,特别是如何运行它。首先,我需要确认这个工具的基本信息。CTF-Candy-master应该是一个用于CTF比赛的工具,可能涉及加解密或漏洞利用。根据用户提供的引用[^1],Tunna...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值