攻防世界pwn RCalc

最新推荐文章于 2022-03-21 21:05:54 发布
原创 最新推荐文章于 2022-03-21 21:05:54 发布 · 541 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

需要知识:ROP,堆溢出

在这里插入图片描述

发现查询没开PIE和canary。
在这里插入图片描述

程序在最开始申请了几个堆空间,并不允许我们自己申请,而且整个程序并没有free的地方,所以常规的堆漏洞并不容易利用,这时候我们就继续往下看。
在这里插入图片描述

这里可以看到,主要功能函数处有一个没有输入限制的字符串,由此我们就联想到使用常规的ROP。

在这里插入图片描述

但是程序在主要功能函数中添加了随机数植入,构造了一个自定义的canary,我们只要覆盖了这个随机数我们的程序退出时就会报错。
canary取值
在这里插入图片描述

不同就会报错
在这里插入图片描述

这样我们利用ROP也就变的不是非常简单了,我们就需要泄露这个值或者覆盖这个值看看。<

最低0.47元/天 解锁文章

200万优质内容无限畅学
PWN系列】攻防世界pwn进阶区welpwn分析
Vicl1fe的博客
10-11 524
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 分析 下载文件直接拖入ida分析。开了NX保护,一般就是rop 函数代码也比较简单。read那里也不存溢出。都是0x400。 紧接着调用了echo函数。 在echo函数中,将大小为0x400的buf中的值复制给大小为0x10的s2,。很明显会造成溢出。唯一的问题就是,如果Buf中含有\x00。会中断循环。 函数运行的整体流程就是,用户输入的字符串会存放到buf中,在echo函数中,将buf复制到s2时造成了溢出。通过循
攻防世界)(pwn)mary_mroton
PLpa的博客
07-20 921
经过一段时间的研究,终于接触到Canary了,不容易啊 拿到本题查看保护 开了NX和Canary两种栈保护,我们运行一下出现,看一下程序逻辑: 根据我们对英语强大的理解 (翻译软件的腻量)我们可以看到1标题是栈溢出漏洞函数,2是格式字符串漏洞函数,3为退出,既然他都告诉我们了,我们也不用客气直接用就可以了。 我们可以用格式字符串漏洞泄露Canary的值,然后再进行简单的栈溢出,把Canary填...
攻防世界 newbie_calc
qq_42882717的博客
11-26 262
//#include<iostream> #include<stdio.h> //using namespace std; int sub_401100(int a, int b) { return a * b; } int sub_401000(int a, int b) { return a + b; } int sub_401220(int a, int b) { return a - b; } int main() { int v3; // eax int ...
攻防世界PWNRCalc题解
seaaseesa的博客
11-19 1530
RCalc 首先,检查一下程序的保护机制,还不错,只开了NX 然后,我们用IDA分析 看到这,感觉像是堆的题,应该会很复杂。然而,我们再看看其他地方,发现这个函数只是在初始化时调用的,也不太可能会被利用,而且程序全程没有调用free函数 然后,我们瞧瞧其他函数,看到这里感觉好复杂,然而,它只是一个用来生成随机数的函数罢了 然后,我们继续看其他函数 这个样子,好像是can...
攻防世界PWN之calc2题解
seaaseesa的博客
12-12 1212
calc2 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,发现libc被静态编译进了程序中,又由于没有开启PIE,,所以,我们就直接可以获得需要的函数的地址。然而,我们发现,system、execve这些函数都没有,有没有one_gadget,那么我们只能通过系统调用来构造ROP执行/bin/sh来getshell 发现,该程序是一个四则运算表达式计算程序 其中,我...
Rcalc(xctf)
weixin_43868725的博客
08-30 431
0x0 程序保护和流程 保护: 流程: main() init_heap() qword_6020F8存放着第一个申请的chunk,qword_6020F0存放着第二个申请的chunk,*(qword_6020F8+8)存放着第三个申请的chunk,*(qword_6020F0+8)存放着第四个申请的chunk real_main() 程序没有开启canary保护,但是通过create_random()和get_random()实现了canary的功能。在输入name的时候没有限制长度,存在栈溢出。
攻防世界 Pwn welpwn
MrTreebook的博客
12-25 2588
攻防世界 Pwn welpwn1.题目下载地址2.checksec3.IDA分析4.exp 1.题目下载地址 点击下载 2.checksec 没有canary 没有PIE 3.IDA分析 main函数中有一个可以输入的地方,但是不能溢出 接着往下看 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到一个特殊的gadget,它就是破题的关键 我们
攻防世界 welpwn WP
Zarcs_233的博客
01-29 1013
这道题出的确实很wel 拿到这题,查看保护 发现shellcode走不通,一般都是走rop路线 IDA打开,分析代码,发现main函数内调用了echo函数 这里的buf有0x400大,但是main不存在栈溢出,继续点开echo 这里我们发现有一个赋值的过程,但是a1也就是buff有0x400,而s2只有0x10字节。 很明显,复制过程中存在栈溢出,但是我一开始没发现这一点,那就是这个赋值的终止...
攻防世界-PWN进阶区-welpwn(RCTF-2015)
weixin_44145820的博客
02-27 1168
题目分析 首先看一下开了哪些保护 因为开了NX,所以考虑使用ROP或者return-into-libc 用IDApro分析一下源代码 可以看出main函数中不存在注入点,我们看一下echo函数 在eho函数中,缓冲区至分配了0x10大小,但是传入的buf有0x400字节,因此可以看出存在溢出 不过拷贝遇到\x00就停止了,这个时候我们只能注入一个返回地址。 但是在ROPgadget里面能找到...
攻防世界高手进阶区 ——Welpwn
weixin_62675330的博客
03-21 1187
攻防世界高手进阶区 ——Welpwn 分析文件 checksec分析 coke@ubuntu:~/桌面/CTFworkstation/OADW/welpwn$ checksec welpwn [*] '/home/coke/桌面/CTFworkstation/OADW/welpwn/welpwn' Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX e
[XCTF-pwn] 30_xctf-3rd-RCTF-2017_rcalc
weixin_52640415的博客
03-09 281
程序本身有溢出,未开pie,got表可写。但是calc有密码校验。 数据结构: 两个0x20块存计数器和指针 0x110块存输入数据 0x330块存使用的密码每次向后加一个提前放入 漏洞: 指针下边界无限制可溢出写,每次会写入输入的数据,通过输入超过33个数覆盖密码区。 思路: 先溢出写入rop 向前移动输入块,清密码1(返回时候用) 选择退出,这时与当前密码指针重叠,可以绕过检查 退出后执行rop得到libc并重入 同1-4写入system(/bin/sh) 完整ex...
RCTF-RCalc WP
qq_41252520的博客
07-28 684
保护 分析 IDA分析代码,部分函数名经过我的分析已被重置 这部分函数主要就是申请了两个,我称之为calc的结构,并给该结构中的buf成员申请空间。 这个函数很明显存在栈溢出,值得注意的是scanf("%s",v1)是以空格作为输入结束的标志,并且作者刻意实现了自定义的canary保护。在一开始随机一个数,存放在answer中,在尾部又从前面申请的calc结构中取出来进行对比 ...
攻防世界——pwn_forgot
syk的博客
05-28 1754
checksec gdb -q ./forgot start i r exp: `#!/usr/bin/env python coding=utf-8 from pwn import * context(arch = ‘i386’, os = ‘linux’) r = remote(‘111.198.29.45’, 32048) overflow = "A"63 addr = 0x080486c...
攻防世界PWN之Supermarket题解
seaaseesa的博客
11-15 2541
Supermarket 首先,看一下程序的保护机制。看起来还不错 然后,我们用IDA分析一下 分析出程序大概有这样的一个结构体 typedefstructNode{ charname[16]; intprice; intdescription_size; char*description; }Node;...
php {0110 &^ 1011 =,从一道CTF题目中学习新的无字母webshell构造
weixin_35460589的博客
03-20 383
前言前几天的RCTF2020中,有一道web题calc考察的是构造无字母的shell,非常有学习意义,这里跟各位师傅分享一下。本人菜鸟一枚,文章中如有不对的地方,望各位师傅指出,勿喷~~~题目分析error_reporting(0);if(!isset($_GET['num'])){show_source(__FILE__);}else{$str = $_GET['num'];$blacklist...
攻防世界pwn supermarket + 实时数据监测
PLpa的博客
02-13 1009
supermarket 这是一个典型的堆题,菜单类型。 只开了NX保护的32位程序。 我们来分析一下程序 程序实现了增删改查,其中改可以改价格和商品的描述,我们重点看改描述,因为程序的漏洞就在这里。 首先让我们输入商品的名字,通过名字来找到商品,这里我们就可以伪造商品了。继续往下看会看到程序让我们输入描述信息的size。通过程序分析我们知道(&s2)[v1]+5是结构体中存储堆的si...
攻防世界pwn)house_of_grey——Linux系统文件初探
PLpa的博客
03-06 1107
前言: 此题涉及到Linux的两个系统文件:maps和mem,不了解的可以看科普(传送门)。 64位,保护全开,打开IDA64看看程序到底是怎么设计的。 可以看到程序首先打开系统,然后用mmap映射了一片区域,并对fn函数进行操作,我们双击进入fn函数看看情况: fn函数里边又5个功能,没个功能都有用途,分析一下每个功能: 第一个功能从字面意思看就知道是用来定位文件,然后打开他,但是不能打...
攻防世界-pwn-实时数据监测
xxxsdd的博客
02-22 1183
1.ida查看代码 2.查看保护机制 什么都没有开 3.知识点 格式化字符串漏洞 例子 printf("aa%16$n") 32位程序时 会向栈地址为esp+15中的地址addr所指向的内存单元写入2 因为aa表示了两个字节所以向[addr]中 写入2 若想写入15 则可以利用 printf("a*15%16$n") or printf("15x%16$n") 来向栈地址为esp+15中的地...
攻防世界)(pwn)welpwn
PLpa的博客
07-18 2792
首先,放在最前面:这题服务器远端的libc版本是libc-2.23.so而不是libc-2.19.so的版本(害得我编译半天出不来) 看到题目,我们下载附件,一看是个tar.gz文件,我们解压一下,发现里面有三个文件: 我就心想,这个攻防世界怎么就这么好心这次,以前要给的时候从来不给,这次这么大方???答案是大错特错,这就是个骗局,这个反而是个障碍,版本根本就是错的(但仔细一想,有可能是出题者故...
攻防世界pwn pwn-100
最新发布
01-18
### 关于攻防世界PWN-100题目的解答 #### 解决方案概述 对于攻防世界PWN-100题目,通常涉及的是基础的缓冲区溢出攻击。这类题目旨在测试参赛者对Linux防护机制的理解程度以及绕过这些保护措施的能力。常见的技术...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值