该文件是32位的,canary和PIE保护机制没开。
总览:
该函数就是:v5初值为1,对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数。
同时,发现文件里面已经含有cat flag的函数:
函数snprintf介绍:
printf("cat %s", "./flag")是将cat ./flag输出到屏幕上。
snprintf(s, 0x32, "cat %s", "./flag")是最多将后面的字符串("cat ./flag")输入0x32个到变量s上。
所以,我们要想办法去执行这个cat_flag函数。现在我们已知的漏洞点是scanf对v2输出存在溢出。再根据程序的第3行到第8行中变量的声明可了解到v2可以溢出覆盖数组v3、数组s、变量v5甚至是所在栈帧的返回地址。
一个常规的解法是覆盖v3[0]为cat_flag函数的地址值,然后进一步想办法使执行循环后,v5的值为1。这样在最后就会调用v3[--1]指向的函数,即get_flag函数。
v5的初值为1,所以在switch中为case 1。其条件判断为:
因为v5本来就是1,所以我们只要保持不变就好了,即return false。根据短路原理,只要字符串均为A(ascii=65 < 96)就行了。
0x02:编写exp
from pwn import *
context(os='linux', arch='i386', log_level='debug')
io = process("./forgot")
#io = gdb.debug("./forgot",'b *0x08048A5D')
#io = remote("111.200.241.244",58065)
get_flag = 0x080486CC
payload = b'A'*0x20 + p32(get_flag)
io.sendline("tolele")
io.recv()
io.sendline(payload)
io.recv()
io.interactive()可以成功cat到flag。
因为v2定义的数组大小是32个元素,所以我们还需要考虑的问题是:
我们可以对strlen函数的源代码进行分析:
strlen.c source code [glibc/string/strlen.c] - Woboq Code Browser
对该源代码分析的博客:
c语言库函数strlen源码实现_风雨也从容的博客-CSDN博客_c语言strlen源代码
简而言之,strlen(const char* str)的返回值就是,从首字节开始从1往上计数,到'\x00'停止,且不算入'\x00'。
(注:以下内容仅是个人想法,请保留质疑!)
既然这样,那么payload = b'A'*0x20 + p32(get_flag)岂不是会远远大于32(数组v3中均没有出现'\x00'字节),这样对数组的访问不会报错吗?
其实,我们平时遇到的数组访问越界是由于在集成开发环境(vs,vc…)中会进行检测。但实际上源代码中是没有检测机制的,linux中就是直接对动态库进行链接,相当于是直接使用了源代码。所以,在linux上并不会出现报错。
同样,数组索引的本质实现是基于汇编语言,相当于就是*(v2+i)。在linux中并不会进行越界检测。
我们对c2进行字符串输入后,会自动在字符串末尾添加个'\x00'。即上面实验中c3[14]被赋值了'\x00'。同时,由于get_flag = 0x080486CC,ascii码值均小于96,所以v5不会被改变。
所以,问题也就差不多解决了。
其实在最开始时,我们如果看到了栈溢出和get_flag函数。最先想到的就是直接栈溢出覆盖main函数栈帧的返回地址,结束时直接调用就好啦~
此时,payload = b'A'*0x78 + b'B'*0x4 + p32(get_flag)
(动态调试后发现是0x78,并不是ida中的0x74)
执行后发现pwn不通,动态调试一下:
得知,程序开在了0x08048a61这一步。这不卡住才怪,用eax*4来进行偏移,而eax为0x44444443('CDDD')。
在ida中继续对eax值的来源进行调查:
对该处按F5查看反汇编代码,发现((void (*)(void))v3[--v5])(); 这里的。上一步是将esp + 78h的值赋给了eax,esp + 78h对应的变量则是v5。由于我们直接覆盖到返回地址,所以图中也把v5给覆盖了,值还挺大的。早就超了最大空间,所以执行不下去了。
以前在做题过程中遇到问题总喜欢逃避,毕竟这是“解决”问题最轻松的一种方式。在做这道题时,我硬逼着自己去思考能够解决问题的方法,以及动手去尝试。一步一步的去解决问题,虽然很慢,但知识学得很实。希望自己能够继续以这种方式面对各种困难。
最后再反省一下:在第一个思路pwn不通的时候,直接丢个代码和exp问群里的师傅为啥pwn不通?现在想想这样去提问还挺不好的,这将会浪费师傅们很多时间去确定问题所在。所以,以后问问题的话,尽量缩小出问题的范围,或者将问题转换为概念性的提问。
tolele
2022-06-05
无论您是想搭建桌面端、WEB端或者移动端APP应用,HOOPSPlatform组件都可以为您提供弹性的3D集成架构,同时,由工业领域3D技术专家组成的HOOPS技术团队也能为您提供技术支持服务。如果您的客户期望有一种在多个平台(桌面/WEB/APP,而且某些客户端是“瘦”客户端)快速、方便地将数据接入到3D应用系统的解决方案,并且当访问数据时,在各个平台上的性能和用户体验保持一致,HOOPSPlatform将帮助您完成。利用HOOPSPlatform,您可以开发在任何环境下的3D基础应用架构。HOOPSPlatform可以帮您打造3D创新型产品,HOOPSSDK包含的技术有:快速且准确的CAD
我正在尝试将忘记密码字段与登录页面放在一起,但如果用户未注册(并且不在应用程序数据库中),则它会重定向到原始设计的忘记密码页面并出现错误(http://localhost:3000/用户/密码)。如何使错误出现在与登录页面(http://localhost:3000/users/sign_in)相同的页面中?在app/views/devise/sessions/new.html.erb文件中ForgotPasswordEntertheemailyousignedupwith所以有一个javascript链接,如果用户忘记了他们的登录凭据,输入字段将显示在该链接上。
目录一、世界坐标系与本地坐标系二、srcGameObject.transform.TransformPoint(Vector3 vec)三、srcGameObject.transform.TransformVector(Vector3 vec)四、srcGameObject.transform.TransformDirection(Vector3 vec)五:示例一、世界坐标系与本地坐标系 世界坐标很好理解,就是模型的transform.position,通常在无父物体的情况下,创建出来的模型默认位置就是世界坐标系的原点。 每个物体都有自身的坐标系,此坐标系就是本地坐标系。本地坐标
我很难找到符合我要求的Rails教程(或书籍也很棒):愚蠢Ruby1.9或最新的1.8MySQL一个游戏(简单的掷骰子游戏)JQuery前端谢谢! 最佳答案 RailsforDummies如果愚蠢是一个主要问题,这可能是您最好的选择。 关于jquery-世界上最愚蠢的人(我)的Rails教程?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/3841475/
关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题,以便用事实和引用来回答。关闭7年前。Improvethisquestion出于self教育的目的,我想研究一个复杂的RubyOnRails(最好是3个)业务应用程序的代码,以便我可以了解如何在现实世界中使用Rails做事.有很多“另一个博客”或“另一个CMS”,但我真的在研究一个具有相当高复杂性(在业务规则方面)的Rails应用程序,但不仅仅是CRUD。像房地产系统这样的东西必须足够复杂。或者可能在政府领域(根据定义总是很复杂:))。谢谢。
当我运行像gem-v这样的Ruby命令时,我得到了这个错误:/Users/kristoffer/.rvm/rubies/ruby-1.9.2-p180/bin/gem:4:warning:Insecureworldwritabledir/Users/kristofferinPATH,mode0407771.6.2首先我不明白这是什么意思。根据echo$PATH,/Users/kristoffer不在我的路径中。echo$PATH的结果是:/Users/kristoffer/.rvm/gems/ruby-1.9.2-p180/bin:/Users/kristoffer/.rvm/gems
我想验证给定的字符串是URL。匹配文本中的URL也很好,但不是必需的。我已经搜索并进行了实验,但到目前为止,我还没有找到可以满足这些要求的东西:不得接受在被视为链接时会带来安全风险的字符串。例如,clickme是一个有效的HTML元素,并且至少在某些浏览器中确实有效(引发警报等)。我担心如果我允许任意方案(见下文),它可能会损害安全性(如前所述,例如,此处:WhatisthebestregularexpressiontocheckifastringisavalidURL?)。必须在JavaScript中正常工作。如果它在Java中也能同样工作,那就太好了——我正在GWT中开发,所以这很
所以基本上我有一个Object3D组的子object3D,而子对象的[x,y,z]坐标是相对于父对象的对象空间显示的,我想在其中更改子对象的位置3D空间。所以首先我得到子对象相对于世界空间的位置。varwrld_pos=childobject.matrixWorld.multiplyVector3(newTHREE.Vector3);这将返回child在世界空间中的位置的三元素向量。现在我想设置我自己的位置。所以我创建了一个三元素向量。varnew_pos=THREE.Vector3();new_pos.x=1;new_pos.y=2;new_pos.z=3;childobject.m
当我设置选项continuousWorld=true时,标记不会显示在克隆的图block上,只会显示在主世界上。它是设计行为吗?可能是我没有注意到的其他选项来显示这些标记的存在?UPD:我的目标是在每个世界上重复标记,如下图所示。我调查了continuousWorld和worldcopyjump不适合这个。那么是否可以使传单像图片上那样工作? 最佳答案 不幸的是,据我所知,没有自动和开箱即用的解决方案可以复制Leaflet世界相邻副本上的所有内容(标记、矢量等)。Tomislav提出的最简单的技巧是手动生成内容的额外副本,偏移360
我非常了解HTML5Canvas,我了解使用循环等的基础知识和动画。我正在使用的演示:(单击以制作形状)http://henry.brown.name/experiments/box2d/example-canvas.html我不太熟悉的是Box2D。我正在使用Box2DWeb端口,听说它比Box2D-js更新,我不确定哪个最好。我知道如何初始化“世界”并且我可以在世界中放置对象。然后,我使用Step为世界设置动画-但是到目前为止,为了在屏幕上显示它,我只能使用debugdraw来让它工作,因为它基本上会为你做所有事情。我不想使用调试绘图,而是使用Canvas来绘制,例如一辆汽车,而不