BUUCTF PWN wp--ciscn_2019_n_8

于 2024-09-03 19:55:03 发布
阅读量761 收藏 14
点赞数 15
文章标签: CTF PWN 二进制 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_81740139/article/details/141870287
版权

第一步  checksec一下,本题为32位。

分析一下保护机制:

一、RELRO: Partial RELRO

  • Partial RELRO 提供了一定程度的保护。在这种情况下,部分重定位表在程序启动时被设置为只读。这可以防止一些针对重定位表的攻击,比如通过篡改重定位表中的函数地址来执行恶意代码。但是,与 Full RELRO 相比,保护程度相对较弱。Full RELRO 会将整个重定位表以及全局偏移表(GOT)设置为只读,提供更全面的保护。

二、Stack: Canary found

  • 栈保护机制对于防范缓冲区溢出攻击非常重要。当函数被调用时,一个随机值(栈金丝雀值)被放置在栈上。在函数返回之前,程序会检查这个值是否被修改。如果栈金丝雀值被破坏,说明可能发生了栈缓冲区溢出,程序可以采取相应的安全措施,如立即终止程序运行,从而防止攻击者利用缓冲区溢出进一步控制程序执行流程。

三、NX: NX enabled

  • 开启 NX(No-Execute)保护意味着将内存分为可执行区域和不可执行区域。数据所在的内存区域被标记为不可执行,这样即使攻击者能够在数据区域注入恶意代码,也无法执行这些代码。增加了攻击者利用缓冲区溢出等漏洞执行任意代码的难度。

四、PIE: PIE enabled

  • PIE(Position Independent Executable)使得程序在每次运行时,其代码段和数据段在内存中的地址都是随机化的。这使得攻击者难以预测程序的内存布局,从而增加了利用内存漏洞进行攻击的难度。例如,攻击者通常需要知道特定函数或数据的地址才能进行攻击,但在 PIE 启用的情况下,这些地址在每次程序运行时都可能不同。

第二步   进入主函数,发现关键字眼/bin/sh,我们分析一下含bin的这部分代码

  • *(_QWORD *)&var[13]:
    • _QWORD 是一个类型定义,通常表示一个64位的无符号整数(在64位系统上)。
    • &var[13] 是取数组 var 第14个元素的地址(因为数组索引是从0开始的)。
    • (_QWORD *)&var[13] 是将 var[13] 的地址转换为 _QWORD 类型的指针。
    • *(_QWORD *)&var[13] 是解引用这个指针,从而获取 var[13] 到 var[13+7](因为一个 _QWORD 是8字节)这一段内存表示的64位值。
  • if ( *(_QWORD *)&var[13] ):
    • 这个条件判断是检查 var[13] 到 var[13+7] 这8个字节组成的64位值是否不为0。如果这个值不为0,则进入下面的代码块。
  • if ( *(_QWORD *)&var[13] == 17LL ):
    • 在第一个条件成立的基础上,这个判断是检查这8个字节组成的64位值是否等于17(17LL 表示17的long long类型,即64位整型)。
    • 如果这个值确实等于17,那么将执行 system("/bin/sh");。

由于这里是var[13]=17LL,而var数组可以覆盖到了var[15]如图

第三步  编写脚本

为什么乘以14,因为,数组13是第14位(下表为零开始)

运行成功

无 双
关注
BUUCTFpwn】解题记录(4-6页持续更新中)
Assassin
08-06 2170
一起继续刷BUUCTF把~
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 574
Buu CTF PWNciscn_2019_c_1的WriteUp
学习笔记:buuctf pwn
RookieMOR的博客
06-18 497
学习笔记,有不对的请大家指出
buuctf习题pwn(2~10)
yw__y的博客
03-30 1171
BUUCTF Pwn 1-12题解析及答案
红叶的博客
02-28 1594
这里使用fmtstr_payload直接替换 atoi_got 的原因是got表才是程序运行时函数的真正地址,通过替换atoi,修改为system,再送入'/bin/sh\x00' 即可成功getshell。s 的大小是0x3C,那么我们只需要输入 0x3C,也就是60 / 3 个I即可溢出,之后的内容我们可以就可以构建ROP链。也就是说,我们最多输入32个字节的东西,根据上文,我们可以输入32个I,这样就是32个you,也就是96个字节。0x0F + 0x08 代表 s 的大小加上8字节大小的rbp。
BUUCTFpwn题解(一些栈题+程序分析)
热门推荐
swedsn
01-13 1万+
文章目录前言一、test_your_nc二、rip2.读入数据总结 前言 萌新的总结(包含当时做题的全过程),方便以后查看。有什么不对的望各位大佬指点。 一、test_your_nc 1.直接nc(nc+的ip+端口号)。这里是直接进入了对方的shell命令中(有些题目是直接进入对方的文件并不会进入对方的shell中)。接下来就是和操作自己的shell一样的,ls查看目录,cat查看文件flag。 相互连接 二、rip 1使用IDA打开文件,先找main函数,然后按F5查看伪代码。看wp说fun可疑,点进
ciscn_2019_en_3
fayinq的博客
03-14 479
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2106
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
2021第十四届全国大学生信息安全竞赛WPCISCN)-- pwn部分
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
pwn题堆利用的一些姿势 -- free_hook
lifanxin的博客
04-16 4980
free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结 pwn题堆利用的一些姿势 – malloc_hook 概述   在做堆题的时候,经常会遇到保护全开的情况,其中对利用者影响最大的是PIE保护和Full RELRO,NX保护和栈保护对堆利用来说影响都不大,一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变,需要泄露代码段基地址才能利用存储在bss段上的堆指针;开了Full RELRO的话,则意味着我们无法修改got表,导致无法修改其它函数got表指向system,进一步获取到shell
BUUCTFpwn】解题记录(1-3页已完结)
Assassin
05-05 1958
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
BUUCTF-PWN
weixin_52125240的博客
12-04 2585
BUUCTF-PWN1.test_your_nc2.rip3.warmup_csaw_20164.ciscn_2019_n_15.pwn1_sctf_2016 1.test_your_nc 根据名字的提示,来测试一下我们的nc cat flag 得到我们的flag nc的使用 nc的全名是netcat,其主要用途是建立和监听任意TCP和UDP连接,支持ipv4和ipv6。因此,它可以用来网络调试、端口扫描等等 常用语法: nc [-hlnruz][-g<网关...>][-G<指向器数目&
BUUCTF PWN方向 1-6题 详解wp
最新发布
qq_62564422的博客
02-06 1724
构造payload:变量声明后顺序入栈,每个标识表示变量所占栈空间底部,s为输入的变量,则其需要覆盖的长度为0X3C~0X00(0X3C字节),0X00处表示返回地址值(4字节)需要覆盖;返回地址的数据(8字节)(被垃圾数 据覆盖后则改为访问之后地址)+(返回地址 地址数+1)(远程端使用了ubuntu18,ubuntu18以上版本调用64位程序中的system函数需要栈对齐,在执行system时有一个指令需要栈对齐 ,所以地址+1)而且这个空间是连续的,v1之后就是v2,他们的内存块是接在一起的。
BUUCTF-PWN刷题记录-14
weixin_44145820的博客
04-29 815
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这题原题目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这题应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF刷题之路-pwn1_sctf_20161
qq_30528603的博客
05-27 478
从我们的运行结果看,会把用户输入的I换成you。那就是说会自动帮我们把1字节变3字节,我们可以利用填充I来让程序自动填充到返回地址前。s距离ebp是0x3c也就是60个字节,那么我们填充20个I再加4个字节填充接着拼接我们的后门地址。但是新的问题产生了,fgets函数较gets函数安全一点,他有长度限制,我们看到s离ebp的距离有0x3c那么远,但是fgets只能输入32个字节,只通过fgets溢出覆盖不到返回地址。看到有个fgets函数,并且限制长度为32。这是一个32位的程序,只开启了NX保护。
BUUCTF PWN-RIP详解
weixin_43780092的博客
09-07 5200
BUU CTF PWN 入门知识详解
持续更新 BUUCTF——PWN(一)
weixin_41748164的博客
08-13 1136
buuctf pwn
[BUUCTF]pwn栏目 ciscn_2019_n_1的题解和小疑问,欢迎讨论(0x01)
XDiku的博客
11-03 260
[BUUCTF]pwn栏目 ciscn_2019_n_1的题解和小疑问,欢迎讨论(0x01)
BUUCTF pwn rip
01-28
根据提供的引用内容,BUUCTF PWN-RIP是一个关于PWN技术的详解文章。文章中提到了64位的EIF文件中rbp寄存器的大小为8个字节。如果对这部分不太理解,可以阅读作者的另一篇关于PWN基础知识的文章。 BUUCTF PWN-RIP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无 双

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值