【pwn】ciscn_2019_es_2

最新推荐文章于 2024-01-30 19:53:40 发布
最新推荐文章于 2024-01-30 19:53:40 发布
阅读量2.7k 收藏 1
点赞数 3
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_36788573/article/details/103689296
版权

例行检查
在这里插入图片描述分析程序,程序存在system函数,但是不能直接得到flag。
在这里插入图片描述
vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。
根据一下汇编代码布置栈数据。
在这里插入图片描述
在这里插入图片描述

from pwn import *

#io=process('ciscn_2019_es_2')

sys_plt=0x8048400</
最低0.47元/天 解锁文章
不干正事的拖延症患者
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
ciscn_2019_es_2
小白垃圾笔记2
05-21 664
小白垃圾做题笔记,不及建议阅读。声明,exp来自网络,调试过程自己调试,对于题目的理解仅供参考。由于本人也是小白,且pwn全靠自己摸索,所以有很多理解不到位的地方。如有错误,欢迎指正。
[PWN] BUUCTF ciscn_2019_es_2
空城惜梦的博客
06-20 1237
[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考: 解题分析 按照惯例checksec一下,开了NX与RELRO 运行程序,查看逻辑,两次input,并且回显Hello,input 32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着栈溢出,若有backdoor直接获得flag的话,可直接构造 payload=0x28*‘a’+ebp+backdoo
[PWN] 栈迁移 ciscn_2019_es_2
LDX的博客
11-28 316
栈迁移 基础题目 理解 ciscn_2019_es_2
PWN · 栈迁移】[BUUCTF]ciscn_2019_es_2
Mr_Fmnwon的博客
07-30 477
当前溢出可用空间比较少时(极端情况下仅能覆写ebp和ret),可以通过栈迁移的方式,扩大shellcode的容纳空间,其核心是将esp移动到一段shellocode开头。而esp总是由ebp赋值,所以总是通过两次leave;ret的方式修改esp到固定位置。一、代码审计有两次读入操作。read进的内容超过字符串的长度,存在栈溢出漏洞。然而计算溢出长度,发现只有8字节,即刚好可以覆写ebp和ret。发现system的函数(意味着plt对应的表项存在),然而这个hack函数并不能给出flag。
BUUCTF ciscn_2019_es_2
红叶的博客
11-02 315
栈迁移。
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
最新发布
2301_79326813的博客
01-30 297
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
ciscn_2019_es_2【BUUCTF】
qq_41696518的博客
09-02 855
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前栈中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
ciscn_2019_es_1
m0sway的博客
04-20 371
ciscn_2019_es_1 WriteUp BUU_PWN
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1011
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
[BUUCTF]PWN——ciscn_2019_es_7[详解]
mcmuyanga的博客
01-12 1513
ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想到了SROP,之前遇到过一次,关于原理可以看一下这两篇文章 https://www.freebuf.com/articles/network/87447.html https://ctf-wiki.org/pwn/linux/stackoverflow/advanced-rop/srop/?h=+sr
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
Pwn】NCTF2019 pwn me 100 years! (Ⅲ)
Nothing
11-28 8144
main函数 首先创建了一个0x10大小的堆块,最后如果这个堆块的值为0x66666666那么执行/bin/sh。那么想办法分配到这块内存空间即可。 看看中间的菜单,找到漏洞在edit函数中,read为固定的0x20个字节,由于最小堆块的大小是0x10,共享pre_size的8个字节,0x10和0x18分配的大小都是0x10字节,所以存在0x10个字节的溢出,但是0x10大小的字节只能覆盖到...
pwnciscn_2019_s_3
Nothing
12-14 4510
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
(Jarvis Oj)(Pwn) Smashes
Nothing
06-14 2394
(Jarvis Oj)(Pwn) Smashes 查看保护。打开了栈保护。看上去有点麻烦。 再来分析下程序代码。如下是主要的函数体部分。 这个函数首先让我们输入name字符串,通过gets()函数,是有溢出的,但是在输入过长的字符串时程序会abort。 并且提示 ./smashes terminated 这里其实是ssp(Stack Smashing Protector)的提示...
buuctf [HarekazeCTF2019]baby_rop2
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值