【pwn】ciscn_2019_es_2

最新推荐文章于 2022-10-29 12:08:24 发布
最新推荐文章于 2022-10-29 12:08:24 发布
阅读量2.7k 收藏 1
点赞数 3
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_36788573/article/details/103689296
版权

例行检查
在这里插入图片描述分析程序,程序存在system函数,但是不能直接得到flag。
在这里插入图片描述
vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。
根据一下汇编代码布置栈数据。
在这里插入图片描述
在这里插入图片描述

from pwn import *

#io=process('ciscn_2019_es_2')

sys_plt=0x8048400</
最低0.47元/天 解锁文章
不干正事的拖延症患者
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
oracle常用维护语句
建伟博客
11-21 781
1、如何查询Oracle 编码格式http://write.blog.csdn.net/postedit select value from nls_database_parameters where parameter='NLS_CHARACTERSET'; VALUE ------------------------------------------------------------
ciscn_2019_es_2
z1r0的博客
12-08 200
ciscn_2019_es_2 查看保护 有溢出,但是溢出有限,所以可以考虑一下栈迁移。 栈迁移其实就是通过ebp和esp间接跳板来控制eip执行system即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 28028) else: r = pro
ctf【ciscn_2019_s_3】
HUANGliang_的博客
10-29 469
ciscn_2019_s_3
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2019_s_3
m0_48127441的博客
04-07 167
pwn题目主要是为了获得flag文件 一般使用 syscall(exec) 获得shell 或者使用open + read 获得文件内容 syscall(rax= 0x3B, rdi = '/bin/sh', rsi = 0x0, rdx = 0x0) //execve 函数调用syscall system函数调用execve函数 因为封装过,调用参数有所变化,保护机制也有所区别 该题能栈溢出,但是不知道栈地址 发现正常输出(输入小于0x10的数据时),会讲rsi地...
ciscn_2019_es_1
z1r0的博客
01-12 855
ciscn_2019_es_1 查看保护 有一个uaf在call函数里,2.27下可以double free的libc,思路很明确,直接申请大堆泄露出libc_base,再double free劫持tcache链表,写入free_hook进tcache。改hook为one_gadget即可。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1006
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
CTF buuoj pwn-----第12题: ciscn_2019_s_3
bing_Max的博客
10-09 1472
函数分析 编写exp from pwn import * sh = remote('node4.buuoj.cn', 27939) context(arch='amd64',os='linux', log_level='debug') main_addr= 0x4004ED # 这里其实是vuln的地址, main地址会错:timeout: the monitored command dumped core payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p.
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 365
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
ciscn_2019_es_2(栈迁移)
qq_51687381的博客
08-27 245
代码不复杂,就是两个read和两个print 关键在于这个read的大小和v1的位置。 0x28的和0x30的大小,让我们直接rop的话只能溢出到ret的位置,而不能控制ret函数的参数。 这里就需要用到栈迁移,就把栈的位置往上提,让我们可以控制到ret和ret的参数。 既然我们想让栈往上提,那么就必须知道栈的具体位置,而我们知道,对于一个函数的栈帧中,有地址的位置就是ebp的位置,所以我们可以泄露出ebp的位置进而得到栈的位置。 from pwn import * a=proces...
ciscn_2019_es_2的wp
wuyvle的博客
02-16 2066
32位,看看函数主体 read函数0x30只能刚好覆盖ebp和ret。所以我们要用到栈迁移 栈迁移核心思想就是利用leave和ret转移ebp和esp。leave和ret常用于复原栈 leave=mov esp,ebp pop ebp ret=pop eip 首先我们泄露ebp的地址 查看栈区 偏移地址 0x118-0xe=0x38 esp指向了我们写入的system,接下来的ret就会使eip指向system函数。 ebp-0x38指向aaaa的地址。aaaa实际就是leave_ret后的ebp指向
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值