ciscn_2019_es_2

最新推荐文章于 2023-05-03 11:49:59 发布
最新推荐文章于 2023-05-03 11:49:59 发布
阅读量621 收藏
点赞数
分类专栏: pwn 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xieyichensss/article/details/116425193
版权

这一题主要是利用栈迁移,这对我来说是新知识,所以花了比较长的时间来复现和看其他师傅的wp。
思路:
先写下我被困住的地方的解决方法:read0x30个字节,而s大小只有0x28,留给我们的操作空间不大呀,那我们把前边题目要写入垃圾数据的空间不填入垃圾数据,填入需要的payload,然后在ebp位置上填要返回的位置(就是填垃圾数据的地方),最后在ret位置上填leave_ret的地址(这里要注意,vul函数退出时有一个leave_ret,但是我们又构造了一个leave_ret)
1.首先需要泄露ebp的值,然后根据输入数据的地方与ebp的差值,差值是0x38

在这里插入图片描述
这是payload2构造方法,首先要退出read函数,经过第一次leave,将新ebp的值赋为ebp-0x38,然后执行ret,此时esp指向leave_ret地址,然后执行第二次的leave_ret,因为此时ebp为ebp-0x38,将esp的值也赋为它,然后将bbbb弹出到ebp,esp向上移动,执行ret。

我明天试试动态调试,怎么搞一波。。。。。。。

eeeeeeeeeeeeeeeea
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ciscn_2019_es_1
z1r0的博客
01-12 855
ciscn_2019_es_1 查看保护 有一个uaf在call函数里,2.27下可以double free的libc,思路很明确,直接申请大堆泄露出libc_base,再double free劫持tcache链表,写入free_hook进tcache。改hook为one_gadget即可。 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if
栈迁移(以ciscn_2019_es_2为例,详细分析)
fzucaicai的博客
03-12 371
这里的stdin_addr其实指向的是我们刚刚写入的''/bin/sh” 的首地址,给system()函数提供参数,但是也许有人要问的是,那为什么不把’/bin/sh‘直接写在system函数的参数位?
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 997
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
ciscn_2019_es_2 栈迁移(很好的例子)
weixin_46521144的博客
07-17 1176
ciscn_2019_es_2 一道很好的栈迁移例题。之前看合天讲的虽然也涉及到原理,但是例子用的是攻防世界pwn200,溢出长度还是有点多。这次只能溢出ebp和retaddr,就很典型并且有挑战性。这题没做出来,看的wp,希望下次能自己做出来。 题目给了两次溢出,这两次都是必要的。一般来说,第一次溢出需要泄露栈上地址用来给第二次做迁移使用,第二次执行栈迁移,控制ret跳转到我们所迁移的栈上,执行栈上填写的exp。由于第二次依然是在函数栈帧内输入,因此除非能自己read到bss上(通常能这样做的溢出空间也
赛点资源数据包_嵌入式_2019.zip
06-28
赛点资源数据包_嵌入式_2019.zip
imx-es8328.rar_V2 _es8328
09-23
Headphone jack detection for Linux v2.13.6.
Elasticsearch 中国开发者调查报告_2019.pdf
12-20
2010年 Elasticsearch 首个...为了深入了解 Elasticsearch 开发者群体的现状,2019 年 11 月,Elastic 技术社区、阿里巴巴 Elasticsearch 技术团队和阿里云开发者社区三方联合发起了 Elasticsearch 开发者调研活动。
gl_code.rar_V2 _opengl es_opengl es 2.0
09-24
OpenGL ES 2.0 code for Linux v2.13.6.
2019年欧洲车身会议蔚来ES8_Benchmark数据.pdf
01-21
2019年欧洲车身会议蔚来ES8_Benchmark数据
ciscn_2021_lonelywolf.zip
05-17
2021年全国大学生信息安全竞赛pwn题。
ciscn_2019_es_2——wp
xuaohu123的博客
12-23 828
buuctf ciscn_2019_es_2
栈迁移(ciscn_2019_es_2)
菊花的老窝
05-03 378
栈迁移顾名思义就是将原来的程序栈迁移到另一个地方,使得我们可以将构造的 ROP 链完整的填入。那么想要修改栈的位置,那么就需要修改寄存器 esp 和 ebp 的值。想要修改 esp 和 ebp 的值,我们需要用到leave和ret两个 gadget。
ciscn_2019_es_2(栈迁移)
qq_51687381的博客
08-27 245
代码不复杂,就是两个read和两个print 关键在于这个read的大小和v1的位置。 0x28的和0x30的大小,让我们直接rop的话只能溢出到ret的位置,而不能控制ret函数的参数。 这里就需要用到栈迁移,就把栈的位置往上提,让我们可以控制到ret和ret的参数。 既然我们想让栈往上提,那么就必须知道栈的具体位置,而我们知道,对于一个函数的栈帧中,有地址的位置就是ebp的位置,所以我们可以泄露出ebp的位置进而得到栈的位置。 from pwn import * a=proces...
【WP】CISCN2021初赛-WEB部分
車鈊的博客
06-06 770
WEB Easysql 模糊测试 发现columns,information,union(大小写)被过滤 报错回显点 UNION联合注入无法使用,测试登录发现报错点 回显位和库名 我们采用报错注入,用and做语法连接 // 测试列数 wyx123')and(select 1)# // 爆破库名 wyx123')and(select updatexml(1,concat(0x7e,database(),0x7e),1))# 列名的猜解-无列名注入 当我们构造连接查询,对其加上using限制(using:
2021第十四届全国大学生信息安全竞赛WP(CISCN)-- pwn部分
热门推荐
lifanxin的博客
05-17 1万+
CISCN_2021_WP概述ciscn_2021_lonelywolf总结 概述   作为学习不到一年的练习生,今年第一次参加国赛,本以为题目会比较温柔,但是最后只做出了一道pwn题,本来还有两道pwn题是有机会的,但还是缺少一些知识或者技巧吧,没做出来,然后就结束了。本次国赛pwn题出了一道arm 64位结构的,其余都是正常的linux下pwn题,使用libc-2.27.so,有一道考了沙箱机制。 ciscn_2021_lonelywolf   ciscn_2021_lonelywolf   libc-
[CISCN2019 华东北赛区]Web2
qq_42551635的博客
05-13 417
[CISCN2019 华东北赛区]Web2 前言 特别好的一道题,做完神清气爽,学到好多东西 知识点 xss 攻击获取cookie buu攻击平台 利用 cookie 获取管理员权限 获取到管理员cookie后,利用控制台中的application模块,修改页面cookie md5验证码哈希 import hashlib def func(md5_val): for x in range(999999, 100000000): md5_value=hashlib.md5(str(x
es 删除数据_干货 | 携程Elasticsearch数据同步实践
最新发布
06-07
您需要关于 Elasticsearch 的数据删除操作的信息吗?如果是的话,可以使用 Elasticsearch 提供的 Delete API 来删除单个或多个文档。例如,您可以使用以下命令删除具有指定 ID 的单个文档: ``` DELETE /my_index/_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值