BUUCTF PWN ciscn_2019_s_9

利用ida与pwntools进行栈溢出漏洞利用实战

原创

已于 2022-04-23 09:00:31 修改 · 351 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#python #安全 #pwn #linux #c语言

于 2022-04-22 20:31:06 首次发布

本文介绍了如何通过ida分析程序，找到hint和pwn函数，利用fgets函数溢出进行栈溢出攻击。通过手动编写shellcode，控制程序执行流，最终实现远程连接并交互。

1.checksec+运行

32位/没有保护

2.32IDA进行中

1.hint函数

提示函数,很有帮助,解题关键点

直接跳到esp栈顶指针

2.pwn函数

明显的fgets()函数溢出

跟进s看看偏移

offset = 0x20+4

向s里写入shellcode

注意一点:

如果直接用pwntools生成的shellcode,会很长,s里写不下

所以这就需要我们手动写入shellcode

shellcode ='''
xor eax,eax             #eax置0
xor edx,edx				#edx置0
push edx				#将0入栈，标记了”/bin/sh”的结

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Rt1Text

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

[BUUCTF] ciscn_2019_s_9

zyxx_wjc的博客

07-10

389

ciscn_2019_s_9

[BUUCTF]PWN——ciscn_2019_s_9（汇编代码写shellcode）

mcmuyanga的博客

01-28

2076

ciscn_2019_s_9 附件步骤例行检查，32位程序，没用开启任何保护本地试运行看一下程序大概的情况 32位ida载入，第10行的fgets，能够溢出0x32-0x20-0x4个字节由于没用nx保护，首先想到的就是往s里写入shellcode，然后跳转到s执行shellcode，s在栈上，ida里有一个函数，为我们提供了跳转到栈上的指令jmp esp 现在就一个问题，s大小只有0x20，用下面的shellcode不懂能不能完全写入 context(log_level = 'debu

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF ciscn_2019_s_9

最新发布

2401_85052854的博客

03-23

381

通过观察，在ret中执行的jmp esp的操作，指向的是我们最后写上“sub esp,40;call esp”这样的操作，shellcode的位置距离现在的esp为0x28，也就是40，所以要进行“sub esp,40;有个jmp esp的操作，我们可以利用这个指令直接跳转到我们从栈上写入shellcode的位置进行getshell，通过观察栈上的空间太少，pwntool生成的shellcode太长，我们只能手写短一点的shellcode了，以下是exp。checksec一下发现什么保护都没开。

[buuctf]ciscn_2019_s_9

逆向萌新的博客

07-15

1186

[buuctf]ciscn_2019_s_9

[BUUCTF]PWN——ciscn_2019_s_9

BangSen1的博客

04-26

672

ciscn_2019_s_9 参考例行检查，32位，未开启任何保护运行一下。 32位ida载入，，第10行的fgets，能够溢出0x32-0x20-0x4个字节没用nx保护，首先想到的就是往s里写入shellcode，然后跳转到s执行shellcode 生成的shellcode的长度过长，参数 s0x20(32) 写不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈，标

【BUUCTF-PWN】9-ciscn_2019_n_8

燕麦葡萄干的博客

07-05

455

4 + p32(17) #qword/IDA在32位里面是4个字节，在64位是/8个字节。不属于栈溢出，应该是比较简单的pwn，看懂代码逻辑+使用pwntools。32位，开启了Stack、NX、PIE保护。即当var数组的第十四个元素是17就可以。

BUUCTF ciscn_2019_ne_5

2401_88087539的博客

01-14

531

pwn新手小白，写完题后整理的一点点思路，有借鉴其他wp，有任何问题各位师傅可以提出，接收批评指正

BUUCTF ciscn_2019_c_1

2401_88087539的博客

01-07

374

pwn新手小白，写完题后整理的一点点思路，有借鉴其他wp，有任何问题各位师傅可以提出，接收批评指正

从BUUCTF之“ciscn_2019_s_9”见32位shellcode的简单写法，以及其中的难解之处

Probeginner的博客

12-09

348

32位简单shellcode

ciscn_2019_s_9

z1r0的博客

12-28

1201

ciscn_2019_s_9 查看保护妥妥的shellcode题目溢出，返回到s地址处的shellcode。给了一个hint，借助jmp esp这个跳板让eip成功执行到shellcode。 shellcode大小要小于0x20即可。 from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('nod

ciscn_2019_s_9详解

勿山几已

06-12

598

详解pwn入门题ciscn_2019_s_9

2019全国大学生信息安全竞赛ciscn-writeup(4web)

weixin_30446613的博客

04-23

1528

web1-JustSoso php伪协议获取源码 ?file=php://filter/read=convert.base64-encode/resource=index.php index.php 1 <html> 2 <?php 3 error_reporting(0); 4 $file = $_GET["file"]; 5 $payload...

ciscn_2019_s_1

doudoudedi

06-29

858

思路通过off by null写key值然后unlink写bss段再次double free写free_hook即可拿到shell exp: from pwn import * #p=process('./ciscn_s_1') p=remote('node3.buuoj.cn',26429) elf=ELF('./ciscn_s_1') libc=elf.libc def add(idx,size,data): p.sendlineafter('show','1') p.sendlineafte

21 07 28学习总结

eeeeeight的博客

07-29

208

21.07.28学习总结 Column: July 28, 2021 Tags: learning experience 11:00-12:00: buu刷题: ciscn_2019_final_3我写的不好, 写成要爆破的了 14:25-16:30: :buu刷题: ciscn_2019_es_7: 和ciscn_2019_s_3一模一样 ciscn_2019_s_9: 写一段汇编就好了 picoctf_2018_shellcode: ret2shellcode, 我傻逼了 actf_2019_babys

BUUCTF-PWN刷题记录-6

weixin_44145820的博客

04-14

975

目录picoctf_2018_are you rootciscn_2019_final_2 picoctf_2018_are you root 例行安全检查菜单如下：我们需要auth_level等于5才能get flag user结构体如下 struct USER{ char *name; long long auth_level; } 漏洞原理分析：在login中分配了两次内存...

BUUOJ PWN 81-100

2h4ox1n9

12-17

427

81、pwnable_hacknote 82、jarvisoj_level5 83、hitcon2014_stkof 84、cmcc_pwnme2 85、actf_2019_babystack 86、npuctf_2020_easyheap 87、picoctf_2018_can_you_gets_me 88、picoctf_2018_got_shell 89、[BJDCTF 2nd]snake_dyn 90、axb_...

【pwn】ciscn_2019_s_3

Nothing

12-14

4876

这题是全国大学生信息安全竞赛的一道线下半决赛题目，好像是华南赛区？例行检查。分析程序。 vul函数两个系统调用，一个是sys_read，一个是sys_write，往栈上写数据（0x400），从栈上读数据（0x30），存在栈溢出。还有一个gadget函数。有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值，看看这两个是什么系统调用...