【pwn】ciscn_2019_es_2

最新推荐文章于 2024-04-01 21:53:58 发布
原创 最新推荐文章于 2024-04-01 21:53:58 发布 · 2.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了CISCN 2019赛事中的一道题目,涉及栈溢出漏洞利用。尽管程序包含`system`函数,但直接获取flag并非易事。通过分析`vul`函数,发现只能溢出8字节,影响`ebp`和返回地址。利用第一次`read`和`printf`泄露`ebp`,执行栈迁移,再借助`main`函数返回时的控制流转移,实现调用`system`。

例行检查
在这里插入图片描述分析程序,程序存在system函数,但是不能直接得到flag。
在这里插入图片描述
vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。
根据一下汇编代码布置栈数据。
在这里插入图片描述
在这里插入图片描述

from pwn import *

#io=process('ciscn_2019_es_2')

sys_plt=0x8048400 

pl='a'<
最低0.47元/天 解锁文章
[PWN] BUUCTF ciscn_2019_es_2
空城惜梦的博客
06-20 1627
[PWN] BUUCTF ciscn_2019_es_2解题分析漏洞利用payload解析程序执行过程图参考: 解题分析 按照惯例checksec一下,开了NX与RELRO 运行程序,查看逻辑,两次input,并且回显Hello,input 32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着栈溢出,若有backdoor直接获得flag的话,可直接构造 payload=0x28*‘a’+ebp+backdoo
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 3015
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
ciscn_2019_es_2
、moddemod
06-23 997
简单分析:两次read都往同一个地方填数据(s栈变量的位置),可输入0x30大小,s离ebp距离0x28,可通过printf泄露压入的上一个栈帧的ebp,之后通过第二次read构造leave控制esp from pwn import * def debug_pause(): log.info(proc.pidof(p)) pause() context(log_level='debug') proc_name = './ciscn_2019_es_2' p = process(proc_name.
PWN · 栈迁移】[BUUCTF]ciscn_2019_es_2
Mr_Fmnwon的博客
07-30 814
当前溢出可用空间比较少时(极端情况下仅能覆写ebp和ret),可以通过栈迁移的方式,扩大shellcode的容纳空间,其核心是将esp移动到一段shellocode开头。而esp总是由ebp赋值,所以总是通过两次leave;ret的方式修改esp到固定位置。一、代码审计有两次读入操作。read进的内容超过字符串的长度,存在栈溢出漏洞。然而计算溢出长度,发现只有8字节,即刚好可以覆写ebp和ret。发现system的函数(意味着plt对应的表项存在),然而这个hack函数并不能给出flag。
【BUUCTF】ciscn_2019_es_2
m0_51251108的博客
12-28 360
【BUUCTF】ciscn_2019_es_2 看下程序 有两处read可以溢出,但只能溢出刚好盖到ebp和ret 由于memset只清了0x20,所以可以泄露出ebp 有system函数,但参数不对 思路:运用栈迁移,迁移到我们写入的前面的部分,写rop链,就可以开shell了 由于需要跳转到我们写入的前面的部分需要知道它的地址,地址=ebp地址-偏移。 用gdb-peda调试,断点设在vul函数,一步步跟进,可以输入aaaa 然后searchmem aaaa stack 来查看栈状态 (这图可能
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
2301_79326813的博客
01-30 632
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
[PWN] 栈迁移 ciscn_2019_es_2
LDX的博客
11-28 486
栈迁移 基础题目 理解 ciscn_2019_es_2
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
buuctf ciscn_2019_es_2
carol2358的博客
04-24 746
通过这道题总算学会用gdb来调试stack了 一道栈迁移的题目,printf函数可以泄露出bp的地址 有system函数,但是没有/bin/sh,所以我采用了往stack里写入binsh,然后通过泄露出来的bp算出偏移来指向binsh的位置,从而getshell 调试的时候看泄露出的栈地址和aaaa的偏移,和binsh的偏移,栈上的地址是\xff开头 exp: from pwn import ...
【CTF】ciscn_2019_es_2
凉水的博客
07-25 1729
ciscn_2019_es_2
ciscn_2019_es_2(栈迁移)
qq_51687381的博客
08-27 406
代码不复杂,就是两个read和两个print 关键在于这个read的大小和v1的位置。 0x28的和0x30的大小,让我们直接rop的话只能溢出到ret的位置,而不能控制ret函数的参数。 这里就需要用到栈迁移,就把栈的位置往上提,让我们可以控制到ret和ret的参数。 既然我们想让栈往上提,那么就必须知道栈的具体位置,而我们知道,对于一个函数的栈帧中,有地址的位置就是ebp的位置,所以我们可以泄露出ebp的位置进而得到栈的位置。 from pwn import * a=proces...
【栈迁移】[BUUCTF]ciscn_2019_es_2
最新发布
s_hiy_iyi的博客
04-01 513
0x30字节数据给s,s大小是0x28,只能溢出0x8字节,刚好覆写ebp和ret。ret的栈劫持去到参数s的栈,让它去执行我们布置在栈上的system(‘/bin/sh’)来获取shell。第二次直接往栈上写入后门 函数 system(‘/bin/sh’),之后利用leave;第一次输入来泄露程序里的ebp地址,知道了ebp的地址就能够推算出参数s在栈上的地址。如果我们输入的内容正好把ebp前面的区域完全覆盖,这样就没法在末尾补上’\0‘,可以将rop链写到栈上,再将栈劫持到我们写的地方就可以了。
ciscn_2019_es_2【BUUCTF】
qq_41696518的博客
09-02 1203
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前栈中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值