[BUUCTF] ciscn_2019_s_9

最新推荐文章于 2025-03-23 15:56:15 发布
原创 最新推荐文章于 2025-03-23 15:56:15 发布 · 389 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文讲述了如何利用栈溢出漏洞和特定汇编指令在未开启NX保护的环境下,通过编写0x14字节shellcode并精确调整ESP指针,成功实现shellcode执行的过程。涉及IDA Pro分析、pwntools使用和手工汇编技巧。

一道好玩的shellcode题,先checksec一下发现啥都没开,甚至NX也没开,目测是写在栈上的shellcode。

扔进ida里面,主要就pwn和hint两个函数比较重要,main函数直接调用了pwn,pwn函数里面有一个栈溢出漏洞。这个溢出长度不是很长,由于last ebp和返回地址在我们能填充的范围中间,pwntools自带的shellcode是写不开的(印象里是写不开的),需要我们自己去写一个shellcode。

hint函数里面是一个asm,点开汇编发现有一个jmp esp,这个就很有用。

我们自己写的shellcode长度是0x14个字节,这个长度是可以放在last ebp之前的。接下来我们可以修改返回地址为jmp esp,当这条指令的地址被弹出是,esp会下移四个字节(+4),因此我们在构造payload的时候在返回地址后面加上一个sub esp 0x28让esp指针升高指向shellcode起始处,再加上一句jmp esp执行shellcode。

0x28这个值可以由gdb中直观的数据计算得到,当然脑力够用的话也是可以静态分析出来。

shellcode的写法在我之前的博客

最低0.47元/天 解锁文章
BUUCTF PWN ciscn_2019_s_9
Rt1Text的博客
04-22 350
1.checksec+运行 32位/没有保护 2.32IDA进行中 1.hint函数 提示函数,很有帮助,解题关键点 直接跳到esp栈顶指针 2.pwn函数 明显的fgets()函数溢出 跟进s看看偏移 offset = 0x20+4 向s里写入shellcode 注意一点: 如果直接用pwntools生成的shellcode,会很长,s里写不下 所以这就需要我们优化shellcode的长度 shellcode =''' xor eax,eax ..
[BUUCTF]PWN——ciscn_2019_s_9(汇编代码写shellcode)
mcmuyanga的博客
01-28 2076
ciscn_2019_s_9 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行看一下程序大概的情况 32位ida载入,第10行的fgets,能够溢出0x32-0x20-0x4个字节 由于没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode,s在栈上,ida里有一个函数,为我们提供了跳转到栈上的指令jmp esp 现在就一个问题,s大小只有0x20,用下面的shellcode不懂能不能完全写入 context(log_level = 'debu
BUUCTF ciscn_2019_s_9
2401_85052854的博客
03-23 381
通过观察,在ret中执行的jmp esp的操作,指向的是我们最后写上“sub esp,40;call esp”这样的操作,shellcode的位置距离现在的esp为0x28,也就是40,所以要进行“sub esp,40;有个jmp esp的操作,我们可以利用这个指令直接跳转到我们从栈上写入shellcode的位置进行getshell,通过观察栈上的空间太少,pwntool生成的shellcode太长,我们只能手写短一点的shellcode了,以下是exp。checksec一下发现什么保护都没开。
[buuctf]ciscn_2019_s_9
逆向萌新的博客
07-15 1186
[buuctf]ciscn_2019_s_9
ciscn_2019_s_9
K1ose的博客
04-22 955
下载附件,file一下,是32bit程序; checksec一下; 基本没保护措施; IDA里分析一波; main()跳到pwn(); 看看pwn()的内容; 看到fgets立马想到栈溢出; 又注意到有一个hint()函数; 其内容如下: 这里直接跳到了$esp,$esp是在堆栈上的; 既然有栈溢出,栈可执行,又有一个跳转到$esp的函数,思路就很清晰了; 我们先利用栈溢出,覆盖pwn()函数的返回地址为jmp esp的地址,然后我们再使得$esp指向shellcode所在的地址,完美! 但是因为
BUUCTF ciscn_2019_ne_5
2401_88087539的博客
01-14 531
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF ciscn_2019_c_1
2401_88087539的博客
01-07 374
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
[BUUCTF]PWN——ciscn_2019_s_9
BangSen1的博客
04-26 670
ciscn_2019_s_9 参考 例行检查 ,32位,未开启任何保护 运行一下。 32位ida载入,,第10行的fgets,能够溢出0x32-0x20-0x4个字节 没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode 生成的shellcode的长度过长,参数 s0x20(32) 写不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈,标
BUUCTF之“ciscn_2019_s_9”见32位shellcode的简单写法,以及其中的难解之处
Probeginner的博客
12-09 348
32位简单shellcode
ciscn_2019_s_9详解
勿山几已
06-12 598
详解pwn入门题ciscn_2019_s_9
ciscn_2019_s_9 1
weixin_74861133的博客
03-25 242
fgets处能栈溢出,然后我们发现可疑函数hint()这个函数会直接跳转到esp处执行,我们可以在栈溢出时将返回地址溢出到该函数处,到时候函数执行返回指令ret(pop eip)时esp会-4,跳转到hint函数时会jmpesp(返回地址的下一个位置),我们可以在这个位置随意构造汇编指令。所以首先我们可以在s开始的位置就将shellcode写入,手搓shellcode的长度也就32,然后通过上面的思路,构造汇编指令时可以构造sub esp,40;
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 803
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 8738
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
采用汇编手写shellcode写入栈解题ciscn_s_9
2301_81504456的博客
08-13 591
因为执行pop ebp 把esp栈顶的值给ebp,esp加4h,执行ret,即pop eip,把修改后的返回地址 0x08048554给eip,esp加4h,此时esp距离s是28h(有点昏,参考其他文章),原先的20h(s的缓冲区已经不够,需要增加8h的大小)需要扩充,利用sub esp,0x28;2.接下来主要看栈的内部分配,已知s的输入点距离ebp为20h,加上ebp的4字节大小,共需要填充24h的shellcode(大小比这小,不够填充字节),再接上ret_addr,此时还未结束。
2019全国大学生信息安全竞赛ciscn-writeup(4web)
weixin_30446613的博客
04-23 1528
web1-JustSoso php伪协议获取源码 ?file=php://filter/read=convert.base64-encode/resource=index.php index.php 1 <html> 2 <?php 3 error_reporting(0); 4 $file = $_GET["file"]; 5 $payload...
ciscn_2019_s_1
doudoudedi
06-29 858
思路 通过off by null写key值然后unlink写bss段再次double free写free_hook即可拿到shell exp: from pwn import * #p=process('./ciscn_s_1') p=remote('node3.buuoj.cn',26429) elf=ELF('./ciscn_s_1') libc=elf.libc def add(idx,size,data): p.sendlineafter('show','1') p.sendlineafte
21 07 28学习总结
eeeeeight的博客
07-29 208
21.07.28学习总结 Column: July 28, 2021 Tags: learning experience 11:00-12:00: buu刷题: ciscn_2019_final_3我写的不好, 写成要爆破的了 14:25-16:30: :buu刷题: ciscn_2019_es_7: 和ciscn_2019_s_3一模一样 ciscn_2019_s_9: 写一段汇编就好了 picoctf_2018_shellcode: ret2shellcode, 我傻逼了 actf_2019_babys
buuctf test_your_nc
最新发布
04-01
### BUUCTF中的网络连接测试方法 在网络渗透测试竞赛(CTF)中,`nc`(Netcat)是一个非常强大的工具,可以用于多种用途,包括端口扫描、文件传输以及简单的客户端/服务器通信。如果目标是在BUUCTF环境中测试网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值