【pwn】 ciscn_2019_s_4

最新推荐文章于 2024-01-30 19:53:40 发布

不干正事的拖延症患者

最新推荐文章于 2024-01-30 19:53:40 发布

阅读量842

点赞数

分类专栏： pwn

本文链接：https://blog.csdn.net/github_36788573/article/details/104692013

版权

本文详细探讨了CISCN_2019_S_4挑战中涉及的栈溢出漏洞。通过分析main函数，发现存在8字节的缓冲区溢出。在栈迁移过程中，首次泄露了ebp，从而获取到栈上buf的精确地址。进一步的操作是将控制权转移到buf，以实现漏洞的利用。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

main函数，存在八个字节溢出，栈迁移，第一次泄露ebp，得到栈上buf地址，迁移到buf即可。

from pwn import *

io=remote('node3.buuoj.cn',28060)

leave=0x8048562
sys_plt=0x8048400

pl1='a'*0x24+'bbbb'
io.</

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

不干正事的拖延症患者

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
3
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

栈迁移图解

qq_40410406的博客

11-11

1697

栈迁移场景 1 如果程序的保护措施canary开启，会在prev ebp栈空间的下一个低地址存放一个随机值，当我们溢出时会将这个随机值覆盖，程序检测到这个随机值发生变化以后会自动退出（崩溃），此时就无法进行栈溢出攻击，所以需要另寻出路。 2 栈溢出长度不足以使用直接 ROP 3 栈溢出 payload 会出现空字符截断，且gadget地址含有空字符 4 在泄露地址信息后需要新的 ROP payload 5 如果开启了栈不可执行保护，就需要栈迁移到bss段或者data段或者其他栈位置执行我们的gadge

ciscn2019 pwn3

pondzhang的专栏

05-26

452

from pwn import * p = process("./ciscn_2019_n_3") elf = ELF('./ciscn_2019_n_3') def do_new_text(idx, lens, content): p.sendlineafter("CNote > ", '1') p.sendlineafter("Index > ", str(idx)) p.sendlineafter("Type > ", '2') p.sendlin

3 条评论您还未登录，请先登录后发表或查看评论

ciscn_2019_s_4

doudoudedi

01-26

1041

可以看到有栈溢出的漏洞能过控制执行流 exp: #!/usr/bin/python2 from pwn import * from LibcSearcher import * local=0 if local==1: p=process('./ciscn_s_4') elf=ELF('./ciscn_s_4') #libc=elf.libc else: p=remo...

[BUUCTF-pwn]——ciscn_2019_s_4

Y_peak的博客

03-12

567

[BUUCTF-pwn]——ciscn_2019_s_4 题目地址:https://buuoj.cn/challenges#ciscn_2019_s_4 这道题是一道典型的栈劫持问题前面有一道类似的,(挂了peak小知识), 如果需要可以去做一下没有开启canary保护在IDA中, 可以看出有明显的栈溢出, 不过溢出空间只够修改ebp和一个返回地址但是, 仅仅一个返回地址是不够的, 并不能打印flag 思路利用栈溢出,首先泄露出来main_ebp的地址计算一下,我们输入的位置, 距离m

[BUUCTF]-PWN:ciscn_2019_es_7解析（系统调用execve，srop）

最新发布

2301_79326813的博客

01-30

534

这道题好像和buu的ciscn_2019_s_3是一模一样的看保护64位，没开canary和pie看ida题目还有能往rax传递0x3B和0xf的函数，这就提示我们可以用系统调用来getshell。

日行一PWN之ciscn_2019_c_1不给出libc题型

m0_57221101的博客

06-02

901

BUUCTF ciscn 依旧使用buu提供的题这次大体和上次babyrop一样，都是使用源程序中不存在的函数来进行攻击，区别在于此次没有给出libc的版本，我们需要自己暴漏libc的版本以及本次的64位程序，在传参上和32位程序的一些不同闲话少叙，后面需要的知识点我们后面再学，我们便分析边聊checksec分析64位的程序，只有数据段免执行保护。地址为0000000000400B28我们可以通过telnet连接一下看看她在干什么可以看到是一个简单的输入判断

【pwn】ciscn_2019_s_3

Nothing

12-14

4741

这题是全国大学生信息安全竞赛的一道线下半决赛题目，好像是华南赛区？例行检查。分析程序。 vul函数两个系统调用，一个是sys_read，一个是sys_write，往栈上写数据（0x400），从栈上读数据（0x30），存在栈溢出。还有一个gadget函数。有两个值得注意的地方。mov rax,0fh 以及mov rax 59。这两个gadget控制了rax的值，看看这两个是什么系统调用...

BUUCTF pwn ciscn_2019_s_3(SROP)

菜的只能随便写写博客

02-13

1673

0x01 文件分析 0x02 运行有一个回显，并且还有多余的字符显示，接着看代码分析一下。 0x03 IDA源码由后面的函数可以看出，这个程序使用的系统调用，并且vuln里面存在栈溢出。在程序之中的gadgets存在着两个为rax赋值的gadget，15的系统号是rt_sigreturn，3b的系统调用是execve，利用这两个可以执行系统调用得到shell。 ex...

buuctf ciscn_2019_s_4 pwn wp

weixin_44740530的博客

04-21

404

buuctf ciscn_2019_s_4 pwn wp https://www.jianshu.com/p/fabc34bafe18

your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛

04-22

pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛

baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛

04-22

baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛

ciscn_2019_s_4 [write up]

m0_73756460的博客

01-14

301

buuctf刷题 ciscn_2019_s_4 【write up】

Pwn-Ciscn_2019_Final

fayinq的博客

03-11

469

Ciscn_2019_Final 感觉是一道很好的堆题，使用了很多技巧以及做题思路，包括了uaf，_IO_2_1_stdin,double_free,还有 _IO_2_1_stdin_fileno,这些技巧。 IDA分析： main函数： init函数：沙箱：（少截取一点为无所谓） allocate函数：这里面每次无论add了int还是short int 都会把bool修改成1。 delete函数： del有一段特殊判定，就是bool的判定，因为bool的存在，导致了没有办法连续释放i

【pwn】 ciscn_2019_final_3

Nothing

12-18

1749

例行检查保护全开，分析程序。 add函数只能申请小于0x78大小的chunk，chunk数量不能超过24个，且题目给了申请到内存空间的地址。 free函数 free后指针没有置0，且libc是2.27的，存在tcache dup。唯一问题就在于如何得到libc的地址。泄露libc地址一般通过unsortbin，存在tcache的情况下，64位程序需要申请超过0x400大小chunk，fre...

【Pwn】BUUCTF ciscn_2019_s_4 wp 栈迁移

Lcw_linyx的博客

05-20

653

个人日记= =，记录pwn自己的自闭过程

ciscn_2019_s_4-栈迁移

个人笔记

06-07

798

思路：由于无直接getshell的利用函数，溢出空间只有8字节（ebp+ret占用无法继续填充ROP了），所以需要栈迁移更大的空间来构造ROP。栈迁移位置：执行函数+0xdeadbeef(假ebp)+0xdeadbeef(假ret)+参数。此栈帧迁移到s[40]数组的位置，先通过第一次打印泄露s[40]的起始地址。栈迁移核心（通过ROPGadget寻找。ebp位置：栈迁移位置-4（32位）ret位置：leave_ret。题目类型猜测：栈溢出，栈迁移。作用：赋值执行函数调用。

2019CISCN华南赛区半决赛 pwn

qq_41071646的博客

12-09

950

好久没有练过pwn了，，感觉自己pwn 都废了，，近期打算刷一下攻防世界的android 然后刷刷这个华南赛区的pwn。如果刷的差不多打算继续刷buuoj 。暂时把自己会的刷完。。 pwn1 这个题目真的很有意思感觉出题人费心了 edit 函数已经给限制了然后show 函数也限制了 edit 函数????️一个 off by null 由于没有开pie un...

【Pwn】NCTF2019 pwn me 100 years! (Ⅲ)

Nothing

11-28

8313

main函数首先创建了一个0x10大小的堆块，最后如果这个堆块的值为0x66666666那么执行/bin/sh。那么想办法分配到这块内存空间即可。看看中间的菜单，找到漏洞在edit函数中，read为固定的0x20个字节，由于最小堆块的大小是0x10，共享pre_size的8个字节，0x10和0x18分配的大小都是0x10字节，所以存在0x10个字节的溢出，但是0x10大小的字节只能覆盖到...

ciscn_2019_pwn挑战赛：破解五道经典题目解析

资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目，分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力，以及对操作系统底层安全的深刻理解。接...