ciscn_2019_s_9详解

最新推荐文章于 2026-01-09 19:20:03 发布
原创 最新推荐文章于 2026-01-09 19:20:03 发布 · 660 阅读 · 5
标签
#安全 #linux #运维

在这里插入图片描述

checksec得知:
1、程序架构是 i386,32位,小端模式
2、got表可读可写
3、没有启用栈保护
4、栈中数据有执行权限
5、未启用位置无关可执行文件
6、存在可读可写可执行段
在这里插入图片描述

执行程序,要求输入字符串。

使用ida pro 反汇编
在这里插入图片描述

按f5生成伪代码
在这里插入图片描述

main函数调用了函数pwn(),双击函数pwn进入,
在这里插入图片描述

pwn函数定义了字符数组s,大小为24,位于离栈顶8h,栈底20h位置。而且函数用fgets从标准输入读入50个字符,此函数存在栈溢出漏洞。
注意到程序中存在hit函数,作用是跳转到栈上执行,jmp esp
在这里插入图片描述

那么可以构

最低0.47元/天 解锁文章
[BUUCTF] ciscn_2019_s_9
zyxx_wjc的博客
07-10 450
ciscn_2019_s_9
[BUUCTF]PWN——ciscn_2019_s_9(汇编代码写shellcode)
mcmuyanga的博客
01-28 2143
ciscn_2019_s_9 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行看一下程序大概的情况 32位ida载入,第10行的fgets,能够溢出0x32-0x20-0x4个字节 由于没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode,s在栈上,ida里有一个函数,为我们提供了跳转到栈上的指令jmp esp 现在就一个问题,s大小只有0x20,用下面的shellcode不懂能不能完全写入 context(log_level = 'debu
BUUCTF ciscn_2019_s_9
2401_85052854的博客
03-23 425
通过观察,在ret中执行的jmp esp的操作,指向的是我们最后写上“sub esp,40;call esp”这样的操作,shellcode的位置距离现在的esp为0x28,也就是40,所以要进行“sub esp,40;有个jmp esp的操作,我们可以利用这个指令直接跳转到我们从栈上写入shellcode的位置进行getshell,通过观察栈上的空间太少,pwntool生成的shellcode太长,我们只能手写短一点的shellcode了,以下是exp。checksec一下发现什么保护都没开。
[buuctf]ciscn_2019_s_9
逆向萌新的博客
07-15 1274
[buuctf]ciscn_2019_s_9
ciscn_2019_s_9
qq_62887641的博客
10-01 327
32位,啥也没开,开心愉悦写shellcode程序主要在这里,栈溢出,写shellcode进去然后执行,发现有个hint这里有个jmp,ok好办了。
stack pivoting (例题为:ciscn_2019_s_9
最新发布
2503_93690490的博客
01-09 549
stack pivoting ciscn_s_9
[BUUCTF]PWN——ciscn_2019_s_4
mcmuyanga的博客
01-11 2069
ciscn_2019_s_4 附件 步骤: 例行检查,32位程序,开启了nx保护 本地试运行一下,看看大概的情况,两次输入,让人联想到栈迁移 32位ida载入,找到关键函数,只可以溢出8字节,没法构造太长的rop, 程序最后是用leave和retn还原现场的,首先想到的就是栈迁移 leave实质 上是move esp,ebp和pop ebp,将栈底地址赋给栈顶,然后在重新设置栈底地址,我的理解是重新开栈 retn实质上是pop rip,设置下一条执行指令的地址 利用思路 利用第一个输入点来泄露e
[BUUCTF]PWN——ciscn_2019_es_7[详解]
mcmuyanga的博客
01-12 2114
ciscn_2019_es_7 附件 步骤: 例行检查,64位程序,开启了nx保护 本地试运行一下看看大概的情况 64位ida载入,关键函数很简单,两个系统调用,buf存在溢出 看到系统调用和溢出,想到了SROP,之前遇到过一次,关于原理可以看一下这两篇文章 https://www.freebuf.com/articles/network/87447.html https://ctf-wiki.org/pwn/linux/stackoverflow/advanced-rop/srop/?h=+sr
[BUUCTF]PWN21——ciscn_2019_s_3
mcmuyanga的博客
09-07 2352
[BUUCTF]PWN21——ciscn_2019_s_3 附件 步骤 例行检查,64位,开启了NX保护 试运行的时候回显是一些乱码,直接用ida打开,从main函数开始看 main函数调用了vuln函数 __asm 关键字用于调用内联汇编程序,并且可在 C 或 C++ 语句合法时出现。 我们首先要了解一下64位系统的系统调用 传参方式:首先将系统调用号 传入 rax,然后将参数 从左到右 依次存入 rdi,rsi,rdx寄存器中,返回值存在rax寄存器 调用号:sys_read 的调用号 为 0 ;
BUUCTF pwn ciscn_2019_s_3(SROP)
菜的只能随便写写博客
02-13 1781
0x01 文件分析   0x02 运行  有一个回显,并且还有多余的字符显示,接着看代码分析一下。   0x03 IDA源码  由后面的函数可以看出,这个程序使用的系统调用,并且vuln里面存在栈溢出。  在程序之中的gadgets存在着两个为rax赋值的gadget,15的系统号是rt_sigreturn,3b的系统调用是execve,利用这两个可以执行系统调用得到shell。  ex...
BUUCTF:[CISCN2019 华东南赛区]Web4
末初 · mochu7
07-29 3105
题目地址:https://buuoj.cn/challenges#[CISCN2019%20%E5%8D%8E%E4%B8%9C%E5%8D%97%E8%B5%9B%E5%8C%BA]Web4 这种路由处理方式并不像是PHP,尝试了file:///etc/passwd没有效果,猜测Flask,尝试local_file:///读取文件 读取源码: import re, random, uuid, urllib from flask import Flask, session, request app
buuctf_练[CISCN2019 华东南赛区]Web4
m0_66225311的博客
10-26 1307
根据`url`地址传参结构来判断`php`后端还是`python`后端;`uuid.getnode()`函数的了解,可以返回主机MAC地址十六进制;python网站源码多半处于`/app.app.py`;代码审计,`session`欺骗,`session`的加解密
[CISCN2019 华北赛区 Day1 Web1]Dropbox详解
SHININGENDING的博客
04-23 2279
[CISCN2019 华北赛区 Day1 Web1]Dropbox 一、知识点:信息搜集,Phar反序列化 phar知识点分析 phar文件的结构主要分为四个部分: stub phar文件的表示,类似于gif文件的GIF89a,以 xxx<?php xxx;__HALT__COMPILER();?>为固定形式,前面内容可以变,点必须以__HALT__COMPILER();?>结尾。 2. a mainfest describing the contents 该部分是phar...
[CISCN2019 华东南赛区]Web4
m0_62905261的博客
08-31 879
[CISCN2019 华东南赛区]Web4
BUUCTF:[CISCN2019 华东北赛区]Web2
末初 · mochu7
03-31 3407
BUUCTF:[CISCN2019 华东北赛区]Web2 参考:https://blog.csdn.net/weixin_44677409/article/details/100741998 经测试发现存在以下页面: index.php admin.php login.php register.php post.php commitbug.php about.php admin.php没有权限...
CISCN2019 web writeup
stepone4ward的博客
04-25 2489
记录一下萌新的第一次CISCN之旅,这次和队友一起完成了两道web题目(虽然第二题没有什么输出),这次的web题目质量很高,接下来是我对这次比赛解题过程的记录~ web1 访问index.php,可以看到如下界面 右键查看页面源代码 得到了两个提示 1.index.php中可能存在有文件包含的漏洞 2.hint.php存在有提示 首先利用php://filter访问hint.php,修改url...
ciscn_2019_s_1
z1r0的博客
03-17 821
ciscn_2019_s_1 查看保护 申请的大小在0x7f-0x100之间 key1有限制,还有一个off-by-null key2不为0可以调用show这个函数 攻击思路:edit中有一个off-by-null,key1和key2都被限制了。其实攻击思路还挺明确的,因为heap是一个list,保护没有开pie,所以可以使用unlink来申请地址 1.首先肯定是要填充满tcache的,因为不是tcache的话,unlink不是双链表 2.接着考虑将unlink申请到哪里 在bss段这里可以看到有
[CISCN2019 华东南赛区]Double Secret——还要加密?
Mrs_H的博客
11-17 457
[CISCN2019 华东南赛区]Double Secret 一.前言 这波属于是忙里偷闲了,面对着几篇大作业却没有任何思绪的我,默默打开了BUU的靶场,开始了我的“偷闲”之旅(doge。可能是最近临近期末的缘故,各个老师的作业数量都开始发力了。上个学期还都是1000字,1500字,最多也就3000字,这学期倒好上来直接8000大作业,直接给我干蒙了。算了,废话不多说了直接看题吧。 二.正文 首先,老样子先截一个“案发现场”的图 经典的没有前端界面,他让我们来找secret,所以我们去访问一下secret
[CISCN2019 华北赛区 Day2 Web1]Hack World题解
qq_52843575的博客
04-07 3535
[CISCN2019 华北赛区 Day2 Web1]Hack World题解 判断类型 进入页面很明显就是考sql注入,与此同时页面直接告诉你表面和列名均是flag,直接开始注入,常用的注入函数均被过滤,直接fuzz爆破,查看被过滤的具体情况 结果确定此题为sql中的布尔盲注(post传参),也同时发现一个问题,请求过快时,会被过滤掉请求 确认绕过方法 因为or被过滤,百度一波后,发现可以使用^异或来绕过 异或:相同为假,相异为真,简单来说就是 1^1=0 0^0=0 1^0=1 空格也被过滤,因此
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值