详细ciscn_2019_s_3题解

2024-02-10 04:20
文章标签 详细 2019 题解 ciscn

本文主要是介绍详细ciscn_2019_s_3题解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

来了来了,我拖了好久,因为吧,之前做了个堆题,大概用了一周才做完,做完堆题,下一个题是栈的,我以为会很简单,但是对我来说很难诶。上才艺…
(系统调用其他师傅都有写,我就不赘述啦啦啦啦啦),因为师傅们翻到我这里肯定对系统调用有了解了呀,我这么菜,只能在最下边呜呜呜。
1.拖入ida,反汇编(64位),注意到函数传参与32位会不同。在这里插入图片描述
在函数框内发现vuln(大家应该对这种函数很熟悉了吧),还有gadgets函数,奇怪,正常的栈不会有这种东西啊,于是我就点进去看了看,在这里插入图片描述看到了这两个像rax进行传参的汇编,这就为我们后来做系统调用做了铺垫吧(当时怎么没想到,当时一直想的是普通的ret2libc,可是在函数表里没有read和write的plt和got,无法进行泄露)
2.因为程序开了地址随机化,所以每次载入内存的地址都不相同,但是read函数会向buf读入0x10的数据,write会将buf中的0x30数据输出,但是buf大小只有0x10,还有0x20的多余,那么write首先会将buf内容打印出来,然后再泄露比buf地址高处的内容。看图在这里插入图片描述buf输出完后,再从ret这个地址处输出0x20的数据大小,那就gdb调试一下看看栈上有何内容吧在这里插入图片描述aaaaaaaa的位置在0x7fffffffde60,去查看这个内存地址附近的内存,write能从地址0x7fffffffde60输出到地址0x7fffffffde80,这里边的内容,发现有疑似栈的数据0x00007fffffffdf78(好像说是栈的地址,0x00007fffffffdf78与刚开始rsi内存的数据相同,所以是栈的基地址),因为开启了保护,所以每次栈的内存都不同,但是栈内的偏移是相同的呀,利用bin_sh_addr = 栈的基地址 - 0x118。那我们利用read向栈上写/bin/sh字符串,再用write进行泄露/bin/sh的地址。
也就是说,因为write打印的话,是先从栈的低地址打印,再打印高地址的内容,那么先打印0x20的数据,再打印0x8的数据就是栈的基地址,再减去0x118就获得 /bin/sh的地址喽
3.获得了取得/bin/sh地址的方法,那么我们怎么利用呢?

1.构建payload1 = b"/bin/sh\x00"+p64(0)+p64(vuln) 让程序再返回vuln函数(这里要加隔断符是因为程序是64位的,要满足8字节对齐,/bin/sh是七个字节。)·然后接受write打印的前0x20个无用数据,再接受栈基地址数据,最后根据前边调试出来的公式得到我们写入的/bin/sh地址

构造payload2之前,先声明一下pop_addr = 0x40059a,mov_addr = 0x400580,mov_rax = 0x4004e2

2.payload2 = b"/bin/sh\x00"*2+p64(pop_addr)+p64(0)*2+p64(bin_sh_addr + 0x50)+p64(0)*3+p64(mov_addr)+p64(mov_rax)+p64(pop_rdi)+p64(bin_sh_addr)+p64(syscall)
我们来一步一步解析,因为又回到了vuln函数内,首先就有溢出,填充/bin/sh\x00,然后可以得到他的地址。
再对rbx,rbp,r12,r13,r14,r15赋值,再去执行给rdx,rdi赋为0,执行call [r12],这个函数是执行,r12寄存器中存储的地址的函数(因为rbx等于0嘛),r12内存的是bin_sh_addr+0x50这个地址,这个地址存放的是mov_rax(这里我卡了一天才弄懂,我来个图吧直接,铁子们)
在这里插入图片描述够清晰了叭,bin_sh_addr+0x50其实指向的就是mov_rax,因为mov_addr附近没有ret指令,也就没有办法给rax赋值为3bh喽。(其实吧,0x50位置处不是mov_rax也行,可以是pop_rdi,因为两者执行完主体之后,都会有ret,可以shi6rop继续执行下去。)

payload
在这里插入图片描述
以下与题无关,仅提醒自己
这里在最后提醒一下自己:
p32/p64: 打包一个整数,分别打包为32位或64位
u32/u64:解包一个字符串,得到整数
encode:str->byte
decode:byte->str
平常io.recv()得到的都是字符串,io.send()送去的是字符串。

这篇关于详细ciscn_2019_s_3题解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/696121

相关文章

将Mybatis升级为Mybatis-Plus的详细过程

《将Mybatis升级为Mybatis-Plus的详细过程》本文详细介绍了在若依管理系统(v3.8.8)中将MyBatis升级为MyBatis-Plus的过程,旨在提升开发效率,通过本文,开发者可实现... 目录说明流程增加依赖修改配置文件注释掉MyBATisConfig里面的Bean代码生成使用IDEA生

Linux系统配置NAT网络模式的详细步骤(附图文)

《Linux系统配置NAT网络模式的详细步骤(附图文)》本文详细指导如何在VMware环境下配置NAT网络模式,包括设置主机和虚拟机的IP地址、网关,以及针对Linux和Windows系统的具体步骤,... 目录一、配置NAT网络模式二、设置虚拟机交换机网关2.1 打开虚拟机2.2 管理员授权2.3 设置子

Linux系统中卸载与安装JDK的详细教程

《Linux系统中卸载与安装JDK的详细教程》本文详细介绍了如何在Linux系统中通过Xshell和Xftp工具连接与传输文件,然后进行JDK的安装与卸载,安装步骤包括连接Linux、传输JDK安装包... 目录1、卸载1.1 linux删除自带的JDK1.2 Linux上卸载自己安装的JDK2、安装2.1

Java使用Curator进行ZooKeeper操作的详细教程

《Java使用Curator进行ZooKeeper操作的详细教程》ApacheCurator是一个基于ZooKeeper的Java客户端库,它极大地简化了使用ZooKeeper的开发工作,在分布式系统... 目录1、简述2、核心功能2.1 CuratorFramework2.2 Recipes3、示例实践3

通过Docker Compose部署MySQL的详细教程

《通过DockerCompose部署MySQL的详细教程》DockerCompose作为Docker官方的容器编排工具,为MySQL数据库部署带来了显著优势,下面小编就来为大家详细介绍一... 目录一、docker Compose 部署 mysql 的优势二、环境准备与基础配置2.1 项目目录结构2.2 基

Linux系统中配置静态IP地址的详细步骤

《Linux系统中配置静态IP地址的详细步骤》本文详细介绍了在Linux系统中配置静态IP地址的五个步骤,包括打开终端、编辑网络配置文件、配置IP地址、保存并重启网络服务,这对于系统管理员和新手都极具... 目录步骤一:打开终端步骤二:编辑网络配置文件步骤三:配置静态IP地址步骤四:保存并关闭文件步骤五:重

Centos环境下Tomcat虚拟主机配置详细教程

《Centos环境下Tomcat虚拟主机配置详细教程》这篇文章主要讲的是在CentOS系统上,如何一步步配置Tomcat的虚拟主机,内容很简单,从目录准备到配置文件修改,再到重启和测试,手把手带你搞定... 目录1. 准备虚拟主机的目录和内容创建目录添加测试文件2. 修改 Tomcat 的 server.X

C++快速排序超详细讲解

《C++快速排序超详细讲解》快速排序是一种高效的排序算法,通过分治法将数组划分为两部分,递归排序,直到整个数组有序,通过代码解析和示例,详细解释了快速排序的工作原理和实现过程,需要的朋友可以参考下... 目录一、快速排序原理二、快速排序标准代码三、代码解析四、使用while循环的快速排序1.代码代码1.由快

Spring Boot拦截器Interceptor与过滤器Filter详细教程(示例详解)

《SpringBoot拦截器Interceptor与过滤器Filter详细教程(示例详解)》本文详细介绍了SpringBoot中的拦截器(Interceptor)和过滤器(Filter),包括它们的... 目录Spring Boot拦截器(Interceptor)与过滤器(Filter)详细教程1. 概述1

使用Dify访问mysql数据库详细代码示例

《使用Dify访问mysql数据库详细代码示例》:本文主要介绍使用Dify访问mysql数据库的相关资料,并详细讲解了如何在本地搭建数据库访问服务,使用ngrok暴露到公网,并创建知识库、数据库访... 1、在本地搭建数据库访问的服务,并使用ngrok暴露到公网。#sql_tools.pyfrom