ZJCTF 2019 Login

最新推荐文章于 2025-05-06 16:33:29 发布

原创

最新推荐文章于 2025-05-06 16:33:29 发布 · 748 阅读

0 ·

CC 4.0 BY-SA版权

本文详细介绍了ZJCTF 2019赛事中Login挑战的解决过程，包括对登录系统的分析，漏洞挖掘，利用技巧以及最终的解题思路。通过对HTTP请求和响应的分析，发现了一个注入漏洞，通过构造特定输入成功获取了flag。同时，文章还探讨了如何预防此类安全问题，以提升系统安全性。

from pwn import *
p = process('./login')
p.sendlineafter("username: ","admin")
payload = "2jctf_pa5sw0rd" + '\x00'*58 + p64(0x000000

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

「已注销」

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

[BUUCTF]PWN——[ZJCTF 2019]Login

mcmuyanga的博客

11-05

2234

[ZJCTF 2019]Login 附件步骤：例行检查，64位程序，开启了canary和nx保护 2. 试运行一下程序 3. 64位ida载入，检索字符串，在程序里找到了用户名admin和密码2jctf_pa5sw0rd 再次尝试登录，无果在程序里找到了后门函数，backdoor=0x400e88 c++写的程序，看起来有点费劲，自己看了好久都找到漏洞在哪里，后来借鉴了其他师傅的wp后才发现了猫腻问题出现在检查密码的那个函数上反编译出来的伪代码看起来没什么问题但是我们按下tab，

[ZJCTF 2019]Login

个人笔记

06-10

190

根据输出Nope,猜测程序判断密码是否正确输出，即存在if…，回溯发现a1是参数v8，v8是password_checker(v3);输入正确即调用函数指针，因此找找看有没有。找到了后门函数，我们还需要看看。

参与评论您还未登录，请先登录后发表或查看评论

BUUCTF [ZJCTF 2019]Login

2401_85052854的博客

03-22

555

通过往前逆向观察汇编，发现被赋值成了var_130依然覆盖不了，继续跟进我们可以看到rdi最终赋值成了rax，跟进最近的一个函数：password_checker，查看rax被赋值成什么。理论上我们直接覆盖var_68成后门函数就可以拿到shell了，可是var_68在s上面，覆盖不到，那我们只能继续观察var_68中被rdi赋值的内容在哪里了。最终发现了rax最终被赋值成了在var_18的位置，终于找到了一个我们可以覆盖的一个位置了，我们只需要将var_18覆盖成后门函数就可以获得shell。

ZJCTF_2019_Login

z1r0的博客

12-12

2600

ZJCTF_2019_Login 查看保护输入正确的密码和用户名，会发生错误，看一下汇编。在crash之前call 了rax，逆一下找到rax被怎样赋值的。

C++ PWN题解析：ZJCTF 2019 Login漏洞利用

"BUUCTF-PWN-[ZJCTF 2019]Login 是一个关于网络安全竞赛中的Pwn（破解）类题目，主要涉及到C++编程、汇编语言分析以及栈溢出漏洞的利用。" 该题目描述了一个登录系统，参赛者需要通过输入正确的账号和密码来访问...

[ZJCTF 2019]Login--动态调试--详细版

weixin_41748164的博客

11-21

937

全网最详细login的解析，包含静态和动态分析

buuctf [ZJCTF 2019]Login

carol2358的博客

05-06

1280

先运行，输入admin和2jctf_pa5sw0rd，发现报错，gdb开始调试在这里crash了，去ida里看 ida里自己改名字，原来的看着太乱反向分析在read_password里找到var_18 然后通过覆盖var_18，让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp： from pwn import * from LibcSearc...

2019-ZJCTF

ChenZIDu的博客

12-13

1239

浙江省大学生网络安全竞赛：逆转思路这题当初没做出来，可惜了。主要是php序列化，以及data协议。 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="w...

ZJCTF 2019 Final 登录系统 WP

fjh1997的博客

10-02

1096

ZJCTF 2019 Final 登录系统 WP 复现复现地址：http://ctf.fjh1997.top:8000/challenges WP 首先拖进IDA里一看，发现是64位的，再仔细看看，发现没有malloc，那么估计是栈题，也许是ROP利用，checksec走一波。发现有Canary，估计要想办法绕过，但是找了半天没想到绕过方案遂放弃。在ida里面继续找找，发现是验证用户密码的...

ZJCTF_login

Morphy_Amo的博客

07-18

598

zjctf_login

[BUUCTF-pwn]——[ZJCTF 2019]Login

Y_peak的博客

03-11

519

[BUUCTF-pwn]——[ZJCTF 2019]Login 题目地址：https://buuoj.cn/challenges#[ZJCTF%202019]Login 这道题学习还是很多的，有的时候在源码中跟踪并不一定比在汇编代码中跟踪更快这里最后一个函数的第一个参数会被当做函数执行，这里我就开始找那个地方可以将这个参数给改了。 v7也就是v3然后找来找去没发现。不过汇编总是有奇效这里有一篇博客超级详细，我也就不在这里赘述了。点击转跳 ...

BUUOJ PWN [ZJCTF 2019]Login

weixin_50287973的博客

11-18

462

输入这些断了下来是在call rax那断了下来，追踪一下rax [rbp+var_130]的地址作为参数传入User::read_password(void)，rax的值赋给了[rbp+var_130] 在password_checker()看看rax怎么来的这样的话控制[rbp+var_18]为Admin::shell地址就可以了输入password覆盖到[rbp+var_18] 0x60-0x18=72=14+58 由于_snprintf函数，写入的不含一定0字符的password格式

BUU [ZJCTF 2019]Login

fzucaicai的博客

03-04

925

这是一道让我感觉很淦的题，整一天了才大致了解了来龙去脉。

[ZJCTF 2019]Login的wp

wuyvle的博客

03-05

399

先运行，输入admin和2jctf_pa5sw0rd，发现报错，gdb开始调试进入ida看看在read_password里找到var_18 然后通过覆盖var_18，让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp from pwn import * io = remote('node3.buuoj.cn',28457) shell = 0x400e88 io.sendlineafter(': ','admin') io.sendlineafter('

BUUCTF Pwn [ZJCTF 2019]Login WP

最新发布

qq_33348179的博客

05-06

261

password_checker函数将var18的值赋给了rax。在password_checker函数会执行变量a1的内容。对应汇编为call rax 其中rax给var68赋值了。进行密码的检查密码为2jctf_pa5sw0rd。将s填充到这个位置就能执行flag了。var18离变量s为0x48距离。

[ZJCTF 2019]NiZhuanSiWei

weixin_65279640的博客

04-16

638

代码审计:先看第一段看到有file_get_contents函数，先去查询一下这里可以知道第一段绕过是需要我们传入text文件，并且文件内容为welcome to the zjctf。既然是需要传入文件，这里我们就要使用文件包含漏洞的一些东西了。需要了解文件包含漏洞的请移步至这里使用data://协议来传入我们需要的文件和内容既然是需要文件内容为welcome to the zjctf的文件，这里构造并传入text变量中，所以整体payload为之后我们进行绕过第二段语句。

CTF-PWN-[ZJCTF 2019]Login 栈位置的转换跟踪

serfend's blog

06-23

1554

来源：https://buuoj.cn/challenges内容：附件：链接：https://pan.baidu.com/s/1uBEYYeg9ouPDEOah-BHGQA?pwd=6si8 提取码：6si8答案：PWN题为动态flag使用安装pwn解题框架发现是cpp的题目，在password_checker的第9行下断点到判断密码的位置，随后输入用户名admin，密码cylic(300)用于测试溢出点和调用点题目是比较密码是否等于，正确则跳转进入发现此处的值是aaaa，则我们将密码设置为 +cylic

[ZJCTF 2019]EasyHeap

m0sway的博客

12-15

2201

[ZJCTF 2019]EasyHeap 使用checksec查看：一道堆题，关闭了PIE，可以考虑覆盖got表来获取system getshell 拉进IDA中查看：标准的菜单，main()函数就不贴截图了，menu()函数也没有营养，图也不贴了，先来看看create_heap(): heaparray[i]：存放 chunk 的地址。 read_input(heaparray[i], size)：向 chunk 写入 size 大小的内容。 heaparray是存放在bss段上的 edit